VULHUB ™

NTFS文件系统支持硬连接，硬连接是另一个目录条目可指向磁盘上相同的物理文件，这允许用户在同一分区里相同文件可拥有多个路径名。 Windows NT和Windows 2000系统中的审核机制在记录相关硬连接的文件系统事件时不够充分 ，本地攻击者可以利用这个漏洞使审核机制错误地记录用户的访问操作活动。 NTFS系统为了支持POSIX子系统的需要一直支持硬连接，不过NT用户使用的很少。Windows NT 3.51和NT 4.0包含BackupWrite() Win32 API函数可以建立硬连接，Windows 2000使用新的CreateHardLink()Win32 API函数建立硬连接。Microsoft中的知识库中描述过一个程序\"ln\"使用了这些函数： Q234727 HOWTO： Create Hard Links in Windows NT and Windows 2000 http：//support.microsoft.com/support/kb/articles/Q234/7/27.ASP (不幸的是，这份KB文章已经被删除。) NTFS系统中如果对文件的全部审核功能打开的情况下，当使用这些函数建立硬连接时，会在安全事件日志中建立一个事件条目记录，不过安全审核机制没有充分的对所有事件进行记录，只记录了\"ReadAttributes\"事件。也就是说在安全事件日志中没有对文件被建立硬连接进行记录，没有对真正被访问的文件名进行详细记录。 攻击者如果通过硬连接连接一个文件，并通过硬连接文件名访问这个文件的情况下，安全事件记录机制不会对硬连接的创建进行记录，并且只记录访问的硬连接的文件名，对原始的文件名不进行记录。

NTFS文件系统支持硬连接，硬连接是另一个目录条目可指向磁盘上相同的物理文件，这允许用户在同一分区里相同文件可拥有多个路径名。 Windows NT和Windows 2000系统中的审核机制在记录相关硬连接的文件系统事件时不够充分 ，本地攻击者可以利用这个漏洞使审核机制错误地记录用户的访问操作活动。 NTFS系统为了支持POSIX子系统的需要一直支持硬连接，不过NT用户使用的很少。Windows NT 3.51和NT 4.0包含BackupWrite() Win32 API函数可以建立硬连接，Windows 2000使用新的CreateHardLink()Win32 API函数建立硬连接。Microsoft中的知识库中描述过一个程序\"ln\"使用了这些函数： Q234727 HOWTO： Create Hard Links in Windows NT and Windows 2000 http：//support.microsoft.com/support/kb/articles/Q234/7/27.ASP (不幸的是，这份KB文章已经被删除。) NTFS系统中如果对文件的全部审核功能打开的情况下，当使用这些函数建立硬连接时，会在安全事件日志中建立一个事件条目记录，不过安全审核机制没有充分的对所有事件进行记录，只记录了\"ReadAttributes\"事件。也就是说在安全事件日志中没有对文件被建立硬连接进行记录，没有对真正被访问的文件名进行详细记录。 攻击者如果通过硬连接连接一个文件，并通过硬连接文件名访问这个文件的情况下，安全事件记录机制不会对硬连接的创建进行记录，并且只记录访问的硬连接的文件名，对原始的文件名不进行记录。