[Greyman]

Зная структуру журнала его можно менять произвольно. Насколько я знаю, у хацкеров нет проблем с редактированием журнала событий MS, соответственно записи там не могут быть прямым докозательством наличия или отсутствия запуска, однако косвенным - вполне.

Не очень понятен смысл. Что именно надо доказать? Запускался ли системыный блок? Была ли загрузка с данного винчестера? Или осуществлялось ли с него чтение? Диск мог читаться на другой машине, либо с загрузочного носителя, при этом никаких данных на самом диске об этом не будет (косвенно можно попробовать судить по SMART, но далеко не обо всех вариантах).

P. S.
Борьба со спец-службами - это борьба с государством, а оно законы производит, но им не следует. Победить государство можно только противопоставив власти другую силу - деньги. Если такой силы нет - то все зависит от их "доброй воли". Частично может помочь открытость процесса с освещением в СМИ, но часто положительные результаты это дает гораздо позже, когда обвинительное решение уже успевает нанести сужественный невосполнимый ущерб...

P. P. S.
А почему речь касается спец служб? Не было ли установлено на ПК какой-либо сертифицированной СЗИ и имеется ли в этом случае на нее соответствующая документация (паспорт, аттестат и т. д. и т. п.). Если соответствующие средства были, паспорт правильно заполнялся, пломбы не сняты, то тогда с точки зрения закона соответствующие журналы могут считаться прямым доказательством. Если же в этом сеть какие-либо нарушения, то это повод для непризнания журналов в качестве прямых доказательств, даже в случае снятия журналос с соответствующих СЗИ (секретнет, спектз-з, панцырь, блокпост и т. д. и т. п.).