Мне интересно, есть ли способ добавить фиктивные события с прошлыми датами в журнал событий. Если да, то как это сделать и что можно сделать, чтобы предотвратить это?
1 ответ
4
Журнал событий Windows представляет собой структуру данных, как и любые другие, поэтому с помощью правильных инструментов им можно манипулировать по желанию. (Никакие подписи и т.д. не используются, и они были бы бесполезны, потому что, если компьютер может записывать журнал, он также может писать поддельный журнал.)
Тем не менее, формат журнала событий является проприетарным двоичным форматом файла (см. Документацию), и я не знаю ни одного приложения, которое позволяло бы легко редактировать. Редактирование этого потребовало бы по крайней мере некоторого программирования.
Единственная защита будет заключаться в том, чтобы сообщать о событиях на отдельный защищенный сервер и сохранять или подписывать их там.