Просмотр событий и журнал системных событий

YouTube · Сообщение **DesignerMix** » 29 апр 2014, 08:51

Что-бы грамотно решать проблемы в работе приложений или системы нужно знать какие события предшествовали появлению ошибки, именно для этого в windows есть инструмент "Просмотр событий", который хранит в себе много информации по различным темам. В этом видео я показал как запустить этот журнал, как автоматизировать решение проблем (создать задачу на определенное событие, в данном видео это выполнение команды chkdsk при ошибке "неверный блок на устройстве" источник disk).

Статья на тему: Журнал windows (просмотр событий) - http://www.oszone.net/11296/

elsel94 · Сообщение **elsel94** » 22 ноя 2014, 00:51

Здравствуйте, очень хотелось бы узнать, можете ли вы мне помочь с одним вопросом.
Вопрос таков: "Можно ли каким-либо образом подделать/изменить запись в журнале событий (например журнале безопасности)?" И смежный с этим вопрос "Можно ли выявить следы подделки записей в журнале событий Windows? и если да, то каким образом?"
Заранее благодарю Вас и надеюсь на помощь)

YouTube · Сообщение **DesignerMix** » 22 ноя 2014, 01:46

elsel94 писал(а):Можно ли каким-либо образом подделать/изменить запись в журнале событий (например журнале безопасности)?

Можно создать собственную запись. Копайте в сторону команды eventcreate. А вот можно-ли изменить сразу не скажу, но уверен что можно, нужно только поискать как.

PS: А зачем вам это? Если не секрет.

elsel94 · Сообщение **elsel94** » 22 ноя 2014, 02:27

DesignerMix, нет, не секрет конечно, это связано с моей дипломной работой, ну скажем так совсем чуть-чуть. нужно выяснить как определить, что в журнале событий была проведена подделка записей.

Главное, что это можно сделать, а-то я был в отчаянии...ладно придется копать дальше..
А как думаете, есть ли смысл искать дальше на русскоязычных сайтах или лучше сразу на английских?

YouTube · Сообщение **DesignerMix** » 22 ноя 2014, 02:30

elsel94, читали это? Думаю эта статья будет вам полезна - http://winitpro.ru/index.php/2011/08/24 ... v-windows/

elsel94 · Сообщение **elsel94** » 22 ноя 2014, 02:32

DesignerMix Нет, это не читал, спасибо, прочитаю)
Если кстати, у вас есть на примете еще полезные ссылки, был бы рад их получить) За что заранее вас благодарю)

elsel94 · Сообщение **elsel94** » 22 ноя 2014, 02:42

DesignerMix писал(а):elsel94, читали это? Думаю эта статья будет вам полезна - http://winitpro.ru/index.php/2011/08/24 ... v-windows/

Спасибо прочитал статью, это конечно полезно, но конечная цель все-таки понять, как изменять уже существующие записи в журнале событий.
Я надеюсь, что все-таки найду способ это сделать.

elsel94 · Сообщение **elsel94** » 23 ноя 2014, 14:40

DesignerMix здравствуйте, второй день ищу ищу( ничего не могу найти( вы говорили, что уверены, что можно изменять, подскажите пожалуйста, в какую сторону копать..

YouTube · Сообщение **DesignerMix** » 24 ноя 2014, 01:11

elsel94, поизучайте вот это (если в английском разбираетесь) - http://msdn.microsoft.com/en-us/library ... s.85).aspx

Это официальная статья о системе учета различных событий в Windows. Там слева меню и куча разделов по поводу данной темы. Для диплома как раз самое то. Я не вникал, возможно там и нет инфы по поводу изменения событий, но то, что это самое полное руководство по ним это точно.

И еще - http://www.opennms.org/wiki/Windows_Event_Log_Traps

elsel94 · Сообщение **elsel94** » 24 ноя 2014, 03:58

DesignerMix извините, но первая ссылка, по-моему, битая( не находит запрашиваемую по данной ссылке страницу

elsel94 · Сообщение **elsel94** » 24 ноя 2014, 04:04

DesignerMix Возможно вы имели ввиду вот эту ссылку? http://msdn.microsoft.com/en-us/library ... p/aa964766 Вроде похоже по вашему описанию)

YouTube · Сообщение **DesignerMix** » 24 ноя 2014, 09:08

elsel94 писал(а):извините, но первая ссылка, по-моему, битая

исправил

Данную методику подмены хорошо описали в видеокурсе "CEH 3 часть - расследование хакерськых инцидентов " Я этому внимания не придавал но там помоему все бонально просто.Пользователь изменяет журнал событий а затем простая процедура экспорта и импорта журнала событий.

Вот ссылка на данный видеокурс :
http://www.specialist.ru/course/ceh3

А здесь скачать его бесплатно можно:
http://www.ex.ua/72504312

elsel94 · Сообщение **elsel94** » 26 ноя 2014, 04:48

или я чего-то не понимаю, или получается, что Microsoft предоставил средство для записей в журнал Безопасности http://msdn.microsoft.com/en-us/libr...(v=vs.85).aspx

dersu uzala · Сообщение **dersu uzala** » 20 апр 2015, 15:18

Каким образом можно просмотреть журнал событий из под другой системы, к примеру из под BartPE, загрузившись с флешки или CD/DVD диска?

YouTube · Сообщение **DesignerMix** » 20 апр 2015, 16:16

dersu uzala, я в этих целях пользуюсь загрузочным диском от Microsoft - ERD Commander. На форуме есть тема про создание загрузочной флешки, так вот, там есть это диск.

Herodian · Сообщение **Herodian** » 13 май 2016, 16:19

Я просто оставлю это здесь

Никто не пробовал пользоваться Event Log Explorer`ом?)) Попробуйте, не пожалеете)

YouTube · Сообщение **DesignerMix** » 13 май 2016, 17:46

Herodian, Вы серьезно? Цена данной проги от 6000 до 8000 тысяч, почти все ее функции можно сделать просто в винде, а те что нельзя не на столько необходимы чтобы за это столько платить. ИМХО

Herodian · Сообщение **Herodian** » 14 май 2016, 08:59

DesignerMix, Это если брать её для компании, а для личного пользования, с подключением до 3-х компьютеров- она абсолютно бесплатна)

Компьютерный форум