Изменить системное время, сделать что-нибудь этакое нехорошее и вернуть прежнюю дату — ну чем не способ ввести в заблуждение администратора, только вот мало кто из шутников понимает, что подобные ухищрения им не помогут. Хотя бы потому, что установить факт изменения системного времени в Windows можно за пару минут. Изменение системного времени считается настолько важным событием, что заносится в раздел журнала событий «Безопасность».
Предположим, что на ПК было изменено, а затем восстановлено системное время.
Установим факт вмешательства.
Открываем командой eventvwr.msc журнал событий, переключаемся в раздел Журналы Windows -> Безопасность.
И отфильтровываем события по коду 4616.
Если у вас включена автоматическая синхронизация времени, список может оказаться довольно длинным, поэтому есть смысл также выставить фильтр по дате, например, изменения за последние семь дней.
Отличить изменения, внесенные системой от изменений, внесенных пользователем просто — в первом случае инициатором события будет СИСТЕМА или LOCAL SERVICE.
А во втором будет указано имя локального пользователя.
Выявить факт манипуляций с системным временем можно также с помощью программы Event Log Explorer.
Открыв программой журнал событий, мы отсортировали записи по их порядковому номеру, а затем просмотрели записи столбцов «Data» и «Time».
Расхождение между порядковыми номерами и датой события в данном примере очевидны: событие с номером 15579 произошло в 12.44.45, а следующее событие с номером 15580 — в 6.44.49. Кстати, при сортировке событий по дате и времени тоже можно обнаружить следы изменения системного времени. В этом случае порядок номеров событий будет грубо нарушен, например, среди событий с порядковыми номерами в диапазоне 5000-5500 окажутся события с порядковыми номерами плюс/минус 7000.
Загрузка...
nu godno , ponyal chto nezametno , s livesd linux ne poluchitsya......