Umstellen der Systemzeit loggen

[HolHe 10]

Hallo,

 

Habe da mal eine Frage, da die Suche leider nichts ergeben hat.

Gibt es eigentlich eine Möglichkeit, das Umstellen der Systemzeit bei einem mit Standartinstallation betriebenen System WinXP-prof nachträglich nachzuweisen?

Es geht dabei darum, dass versucht wird den letzten Zugriff auf Dateien zu manipulieren. Wenn man nun nachweisen könnte, dass die Systemzeit verstellt wurde, wäre das eine tolle Sache. Für einen guten Bekannten hängt der Arbeitsplatz davon ab.

 

Besten Dank im Voraus Holger

[olc 18]

Hi Holger,

 

wenn keine Sicherheitsüberwachung aktiviert war, sieht das nicht so gut aus.

 

Indirekt könnte man es jedoch nachweisen, indem man die Ereignisprotokolle (nachdem man sie gesichert hat) überprüft, ob irgendwo "negative Zeitsprünge" zu finden sind. Wenn Du die Systemzeit (und nicht nur die Zeitzone) verstellt, dann sollten die Ereignisprotokolle, z.B. im Applikationslog, Systemlog oder Securitylog irgendwo einen Zeitsprung nachweisbar machen.

 

Zusätzlich gibt es sicher noch eine Menge Textlogs im System, die jedoch leichter zu manipulieren sind, als es die Ereignisprotokolle sind.

 

Viele Grüße

olc

[HolHe 10]

Danke für die Antwort.

Die Sicherheitsüberwachung war deaktiviert, aber mal sehen was man machen kann!

 

Danke olc

 

Gruß Holger

[NilsK 2.937]

Moin,

 

der Ansatz führt aber in die Irre. Es ist ohne größere Probleme möglich, die Zugrifsszeit auf Dateien zu ändern. Google mal nach "touch" in Verbindung mit Dateiattributen.

 

Gruß, Nils

[olc 18]

Hi Nils,

 

die Ereignisprotokoll-Inhalte kann man nicht so einfach "touchen". Daher auch der Hinweis darauf.

Den Vorschlag mit den Inhalten von Log-Dateien habe ich auch explizit als nicht optimal gekennzeichnet, da dies leichter zu manipulieren ist. ;)

 

Viele Grüße

olc