PDA

Показать полную графическую версию : Как безвозвратно удалить журналы событий.


q12357
04-07-2013, 18:13
Короче говоря, нужно удалить журнал событий полностью, чтобы восстановить было нельзя. Зачем не спрашивайте, просто некогда объяснять. В общем, если я зашел в оснастку типа "просмотр событий" там на каждом журнале нажал "стереть все события" этого достаточно? Или надо еще реестр очищать? Желательно попроще объясните пожалуйста и по сути. Нужно чтобы, скажем так, удалилась вся инфа о прогах, которые запускались на компьютере, если вкратце, а то, что вообще все удалится - бог с ним, лучше уж так пускай.
Может подскажете, где спросить нужно было, а то раздел вроде флейм, но вопрос мне кажется бредовым, что в осмысленных разделах не решаюсь задавать.

Rezor666
04-07-2013, 18:20
q12357, Я не думаю что Вам помогут.
Уж очень похоже на вредительство.
И найти чем ты занимался за компом всегда можно :read:

q12357
04-07-2013, 18:37
Rezor666, как?

Iska
04-07-2013, 20:26
q12357, берёте отвёртку и молоток… :lol:

Amigos
05-07-2013, 07:20
Как безвозвратно удалить журналы событий. »в XP достаточно загрузится с LiveCD и удалить файлы c:\Windows\System32\config\*.evt
При следующей загрузке Windows эти файлы будут созданы заново с пустым содержимым.

Нужно чтобы, скажем так, удалилась вся инфа о прогах »очистка журналов в этом не поможет.

q12357
05-07-2013, 08:41
в XP достаточно загрузится с LiveCD и удалить файлы c:\Windows\System32\config\*.evt
При следующей загрузке Windows эти файлы будут созданы заново с пустым содержимым.
А в Windows 7 ?
Цитата q12357:
Нужно чтобы, скажем так, удалилась вся инфа о прогах »
очистка журналов в этом не поможет.
А где тогда программа оставляет следы о том что запускалась, кроме журнала событий(о всякая ли программа оставляет следы в нем)?

Tigr
05-07-2013, 09:07
q12357, уточни: запускалась прога, установленная на ПК "легально" ? Запускалась портабл-версия того, чего на ПК нет ? Если запускалась установленная, то нужно скрыть день ее последнего запуска ? Была установлена тобой, а потом удалена ?

Rezor666, в чем вредительство ? Скорее, нарушение запрета "держаться подальше". У нас нет основания "шить" ему статью (хоть и похоже не несанкционированный доступ).
Iska, и ... ?

q12357
05-07-2013, 09:15
Tigr, Прога портативная. Не вредил я ей ни кому, ты меня практически правильно понял.
Нужно скрыть вообще всякую информацию о ее запуске.
Короче кому-то другому плохого я ничего не делал, дынные не воровал, нос не совал в чужие дела. Касается чисто меня лично данная ситуация.

Tigr
05-07-2013, 11:36
q12357, тогда просто:
- чистишь журналы (полностью или выборочно - нужный день);
- делаешь поиск в реестре по имени проги и удаляешь соотв-е строки или разделы;
- чистишь папки TEMP пользователя и \Windows\Temp.
Если итоги работы проги могли быть сохранены на жесткий диск, то необходимо зачистить и их.

Rezor666
05-07-2013, 11:47
в чем вредительство ? »
А в чем нет? Чистят логи для того что бы скрыть действия.
Если нарушение запрета "держаться подальше" » то может так и лучше?
А то там сейчас человек с торрентов порно нальет а админу потом отвечать.

LehaMechanic
05-07-2013, 12:11
q12357, тогда просто:
- чистишь журналы (полностью или выборочно - нужный день); »
Дата и время появления первого же события после такой чистки с потрохами сдаст того, кто именно в этот день и час имел доступ к ПК (если это как-то фиксируется хозяином). И вот тогда уже не важно станет, наносил ты там вред или просто какие-то личные дела обтяпывал - ты скрыл следы своей деятельности, неважно какие, значит было что скрывать, а значит виноват по-умолчанию в глазах окружающих. Со всеми последствиями. И ничего уже не докажешь.

Tigr
05-07-2013, 12:45
Leha Ares, здесь много "если":
- если хозяин компа в отпуске или пользуется им не каждый день;
- если от аккуратно почистит только "нужные" события...

Rezor666
05-07-2013, 13:00
- если от аккуратно почистит только "нужные" события... »
Можно с легкостью узнать когда включался комп и пускай он хоть все логи сотрет.

q12357
05-07-2013, 14:59
Tigr, спасибо то что нужно
q12357, тогда просто:
- чистишь журналы (полностью или выборочно - нужный день);
- делаешь поиск в реестре по имени проги и удаляешь соотв-е строки или разделы;
- чистишь папки TEMP пользователя и \Windows\Temp.
Если итоги работы проги могли быть сохранены на жесткий диск, то необходимо зачистить и их. »
А если в 7ке папка пустая, может временные фалы где-то еще хранятся?

Tigr
05-07-2013, 15:50
Можно с легкостью узнать когда включался комп и пускай он хоть все логи сотрет »
А как ?

q12357, надо добавить: если есть авторановские программы и они создают отчет, то придется лезть и туда. Тяжелая у тебя задача !

Rezor666
05-07-2013, 16:34
Tigr, Да обычном фильтром по файлам за определенное время.
Как выше написал Leha Ares если лог будет кристально чист или чист за определенное время то это палится.
Еще не забываем о %windir%\Windowsupdate.log
И у провайдера можно запросить логи.

В общем вычистить все по любому не удастся.

Tigr
08-07-2013, 08:48
Rezor666, да - много файлов открывается (смотрю в ХР Проф). Можно, наверно, и это зачистить, но уж больно велики будут затраты сил и времени. Здесь только один шанс "проскочить": если хозяину ПК не придет в голову хотя бы один день искать следы чужого проникновения.

Rezor666
08-07-2013, 09:17
Tigr, Там все по любому не сотрешь, там есть и системные файлы.
если хозяину ПК не придет в голову хотя бы один день искать следы чужого проникновения. »
Я думаю не придет, а если и придет то легче запросить у провайдера трафик за определенный день.

Tigr
08-07-2013, 10:29
легче запросить у провайдера трафик за определенный день »
Совсем не факт, что с этого ПК лезли в и-нет. А если "прокся" подконтрольна топикстартеру, то и это можно зачистить. q12357, уж лучше загрузиться с какого-нибудь LiveCD (если то, что хотел запустить, запустится под ним).

Rezor666
08-07-2013, 10:34
Tigr, Я думаю гадать бесполезно.
В любом случае виноват владелец компьютера который не обеспечил защиты от несанкционированного доступа.




© OSzone.net 2001-2012