Saya bertanya-tanya apakah ada cara untuk menyuntikkan peristiwa palsu, dengan tanggal yang lalu, ke log peristiwa. Jika demikian, bagaimana hal ini dilakukan dan apa yang dapat dilakukan untuk mencegahnya?
sumber
Saya bertanya-tanya apakah ada cara untuk menyuntikkan peristiwa palsu, dengan tanggal yang lalu, ke log peristiwa. Jika demikian, bagaimana hal ini dilakukan dan apa yang dapat dilakukan untuk mencegahnya?
Windows event log adalah struktur data seperti yang lainnya, jadi dengan alat yang tepat, dapat dimanipulasi sesuka hati. (Tidak ada tanda tangan dll. Digunakan, dan mereka akan sia-sia, karena jika komputer dapat menulis log, itu juga dapat menulis log palsu.)
Namun, format log peristiwa adalah format file biner berpemilik (lihat dokumentasi ), dan saya tahu tidak ada aplikasi yang memungkinkan pengeditan mudah. Mengeditnya memerlukan setidaknya beberapa pemrograman.
Satu-satunya perlindungan adalah melaporkan acara ke server yang terpisah dan aman, dan menyimpan atau menandatanganinya di sana.