Просмотр событий и журнал системных событий

Все что связано с работой этой операционной системы

Модератор: Tim308

Ответить
Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 4451
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 170
Репутация: 547
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Просмотр событий и журнал системных событий

Сообщение DesignerMix » 29 апр 2014, 08:51




Что-бы грамотно решать проблемы в работе приложений или системы нужно знать какие события предшествовали появлению ошибки, именно для этого в windows есть инструмент "Просмотр событий", который хранит в себе много информации по различным темам. В этом видео я показал как запустить этот журнал, как автоматизировать решение проблем (создать задачу на определенное событие, в данном видео это выполнение команды chkdsk при ошибке "неверный блок на устройстве" источник disk).

Статья на тему: Журнал windows (просмотр событий) - http://www.oszone.net/11296/


elsel94
Новичок
Сообщения: 11
Зарегистрирован: 18 ноя 2014, 03:28
Репутация: 0
Статус: Не в сети

Re: Просмотр событий и журнал системных событий

Сообщение elsel94 » 22 ноя 2014, 00:51


Здравствуйте, очень хотелось бы узнать, можете ли вы мне помочь с одним вопросом.
Вопрос таков: "Можно ли каким-либо образом подделать/изменить запись в журнале событий (например журнале безопасности)?" И смежный с этим вопрос "Можно ли выявить следы подделки записей в журнале событий Windows? и если да, то каким образом?"
Заранее благодарю Вас и надеюсь на помощь)

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 4451
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 170
Репутация: 547
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Re: Просмотр событий и журнал системных событий

Сообщение DesignerMix » 22 ноя 2014, 01:46


elsel94 писал(а):Можно ли каким-либо образом подделать/изменить запись в журнале событий (например журнале безопасности)?

Можно создать собственную запись. Копайте в сторону команды eventcreate. А вот можно-ли изменить сразу не скажу, но уверен что можно, нужно только поискать как.

PS: А зачем вам это? Если не секрет.


elsel94
Новичок
Сообщения: 11
Зарегистрирован: 18 ноя 2014, 03:28
Репутация: 0
Статус: Не в сети

Re: Просмотр событий и журнал системных событий

Сообщение elsel94 » 22 ноя 2014, 02:27


DesignerMix, нет, не секрет конечно, это связано с моей дипломной работой, ну скажем так совсем чуть-чуть. нужно выяснить как определить, что в журнале событий была проведена подделка записей.

Главное, что это можно сделать, а-то я был в отчаянии...ладно придется копать дальше..
А как думаете, есть ли смысл искать дальше на русскоязычных сайтах или лучше сразу на английских?
Последний раз редактировалось DesignerMix 22 ноя 2014, 02:29, всего редактировалось 1 раз.
Причина: Прямое цитирование

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 4451
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 170
Репутация: 547
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Re: Просмотр событий и журнал системных событий

Сообщение DesignerMix » 22 ноя 2014, 02:30


elsel94, читали это? Думаю эта статья будет вам полезна - http://winitpro.ru/index.php/2011/08/24 ... v-windows/


elsel94
Новичок
Сообщения: 11
Зарегистрирован: 18 ноя 2014, 03:28
Репутация: 0
Статус: Не в сети

Re: Просмотр событий и журнал системных событий

Сообщение elsel94 » 22 ноя 2014, 02:32


DesignerMix Нет, это не читал, спасибо, прочитаю)
Если кстати, у вас есть на примете еще полезные ссылки, был бы рад их получить) За что заранее вас благодарю)


elsel94
Новичок
Сообщения: 11
Зарегистрирован: 18 ноя 2014, 03:28
Репутация: 0
Статус: Не в сети

Re: Просмотр событий и журнал системных событий

Сообщение elsel94 » 22 ноя 2014, 02:42


DesignerMix писал(а):elsel94, читали это? Думаю эта статья будет вам полезна - http://winitpro.ru/index.php/2011/08/24 ... v-windows/


Спасибо прочитал статью, это конечно полезно, но конечная цель все-таки понять, как изменять уже существующие записи в журнале событий.
Я надеюсь, что все-таки найду способ это сделать.


elsel94
Новичок
Сообщения: 11
Зарегистрирован: 18 ноя 2014, 03:28
Репутация: 0
Статус: Не в сети

Re: Просмотр событий и журнал системных событий

Сообщение elsel94 » 23 ноя 2014, 14:40


DesignerMix здравствуйте, второй день ищу ищу( ничего не могу найти( вы говорили, что уверены, что можно изменять, подскажите пожалуйста, в какую сторону копать..

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 4451
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 170
Репутация: 547
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Re: Просмотр событий и журнал системных событий

Сообщение DesignerMix » 24 ноя 2014, 01:11


elsel94, поизучайте вот это (если в английском разбираетесь) - http://msdn.microsoft.com/en-us/library/windows/desktop/aa964766(v=vs.85).aspx

Это официальная статья о системе учета различных событий в Windows. Там слева меню и куча разделов по поводу данной темы. Для диплома как раз самое то. Я не вникал, возможно там и нет инфы по поводу изменения событий, но то, что это самое полное руководство по ним это точно.

И еще - http://www.opennms.org/wiki/Windows_Event_Log_Traps


elsel94
Новичок
Сообщения: 11
Зарегистрирован: 18 ноя 2014, 03:28
Репутация: 0
Статус: Не в сети

Re: Просмотр событий и журнал системных событий

Сообщение elsel94 » 24 ноя 2014, 03:58


DesignerMix извините, но первая ссылка, по-моему, битая( не находит запрашиваемую по данной ссылке страницу


elsel94
Новичок
Сообщения: 11
Зарегистрирован: 18 ноя 2014, 03:28
Репутация: 0
Статус: Не в сети

Re: Просмотр событий и журнал системных событий

Сообщение elsel94 » 24 ноя 2014, 04:04


DesignerMix Возможно вы имели ввиду вот эту ссылку? http://msdn.microsoft.com/en-us/library ... p/aa964766 Вроде похоже по вашему описанию)

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 4451
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 170
Репутация: 547
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Re: Просмотр событий и журнал системных событий

Сообщение DesignerMix » 24 ноя 2014, 09:08


elsel94 писал(а):извините, но первая ссылка, по-моему, битая


исправил

Аватара пользователя

Lukas_Bertoni
Интересующийся
Сообщения: 54
Зарегистрирован: 10 ноя 2014, 01:25
Репутация: 2
Контактная информация:
Статус: Не в сети

Re: Просмотр событий и журнал системных событий

Сообщение Lukas_Bertoni » 25 ноя 2014, 12:52


Данную методику подмены хорошо описали в видеокурсе "CEH 3 часть - расследование хакерськых инцидентов " Я этому внимания не придавал но там помоему все бонально просто.Пользователь изменяет журнал событий а затем простая процедура экспорта и импорта журнала событий.

Вот ссылка на данный видеокурс :
http://www.specialist.ru/course/ceh3

А здесь скачать его бесплатно можно:
http://www.ex.ua/72504312


elsel94
Новичок
Сообщения: 11
Зарегистрирован: 18 ноя 2014, 03:28
Репутация: 0
Статус: Не в сети

Re: Просмотр событий и журнал системных событий

Сообщение elsel94 » 26 ноя 2014, 04:48


или я чего-то не понимаю, или получается, что Microsoft предоставил средство для записей в журнал Безопасности http://msdn.microsoft.com/en-us/libr...(v=vs.85).aspx

Аватара пользователя

dersu uzala
Новичок
Сообщения: 17
Зарегистрирован: 19 фев 2015, 15:01
Репутация: 1
Статус: Не в сети

Просмотр событий и журнал системных событий

Сообщение dersu uzala » 20 апр 2015, 15:18


Каким образом можно просмотреть журнал событий из под другой системы, к примеру из под BartPE, загрузившись с флешки или CD/DVD диска?

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 4451
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 170
Репутация: 547
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Просмотр событий и журнал системных событий

Сообщение DesignerMix » 20 апр 2015, 16:16


dersu uzala, я в этих целях пользуюсь загрузочным диском от Microsoft - ERD Commander. На форуме есть тема про создание загрузочной флешки, так вот, там есть это диск.


Herodian
Новичок
Сообщения: 2
Зарегистрирован: 13 май 2016, 16:16
Репутация: 0
Статус: Не в сети

Просмотр событий и журнал системных событий

Сообщение Herodian » 13 май 2016, 16:19


Я просто оставлю это здесь :) Никто не пробовал пользоваться Event Log Explorer`ом?)) Попробуйте, не пожалеете)

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 4451
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 170
Репутация: 547
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Просмотр событий и журнал системных событий

Сообщение DesignerMix » 13 май 2016, 17:46


Herodian, Вы серьезно? Цена данной проги от 6000 до 8000 тысяч, почти все ее функции можно сделать просто в винде, а те что нельзя не на столько необходимы чтобы за это столько платить. ИМХО


Herodian
Новичок
Сообщения: 2
Зарегистрирован: 13 май 2016, 16:16
Репутация: 0
Статус: Не в сети

Просмотр событий и журнал системных событий

Сообщение Herodian » 14 май 2016, 08:59


DesignerMix, Это если брать её для компании, а для личного пользования, с подключением до 3-х компьютеров- она абсолютно бесплатна)