Журнал событий Windows 7

@Эльвин · Регистрация: 25.10.2014

Студворк — интернет-сервис помощи студентам

Добрый всем день. Обращаюсь к вам с просьбой, так как хочу услышать советов от профи в своем деле, если таковые конечно помогут мне.
Вопрос таков: "Можно ли выявить следы подделки записей в журнале событий Windows? и если да, то каким образом?"
Заранее благодарю всех откликнувшихся!

@sacredheart · 21.11.2014, 07:27

записи делает сама система: "итого на сеансе мы имеем то-то и то-то", какие же подделки там можно найти?

@Эльвин · 21.11.2014, 09:49 **[ТС]**

sacredheart
К сожалению задача поставлена именно так(
То есть нет вообще никаких способов изменить эти записи, предположим даже незаконные?

@sacredheart · 21.11.2014, 10:34

думаю только если совсем выключить, тогда записей не будет.

ScrollLock · 21.11.2014, 11:31

покурите тут, что-ли...
http://msdn.microsoft.com/ru-r... s.90).aspx
http://support.microsoft.com/kb/301279/ru

@Эльвин · 23.11.2014, 15:04 **[ТС]**

Вопрос все еще открыт. Если вдруг у кого есть мысли или ссылки, которые могли бы помочь мне в изучение, будь добры. Заранее благодарю всех откликнувшихся

magirus · 23.11.2014, 15:15

насколько знаю - способов подделать нет.

grystik · 23.11.2014, 15:19

Сообщение от Эльвин

То есть нет вообще никаких способов изменить эти записи,

ну как вариант, можно спровоцировать событие, если это можно назвать подделкой

@Эльвин · 23.11.2014, 15:30 **[ТС]**

Предположим, цель: Журнал аудита. Пользователь удалил папки, файлы и тд. что-нибудь важное и пытается замести следы. Как понимать ваше предложение

Сообщение от grystik

спровоцировать событие

в этом случае, объясните пожалуйста. И как в таком случае я, как админ, смогу распознать, что данная запись в журнале аудита "незаконная".
Спасибо!

ScrollLock · 23.11.2014, 17:18

Сообщение от Эльвин

как админ

как админ... штудируйте ГП, и щастье будет вам. нет однозначного ответа на ваш вопрос. теоретически можно в журнал что-то подкинуть... если иметь доступ к тачке. либо хак конкретно на определенную машину.
узнать, что подкинули и тем более- когда - нельзя, ну, по изменению файла.. а что там изменилось... хз. ОС ведь тоже в файл журнала пишет постоянно.. ну мб и можно, но это уже программерская суть... не этот раздел.

Добавлено через 8 минут
как вариант - точка старта (от чего плясать):
http://technet.microsoft.com/r... 96642.aspx
там по нарастающей уже подумаете...........................

@Эльвин · 26.11.2014, 04:46 **[ТС]**

или я чего-то не понимаю, или получается, что Microsoft предоставил средство для записей в журнал Безопасности http://msdn.microsoft.com/en-u... s.85).aspx

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

@Эльвин 0 / 0 / 0 Регистрация: 25.10.2014 Сообщений: 17

	Журнал событий Windows 7 21.11.2014, 03:21. Показов 2413. Ответов 10 Метки нет (Все метки) Добрый всем день. Обращаюсь к вам с просьбой, так как хочу услышать советов от профи в своем деле, если таковые конечно помогут мне. Вопрос таков: "Можно ли выявить следы подделки записей в журнале событий Windows? и если да, то каким образом?" Заранее благодарю всех откликнувшихся! 0

@sacredheart 1146 / 954 / 76 Регистрация: 11.10.2010 Сообщений: 6,031
	21.11.2014, 07:27
	записи делает сама система: "итого на сеансе мы имеем то-то и то-то", какие же подделки там можно найти? 0

@Эльвин 0 / 0 / 0 Регистрация: 25.10.2014 Сообщений: 17
	21.11.2014, 09:49 [ТС]
	sacredheart К сожалению задача поставлена именно так( То есть нет вообще никаких способов изменить эти записи, предположим даже незаконные? 0

@sacredheart 1146 / 954 / 76 Регистрация: 11.10.2010 Сообщений: 6,031
	21.11.2014, 10:34
	думаю только если совсем выключить, тогда записей не будет. 0

ScrollLock киберпаразит 9721 / 2786 / 188 Регистрация: 14.06.2011 Сообщений: 9,592
	21.11.2014, 11:31
	покурите тут, что-ли... http://msdn.microsoft.com/ru-r... s.90).aspx http://support.microsoft.com/kb/301279/ru 1

@Эльвин 0 / 0 / 0 Регистрация: 25.10.2014 Сообщений: 17
	23.11.2014, 15:04 [ТС]
	Вопрос все еще открыт. Если вдруг у кого есть мысли или ссылки, которые могли бы помочь мне в изучение, будь добры. Заранее благодарю всех откликнувшихся 0

magirus Почетный модератор 28049 / 15785 / 983 Регистрация: 15.09.2009 Сообщений: 67,752 Записей в блоге: 78
	23.11.2014, 15:15
	насколько знаю - способов подделать нет. 1

@Эльвин 0 / 0 / 0 Регистрация: 25.10.2014 Сообщений: 17
	26.11.2014, 04:46 [ТС]
	или я чего-то не понимаю, или получается, что Microsoft предоставил средство для записей в журнал Безопасности http://msdn.microsoft.com/en-u... s.85).aspx 0