Me pregunto si hay alguna forma de insertar eventos falsos, con fechas pasadas, en el registro de eventos. Si es así, ¿cómo se hace y qué se puede hacer para prevenirlo?
Respuesta1
El registro de eventos de Windows es una estructura de datos como cualquier otra, por lo que con las herramientas adecuadas se puede manipular a voluntad. (No se utilizan firmas, etc., y serían inútiles, porque si la computadora puede escribir el registro, también puede escribir un registro falso).
Sin embargo, el formato de registro de eventos es un formato de archivo binario propietario (consultela documentación), y no conozco ninguna aplicación que permita una edición sencilla. Editarlo requeriría al menos algo de programación.
La única protección sería informar los eventos a un servidor seguro e independiente y almacenarlos o firmarlos allí.