Ich frage mich, ob es eine Möglichkeit gibt, falsche Ereignisse mit vergangenen Daten in das Ereignisprotokoll einzufügen. Wenn ja, wie wird das gemacht und was kann getan werden, um es zu verhindern?
Antwort1
Das Windows-Ereignisprotokoll ist eine Datenstruktur wie jede andere und kann daher mit den richtigen Tools beliebig manipuliert werden. (Es werden keine Signaturen usw. verwendet und diese wären auch nutzlos, denn wenn der Computer das Protokoll schreiben kann, kann er auch ein gefälschtes Protokoll schreiben.)
Das Ereignisprotokollformat ist jedoch ein proprietäres Binärdateiformat (siehedie Dokumentation), und ich kenne keine Anwendung, die eine einfache Bearbeitung ermöglichen würde. Die Bearbeitung würde zumindest etwas Programmierung erfordern.
Der einzige Schutz wäre, Ereignisse an einen separaten, sicheren Server zu melden und dort zu speichern oder zu signieren.