Ich frage mich, ob es eine Möglichkeit gibt, falsche Ereignisse mit vergangenen Daten in das Ereignisprotokoll einzufügen. Wenn ja, wie wird dies getan und was kann getan werden, um dies zu verhindern?
quelle
Ich frage mich, ob es eine Möglichkeit gibt, falsche Ereignisse mit vergangenen Daten in das Ereignisprotokoll einzufügen. Wenn ja, wie wird dies getan und was kann getan werden, um dies zu verhindern?
Das Windows-Ereignisprotokoll ist eine Datenstruktur wie jede andere, sodass es mit den richtigen Tools nach Belieben bearbeitet werden kann. (Es werden keine Signaturen usw. verwendet, und sie wären nutzlos, da der Computer, wenn er das Protokoll schreiben kann, auch ein falsches Protokoll schreiben kann.)
Das Ereignisprotokollformat ist jedoch ein proprietäres Binärdateiformat (siehe Dokumentation ), und ich kenne keine Anwendung, die eine einfache Bearbeitung ermöglichen würde. Die Bearbeitung würde zumindest einige Programmierarbeiten erfordern.
Der einzige Schutz besteht darin, Ereignisse an einen separaten, sicheren Server zu melden und dort zu speichern oder zu signieren.