Windows Protokolle in Ereignisanzeige nachträglich ändern?

Kann man in der Ereignisanzeige die Zeiten der Windows Protokolle, also da wo man sehen kann wann der PC/Laptop hoch gefahren oder runtergefahren etc. wurde nachträglich ändern. Also so das es aussieht als wäre der PC beispielsweise um 10 Uhr hochgefahren worden obwohl das um 7 Uhr war beispielsweise.

Danke für eure Hilfe

Answer 1

[Erzesel]

Theoretisch kann man alles "fast" manipulieren.

Praktisch gestaltet sich das bei Eventlogs nicht ganz so einfach:

• https://svch0st.medium.com/event-log-tampering-part-1-disrupting-the-eventlog-service-8d4b7d67335c

...Du brauchst Dir den Inhalt des obigen Links nicht wirklich reinziehen.

Wenn Du die Zeitliche Zuordnung wechseln willst, reicht es nicht einige Daten zu verändern, Du müsstest die gesamte Reihung der Ereignisse verändern. (Es geht nicht, das zwischen mehreren Einträgen um 7 Uhr ein 10 Uhr Eintrag steht)

Zudem hinterlassen auch andere Prozesse und Services Spuren in diversen Protokollen. Ergo müsstest Du für alles was beim Start protokolliert wird die Zeitschiene manipulieren. Unmöglich...

Wenn Du irgendwelche Spuren beseitigen möchtest durfte es leichter sein, den Laptop im nächsten Weiher zu versenken...😅 Solch drastische Maßnahmen sind natürlich nicht nötig, es genügt das verfängliche Protokol zu löschen.

• https://www.top-password.com/blog/clear-all-event-logs-in-windows-10/

Natürlich dürfte das Rücksetzen der logs bei einem Datenforensiker Argwohn wecken.

Comments

[Paulygold]

Danke. Hat mir sehr geholfen. Jetzt weiß ich wenigsten das das nicht so einfach/ unmöglich ist.