과거 날짜가 포함된 가짜 이벤트를 이벤트 로그에 삽입할 수 있는 방법이 있는지 궁금합니다. 그렇다면 이 작업은 어떻게 수행되며 이를 방지하기 위해 무엇을 할 수 있습니까?
답변1
Windows 이벤트 로그는 다른 로그와 마찬가지로 데이터 구조이므로 올바른 도구를 사용하면 마음대로 조작할 수 있습니다. (서명 등을 사용하지 않으며 컴퓨터가 로그를 작성할 수 있으면 가짜 로그도 작성할 수 있으므로 쓸모가 없습니다.)
그러나 이벤트 로그 형식은 독점 바이너리 파일 형식입니다(참조:문서), 쉽게 편집할 수 있는 애플리케이션은 없는 것으로 알고 있습니다. 편집하려면 최소한 프로그래밍이 필요합니다.
유일한 보호 방법은 이벤트를 별도의 보안 서버에 보고하고 거기에 저장하거나 서명하는 것입니다.