Windows 事件日誌是否容易被更改或偽造?

Windows 事件日誌是否容易被更改或偽造?

我想知道是否有任何方法可以將帶有過去日期的虛假事件注入事件日誌中。如果是這樣,如何做到這一點以及可以採取哪些措施來防止這種情況發生?

答案1

Windows 事件日誌是一種與其他任何資料結構一樣的資料結構,因此使用正確的工具,可以隨意操作它。 (不使用簽名等,它們將毫無用處,因為如果電腦可以寫入日誌,它也可以寫入假日誌。)

但是,事件日誌格式是專有的二進位檔案格式(請參閱文件),據我所知沒有任何應用程式可以輕鬆編輯。編輯它至少需要一些程式設計。

唯一的保護措施是將事件報告到單獨的安全伺服器,並在那裡儲存或簽署。

相關內容