[решено] Проверка на удаление журнала Windows. Конфиденциальность [Версия для КПК]

Показать полную графическую версию : [решено] Проверка на удаление журнала Windows. Конфиденциальность

RomanWAR

06-07-2024, 16:46

Забыл ноутбук с конфиденциальной информацией. Хочу как-то проверить, включали ли ноутбук без моего ведома или нет. Первое что приходит в голову - журналы Windows, но их можно удалить. Может еще какие-то варианты ?
Windows 10 стоит

ShaddyR

07-07-2024, 01:02

Хочу как-то проверить, включали ли ноутбук без моего ведома или нет. Первое что приходит в голову - журналы Windows, но их можно удалить. »
сам-то как думаешь: если журналы виндовс отключены\удалены - то его включали или нет? :yes:

RomanWAR

07-07-2024, 09:56

ShaddyR, не, журналы не отключены. Но в тот день я сам комп не включал. Можно ли журналы частично стереть за конкретный период? Если да, как опознать что вообще это стиралось
Т.е. мне надо проверить стиралось ли что-то за 04.07.2024 - 05.07.2024

ShaddyR

07-07-2024, 14:42

RomanWAR, слу, паранойя - интересная штука, если решить ею развлекаться. У тебя ПК ФСБ-шники отбирали, сам ты - зам Собянина? Не? Тогда забей, ибо легко и просто избранные записи журнала удалить нельзя можно
когда-то интересовался этим вопросом, есть утилиты, но там процедура не для кухарки, да еще и представляет из себя фильтрацию журнала БЕЗ указанного ID события, определенного ранее, сохранение результата в новый файл журнала с последующей заменой оригинального полученным с предварительной остановкой служб журнала, что, скорее всего, тоже отразится в логах ;)
Но процесс (пере)загрузки и завершения работы фиксируется во всех ветках - это надо вычистить ВСЕ ветки, затем обесточить (!!!), а скорее - грузиться с внешнего носителя и использовать что-то для доступа к удаленной ОС... мало того - если просто удалить запись(и), это можно обнаружить по отсутствующим номерам EventRecordID - т.е. чтоб сделать всё красиво, надо журнал переиндексировать, чего не делают даже те утилиты, которые в сети можно найти в платных вариантах... и всё это, чтоб ТЫ не узнал? Да кто ты такой, чёрт подери? :lol:

RomanWAR

07-07-2024, 17:11

ShaddyR, вижу слог мастера :) все понял, спасибо

BoBaH 13

07-07-2024, 21:48

Да например с линух лайф флешки запустил комп и смотри копируй что хочешь.
И пофиг тогда внетривиндёвые пароли на вход и на журналы.

ShaddyR

09-07-2024, 23:32

BoBaH 13, тут речь не за доступ к контенту была, а за скрытие факта запуска системы.