我想知道是否有办法将带有过去日期的虚假事件注入事件日志。如果可以,如何实现,如何防止这种情况发生?
答案1
Windows 事件日志是一种与其他数据结构一样的数据结构,因此使用正确的工具,可以随意对其进行操作。(不使用签名等,它们毫无用处,因为如果计算机可以写入日志,它也可以写入虚假日志。)
然而,事件日志格式是一种专有的二进制文件格式(见文档),而且我不知道有哪个应用程序可以允许轻松编辑。编辑它至少需要一些编程。
唯一的保护措施是将事件报告给单独的安全服务器,并在那里存储或签名。
Windows 事件日志是否容易被更改或伪造?
相关内容
- 安装后重启五次,Ubuntu 18.04 上的系统许多部分(终端、文件浏览器、驱动程序)停止工作
- 仅显示基于正则表达式的差异/补丁的相关块
- kvm 内核模块未加载
- 包括目录中的项目,但不完全是章节。在回忆录中
- 如何在不删除 prefs.js 的情况下,在重新启动浏览器时将 Firefox 中的 keyword.url 设置保持为默认设置?
- EXCEL 仅在某一行中的其他列不为空白时才在某一列中生成一个字符
- 尝试在 Ubuntu 16.04.3 LTS 64 位上安装 Steam
- 打印机缺少墨盒错误 - HP Officejet 6500 无线多功能一体打印机 - E709n
- 允许来自不同 AWS 安全组的入站流量
- 集群双端口 NIC