Sonderbares IE7 Event Log

Bill Tydeman berichtete in der Windows Forensic Analysis Gruppe von Yahoo! und in seinem neuen Blog über ein Event Log für den Microsoft Internet Explorer 7. Sonderbar ist, dass das Log anscheinend nicht korrekt konfiguriert und die Datei verstümmelt ist.

Nachdem der Event Log Dienst von Microsoft Windows NT seit über 10 Jahren ein Schattendasein fristet, entdecken ihn nun auch Microsofts Programmierer. Unter Windows XP hat bereits die "Power Shell" (auch unter ihrem Codenamen Monad bekannt) ihr eigenes Event Log bekommen. Und nun gibt es auch ein Protokoll für den Internet Explorer 7 - allerdings funktioniert es nicht.

In einem ersten Beitrag für sein Blog beschreibt Bill seine Entdeckung, die Datei Internet.evt. Ein zweiter Artikel verrät einige interessante Details wie eine Ansicht der Datei im Hexeditor und die Konfiguration des Protokolls in der Registry. Eigentlich sollte dort ein Wert namens File auf die Datei verweisen - aber den gibt es nicht. Dem Header der Logs zufolge ist die Datei noch leer, der erste Ereigniseintrag sollte am Offset 0x30 beginnen.

Der Cursor-Satz der Datei sieht seltsam aus: Der Offset der ersten Ereignismeldung soll nun plötzlich am Offset 0x2c0c4 zu finden sein. Auch deklariert der Cursor Satznummern zwischen 10022 und 11840.

Auf einem meiner Computer, XP SP2 mit deutscher Lokalisierung, sieht es ähnlich aus. Der Dateiname ist hier Windows .evt (mit Leerzeichen!) statt Internet.evt. Offsets und Satznummern im Cursor unterscheiden sich von denen in Bills Beispiel, ergeben aber ebenfalls keinen Sinn.

Die wahrscheinlichste Erklärung scheint mir eine gescheiterte Installation des Ereignisprotokolls für den IE7 zu sein. Ich habe versucht, die Einstellungen zu reparieren. Hierzu habe ich den Dateinamen und -größe sowie die Vorhaltedauer und die Standard-Datenquelle auf Standardwerte gesetzt. Allerdings ist es mir trotz allem nicht gelungen, dem Internet Explorer auch nur eine einzige Ereignismeldung zu entlocken. Ich frage deshalb: Wer hat bereits ein ordnungsgemäß konfiguriertes und mit Meldungen gefülltes Ereignisprotokoll für den Internet Explorer 7 gesichtet?

24.05.2007: Frank Heyne beschreibt einige weitere interessante Beobachtungen, die sich hauptsächlich auf die Betrachtung von Vista Event Logs mittels der Ereignisprotokollanzeige von Windows XP beziehen.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12