Templates für Hex-Editoren

Bislang habe ich für die Logdateien des Eventlog-Dienstes von Windows NT den Header und den Cursor beschrieben. Für den wichtigsten Satztyp, nämlich den Ereigniseintrag, gibt es bekanntlich eine nahezu vollständige Beschreibung im Microsoft Developer Network. Um die tägliche Arbeit etwas zu erleichtern, habe ich diese Strukturen in Templates für den 010 Editor von Sweetscape und die Produkte von X-Ways umgesetzt. Die Templates stehen auf den angegebenen Webseiten der Hersteller zum Download bereit. Über Verbesserungsvorschläge und Erfahrungen im Einsatz der Templates würde ich mich freuen.

Der Screenshot zeigt das Template für den Ereignissatz im 010 Editor. Durch die leistungsfähige Scriptsprache ist es mit diesem Editor sogar möglich, die Security-ID aus ihrer binären Form in die leichter lesbare Textdarstellung zu überführen.

evt-template-010ed.png

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12