Къде се записват логовете на програмите event logs в Уиндоус?

[Greenpeace]

Здравейте на аудиторията,

 

имам проблем, който може да се окаже доста голям.

Обяснявам накратко ситуацията:

От известно време посещавам сайт, от който се изисква да се инсталира програма, за да ползваш някои негови функции (на сайта). Сайтът се казва azpeq.com - сайт за караоке, където можеш да се записваш как пееш на съответното караоке. За да записваш обаче е необходимо да инсталираш рекордер AzPeqSetup1.01, който сваляш от сайта. Свалил съм го, инсталирал съм го, но не е възможно да се прави запис и когато е инсталиран. Пробвах няколко пъти инсталация на рекордера (по съвет на админите), но без резултат - не може да се записва. Накрая един админ ми каза, че ще оправи нещата, прати ми файл за проверка на бъг AzPeqBugReport, който трябваше да стартирам на компа си, за да му прати информация (event log) на имейла му и тогава той да ми каже къде е проблема. Стартирах файла, прати му информация, той ми каза, че не е получил никакви грешки от лог файла ми по имейл, но е факт, че рекордера продължава да не работи. Казах на админа да ми прати лога обратно, защото той си е мой, за да го погледна, но вече не получих отговор от него.

Цялата тази работа ми се стори доста съмнителна. Много добре съм наясно какво правят подобни програми, но в случая с този сайт мислех, че няма проблеми и че всичко ще е ок.

Въпросите ми към вас са:

1 - Как мога да разбера какъв точно лог файл съм пратил и каква информация от моя комп е съдържал?

2 - Къде точно се съхраняват тези event logs на програмите в Уиндоус, за да погледна готов, съхранен лог файл на програмата и оттам да преценя какво съм му дал като информация от моя комп?

Готов съм да пратя двата файла на хора, които разбират от подобни програми, за да ги изследват по някакъв начин и да ми кажат дали са кийлогъри или някакви подобни шпионски програми, какво биха могли да причинят на компа ми и т.н. Антивирусната ми нищо не е засекла при стартирането на файла.

Благодаря Ви.

[Greenpeace]

P.S. Ето какво изписа при стартирането под Dos на AzPeqBugReport файла:

Reading Event log...

Sending Event log...

Restarting service....

Cannot start service AzpeqRecorder on computer '.'.

Done!

Press any key to exit

[Night_Raven]

1 - Как мога да разбера какъв точно лог файл съм пратил и каква информация от моя комп е съдържал?

Само като го отвориш въпросния дневник и видиш лично каква информация съдържа. Иначе няма начин да се знае точно каква информация е била събрана.

 

2 - Къде точно се съхраняват тези event logs на програмите в Уиндоус, за да погледна готов, съхранен лог файл на програмата и оттам да преценя какво съм му дал като информация от моя комп?

Стандартните дневници на Windows можеш да разгледаш чрез Event Viewer. Може би най-бързият начин за стартиране чрез меню Start -> Run (или клавиш Windows + R на клавиатурата), пишеш eventvwr -> OK.

Тези дневници често се преглеждат и/или изискват при решаване на подобни проблеми, защото съдържат информация за забиви/сривове на програми, проблеми при стартиране на услуги и прочее. Какво по-точно обаче е изпратено не може да се каже. Освен това може и друга информация да е пратена, не само от тези дневници.

 

Готов съм да пратя двата файла на хора, които разбират от подобни програми, за да ги изследват по някакъв начин и да ми кажат дали са кийлогъри или някакви подобни шпионски програми, какво биха могли да причинят на компа ми и т.н.

Ако се съмняваш дали даден файл е заплаха, можеш да го сканираш с помощта на онлайн услуга за целта. Една такава е VirusTotal. Разбира се резултатите не биха били гаранция, че файлът е опасен (ако бъде засечен) или че е безвреден (ако не бъде засечен).

[Greenpeace]

Благодаря ти Night_Raven за помощта,

сканирах ги двата файла с тоя сайт дето даде. На файла, който стартирах да праща информация нищо не отчете, а на рекордера има някакви съмнения, но вероятно са фалшиви, защото като рекордер то нали праща гласа ми към сайта, където звучи караокето, тоест все пак праща информация от моя комп. Предоставям данните и ще се радвам да чуя мнението ти отново.

https://www.virustot...sis/1341062404/

 

https://www.virustot...sis/1341062620/

 

Първият линк е за AzPeqBugReport файла (който прати инфото от event log-a на рекордера), а втория е за AzPeqSetup1.01 файла, който се явява инсталатора на рекордера дето така и не заработи.

Искам да те питам по принцип каква друга информация би могло да е изпратена? Ако е OS, IP, Mac няма проблеми, защото те всички админи я получават тази информация при самата регистрация на конкретния потребител. Друго какво би могло да е пратено? Като цяло времето за четене на лог-а беше кратко(2-3 секунди), тоест мисля че е прочетено само лог-а на рекордера, защото ако четеше и други логове някъде другаде би трябвало повече време да отнема, нали така?

Благодаря отново.

[Night_Raven]

Явно файловете са си наистина чисти.

Колкото до това каква друга информация може да е изпратена, ами, общо взето всякаква. Поне на теория. Няма почти никакви ограничения. Зависи каква информация авторът на програмата иска да получи и доколко добре може да напише програмата, за да успее да получи информацията.

Относно времето, също зависи. Зависи точно колко информация събира приложението, откъде я събира, как я складира и колко кадърно е написано то.

 

В случая изглежда сякаш не става въпрос за нещо зловредно. Най-вероятно не си получил отговор, защото в дневниците не е имало полезна информация и/или техническата им поддръжка просто е калпава. По-вероятно е второто, но може да е комбинация от двете с по-голям процент на второто.

[Greenpeace]

Здрасти отново Night_Raven,

дано всичко се е разминало само с празния лог от рекордера дето е получил въпросния админ.

Като разглеждах в Event Viewer-a си не открих никаква информация за нито една програма и най-вероятно той наистина не е получил инфо.

Евентуално къде другаде се съхраняват логове в уиндоус? Търсих в инсталационната папка на рекордера, но там няма лог. В Win32 папката дали се съхраняват, или някъде другаде? Искам просто да видя за какво става дума като информация.

[Night_Raven]

Това са дневниците, които операционната система води. Ако някое приложение си води собствен дневник, то е друг въпрос. Всяко приложение си складира дневниците в разични папки. И не разбрах каква е тази Win32 папка.

[Greenpeace]

Добре, да питам тогава как мога да разбера къде евентуално би могло едно приложение да си съхранява логовете? Как мога да разбера къде точно дадена програма си съхранява лог файловете?

 

...става дума за собствените дневници на съответното приложение.

[Night_Raven]

Ако въобще може да запазва дневници, тогава те биха били в някоя от следните папки:

- папката (или някоя от под-папките) на самото приложение;

- в съответната папка като по-горе, но в C:\Users\<име на акаунта>\AppData\Local\VirtualStore, ако приложението се стартира от Program Files под Windows Vista или Windows 7 с User Account Control активна и въпросното приложение не е написано кадърно;

- т.нар. папка AppData (в адресната лента на Explorer пишеш %appdata%);

- т.нар. папка Local AppData (в адресната лента на Explorer пишеш %localappdata%).