@intend

Каким средством на базе ос windows можно открыть лог файлы посекундных действий пользователя вне зависимости выключен был пк или нет?

Ситуация приключилась такая.
Было совершено проникновение в учетную запись по(или без) согласия самого пользователя другим неким физическим лицом. Сам пользователь не знает, что было накануне вечером, по его словам пк был отключен от питания. Нужно каким то образом просмотреть логи(желательно посекундная история действия), возможно даже логи по железу, если понадобится.
Искал информацию на хабрахабре, но там решения по логированию серверной площадки в основном.
  • Вопрос задан
  • 843 просмотра
Пригласить эксперта
Ответы на вопрос 3
@cicatrix
было бы большой ошибкой думать
С NTFS можно попробовать просканировать файловую систему, найти файлы, в которых атрибуты LastAccessTime и LastWriteTime относятся к интересующему вас периоду. Их вряд ли чистили.
Ещё журналы винды, но они могут быть очищены. Вообще проанализировать log файлы, имеющиеся в системе (если есть). В целом, если заранее не были предусмотрены меры аудита, то, как говорится, поздно пить "Боржоми".
Подобные проникновения в 99% случаев имеют 2 цели: а) похитить информацию (в этом случае, поезд уже ушёл); б) внедрить шпионское/вредоносное ПО на машину/в корпоративную сеть - здесь ещё можно предпринять какие-то меры по поиску и обезвреживанию.
Ответ написан
@Tabletko
никого не трогаю, починяю примус
Если эта инфа не писалась заранее, то вы уже мало что можете узнать. Максимум, из журналов windows, если их не почистили, когда компьютер включили и когда выключили.
Ответ написан
Комментировать
CityCat4
@CityCat4 Куратор тега Информационная безопасность
Внимание! Изменился адрес почты!
Смеетесь, да? Никто такие логи не ведет. Если Вы про телеметрию - то даже если она и ведется (а там явно не посекундная телеметрия), даже если она не потерта - не думаю, что Вы настолько значимы для M$, что она даст Вам формат и ключи для телеметрии.
До известной степени подробные логи действий можно получить, установив на комп СМП - но она должна быть заранее установлена и, естественно сливать должна свои данные на сервер, потому что буфер у нее конечный - забился и все.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы