Ver la versión completa : Borrar huella pass administrador
Lamaquina
20-12-2007, 20:58
Hola,
Me gustaria saber si es posible eliminar huellas (visor de sucesos) de que he utilizado el usuario administrador, ya que, veo que el "Administrador de verdad" utiliza un usuario SYSTEM para realizar sus tareas...y yo tengo el usuario local pero se loguea como "Administrador" y llama un poco la atención..
Es posible borrar esto?
Gracias de antemano
No sé... si eres administrador se supone que puedes borrar las cosas del visor de sucesos.
Nost, lo de SYSTEM no te suena de nada?? (por ejemplo de un ciber matando el proceso del DeepFreeze y el de la cuenta atras??)
Bueno, a lo que ibamos:
Metete como system y borralo:
Inicio\ejecutar--> cmd (o command)
ahi escribes
at
Si te sale algo como:
No hay entradas en la lista
Puedes hacerlo
Si te sale algo como:
Acceso denegado
Estas jodido
Vale, nos pondremos en el caso de que te deja acceder:
el comando at es para progamar tareas. Windows tiene un fallo en la seguridad, cuando tu abres una ventana de comandos normalmente se abre desde tu ubicacion de usuario.
Pero si ponemos
at 21:31 /interactive cmd.exe
(pongo 21:31 porque es la hora, +1 minuto. por poner un ejemplo)
te explico un poco:
/interactive: para todos aquellos que vamos al colegio y sabemos ingles esto quiere decir interactivo, es decir, te deja interactuar (valga la redundacia) con la tarea que se va a ejecutar
cmd.exe: es lo que se va a abrir cuando llegue la hora.
Total, que dan las 21:31 y se nos abre una ventana de comandos, pero ahora el prompt no es c:\documents and settings\usuario
ahora es c:\windows\system32
OOOOOH! magia...
Ahora escribimos:
taskkill /im explorer.exe /f
lo que hace esto es "matar" el explorer.exe
Ahora hacemos ctrl+alt+supr y nos vamos a aplicaciones\tarea nueva-->explorer.exe
OOoooh! mas magia...
se nos abre el escritorio de nuevo, pero que paaasaaa que no es el nuestro, nooo... da a inicio y en el nombre de la sesion veras SYSTEM
por decirlo de algun modo ahora eres DIOS
Hala! a borrar huellas, aunque antes puedes borrar alguna otra cosa que a ti te apetezca;)
Un saludo
Lamaquina
24-12-2007, 12:48
Ante todo gracias por responder.(Nost/RaidMan)
El problema no es obtener una escalada de privilegios..Ya me logeo con el usuario Administrador, lo que quiero hacer es borrar "determinados" registros que se visualizan en el visor de sucesos y que generan entradas en estos estos archivos:
\system32\config\AppEvent.Evt (Eventos de las aplicaciones)
\System32\config\SecEvent.Evt (Eventos de seguridad, Accesos al sistema, y fallos al intentar acceder al sistema)
\system32\config\SysEvent.Evt (eventos de sistema)
La unica forma que se de meterles mano es, borrando todas las entradas, en ningun caso puedo abrir los archivos y borrar el registro indicado..entre otras cosas porque estos archivos estan siendo utilizados.
Se que me explico mal, pero en teoria es una maniobra sencilla...jejeje y parece que no se puede hacer! es lamentable piuto guindose :_
Gracias
Mua