Vista Eventlog: "Ein Template für SubstitutionArrays"

In einem früheren Beitrag habe ich die Funktionsweise von Platzhaltern innerhalb des XML-Datenstroms und ihre Verbindung zum "SubstitutionArray" beschrieben. Wenn man die XML-Struktur kennt oder zumindest eine wohlbegründete Vermutung über ihre Form anstellen kann, dann reduziert sich die Aufgabe der Transformation von der binären in die textuelle Darstellung letztlich auf die Analyse des SubstitutionArrays. Als Hilfestellung habe ich hierzu einige Templates für den 010 Editor erstellt.

Gegenwärtig ist es noch eine kleine Sammlung von Templates und Hilfsdateien. Das Archiv enthält die folgenden Dateien:

SID.inc.bt - Hilfsdatei mit Funktionen zur Anzeige von Microsoft Security Identifiern (SID)
EVTXSubstArray.inc.bt - Hilfsdatei mit allgemeinen Datenstrukturen
EVTXSubstArrayGeneric.bt - Analyse allgemeiner SubstitutionArrays
EVTXSubstArraySystem.bt - Analyse des SubstitutionArrays des" System" Elements

Das Template für allgemeine SubstitutionArrays lässt sich immer anwenden. Positionieren Sie hierzu den Cursor unmittelbar vor die Datenstruktur und lassen Sie dann das Template EVTXSubstArrayGeneric ausführen. Das Template stellt daraufhin eine Liste aller Einträge im SubstitutionArray dar. Die einzelnen Einträge lassen sich weiter aufklappen, um den Datentyp und die Daten selbst in einer geeigneten Form darzustellen.

Im Fall des "System" Elements gibt es eine feste Zuordnung zwischen der Position im SubstitutionArray und einzelen Sub-Elementen beziehungsweise Attribut/Wert-Paaren. Das Template EVTXSubstArraySystem berücksichtigt dies und verwendet statt fortlaufend numerierter Einträge (weitestgehend) selbsterklärende Bezeichner.

Zuordnung der Einträge zu Sub-Elementen des System-Elements

Dieses Template ist sehr hilfreich, wenn ein Ereignisdatensatz isoliert vom zugehörigen Block interpretiert werden muss.

Ein Template für SubstitutionArrays

Kategorien:

Tags:

Suchen

English

Aktuelle Einträge

Rubriken

Abonnieren

Impressum