[ShaddyR]

Цитата RomanWAR:

Хочу как-то проверить, включали ли ноутбук без моего ведома или нет. Первое что приходит в голову - журналы Windows, но их можно удалить. »

сам-то как думаешь: если журналы виндовс отключены\удалены - то его включали или нет?

[RomanWAR]

ShaddyR, не, журналы не отключены. Но в тот день я сам комп не включал. Можно ли журналы частично стереть за конкретный период? Если да, как опознать что вообще это стиралось
Т.е. мне надо проверить стиралось ли что-то за 04.07.2024 - 05.07.2024

[ShaddyR]

RomanWAR, слу, паранойя - интересная штука, если решить ею развлекаться. У тебя ПК ФСБ-шники отбирали, сам ты - зам Собянина? Не? Тогда забей, ибо легко и просто избранные записи журнала удалить нельзя можно

Скрытый текст

когда-то интересовался этим вопросом, есть утилиты, но там процедура не для кухарки, да еще и представляет из себя фильтрацию журнала БЕЗ указанного ID события, определенного ранее, сохранение результата в новый файл журнала с последующей заменой оригинального полученным с предварительной остановкой служб журнала, что, скорее всего, тоже отразится в логах

Но процесс (пере)загрузки и завершения работы фиксируется во всех ветках - это надо вычистить ВСЕ ветки, затем обесточить (!!!), а скорее - грузиться с внешнего носителя и использовать что-то для доступа к удаленной ОС... мало того - если просто удалить запись(и), это можно обнаружить по отсутствующим номерам EventRecordID - т.е. чтоб сделать всё красиво, надо журнал переиндексировать, чего не делают даже те утилиты, которые в сети можно найти в платных вариантах... и всё это, чтоб ТЫ не узнал? Да кто ты такой, чёрт подери?

[RomanWAR]

ShaddyR, вижу слог мастера все понял, спасибо

[BoBaH 13]

Да например с линух лайф флешки запустил комп и смотри копируй что хочешь.
И пофиг тогда внетривиндёвые пароли на вход и на журналы.

[ShaddyR]

BoBaH 13, тут речь не за доступ к контенту была, а за скрытие факта запуска системы.