Os logs de eventos do Windows são vulneráveis ​​a alterações ou falsificações?

Os logs de eventos do Windows são vulneráveis ​​a alterações ou falsificações?

Gostaria de saber se existe alguma maneira de injetar eventos falsos, com datas anteriores, no log de eventos. Em caso afirmativo, como isso é feito e o que pode ser feito para evitá-lo?

Responder1

O log de eventos do Windows é uma estrutura de dados como qualquer outra, portanto, com as ferramentas certas, pode ser manipulado à vontade. (Não são usadas assinaturas, etc., e elas seriam inúteis, porque se o computador puder gravar o log, também poderá gravar um log falso.)

No entanto, o formato do log de eventos é um formato de arquivo binário proprietário (consultea documentação) e não conheço nenhum aplicativo que permita edição fácil. Editá-lo exigiria pelo menos alguma programação.

A única proteção seria relatar eventos a um servidor seguro e separado e armazená-los ou assiná-los lá.

informação relacionada