|
Проверка на удаление журнала Windows. Конфиденциальность
Забыл ноутбук с конфиденциальной информацией. Хочу как-то проверить, включали ли ноутбук без моего ведома или нет. Первое что приходит в голову - журналы Windows, но их можно удалить. Может еще какие-то варианты ?
Windows 10 стоит |
Цитата:
|
ShaddyR, не, журналы не отключены. Но в тот день я сам комп не включал. Можно ли журналы частично стереть за конкретный период? Если да, как опознать что вообще это стиралось
Т.е. мне надо проверить стиралось ли что-то за 04.07.2024 - 05.07.2024 |
RomanWAR, слу, паранойя - интересная штука, если решить ею развлекаться. У тебя ПК ФСБ-шники отбирали, сам ты - зам Собянина? Не? Тогда забей, ибо легко и просто избранные записи журнала удалить
Скрытый текст
когда-то интересовался этим вопросом, есть утилиты, но там процедура не для кухарки, да еще и представляет из себя фильтрацию журнала БЕЗ указанного ID события, определенного ранее, сохранение результата в новый файл журнала с последующей заменой оригинального полученным с предварительной остановкой служб журнала, что, скорее всего, тоже отразится в логах ;)
Но процесс (пере)загрузки и завершения работы фиксируется во всех ветках - это надо вычистить ВСЕ ветки, затем обесточить (!!!), а скорее - грузиться с внешнего носителя и использовать что-то для доступа к удаленной ОС... мало того - если просто удалить запись(и), это можно обнаружить по отсутствующим номерам EventRecordID - т.е. чтоб сделать всё красиво, надо журнал переиндексировать, чего не делают даже те утилиты, которые в сети можно найти в платных вариантах... и всё это, чтоб ТЫ не узнал? Да кто ты такой, чёрт подери? :lol: |
ShaddyR, вижу слог мастера :) все понял, спасибо
|
Да например с линух лайф флешки запустил комп и смотри копируй что хочешь.
И пофиг тогда внетривиндёвые пароли на вход и на журналы. |
BoBaH 13, тут речь не за доступ к контенту была, а за скрытие факта запуска системы.
|
| Время: 00:55. |
Время: 00:55.
© OSzone.net 2001-