Evtx-Template für den 010 Editor
Ich freue mich, die erste Version eines Templates für den 010 Editor veröffentlichen zu können, das die äußeren Strukturen eines Vista Event Logs analysiert. Mit "äußeren Strukturen" bezeichne ich die bereits in diesem Blog dargestellten Strukturen vom Datei-Header bis hin zum einzelnen Ereignis-Eintrag. Die Analyse des binären XML innerhalb eines Ereignis-Eintrags wird jedoch einem komplexeren Werkzeug vorbehalten bleiben, das ich innerhalb der nächsten Wochen an dieser Stelle veröffentlichen werde.
Das Template analysiert die folgenden Strukturen:
- Datei-Header
- Block-Header
- String Tabelle
- Template Tabelle
- Ereignis-Eintrag
Die nachfolgenden Bildschirmfotos zeigen die Ausgabe des Templates. Zuerst der Datei-Header:
Dies ist die String-Tabelle. Das Template löst die einzelnen Adressen auf und stellt die entsprechenden Zeichenfolgen dar:
Und so sieht schließlich ein Ereignis-Satz aus. Lediglich die Satznummer und ein Zeitstempel finden sich außerhalb der komplexen binären XML-Struktur.
