Evtx Parser Version 1.0.1

Nachdem ich vor zwei Jahren einen ersten Parser für die binären, XML-basierten Ereignisprotokolle von Windows Vista veröffentlicht hatte, erreichten mich in der letzten Zeit einige Rückmeldungen zu dem Programm. Als Weihnachtsgeschenk gibt es dieses Jahr deshalb eine verbesserte und erweiterte Version dieses Werkzeugs.

Die die wichtigsten Änderungen sind:

  • Im Modul Node0x0d.pm habe ich einen zu restriktiven Test entfernt. Der Parser reagiert jetzt flexibler auf unbekannte Datentypen. Ich danke Rob Hulley und Adrian Forschner für die Meldung der Fehler und die Bereitstellung von Testdaten.
  • Das Modul Evtx.pm aktualisiert jetzt selbsttätig einen Zeiger auf den aktuell verarbeiteten Block. Über die Methode get_current_chunk() kann der Wert jederzeit abgerufen werden.
  • Die Module Evtx.pm und Chunk.pm werten zusätzliche Felder aus den Köpfen der Datei und der einzelnen Blöcke aus. Dank an Rob Hulley für einen Patch.
  • Das Programm evtxinfo.pl zeigt diese Eigenschaften an. Außerdem nennt es jeweils den ersten und letzten Datensatz in einem Block, und zwar auf die vorliegende Datei und das gesamte Protokoll bezogen:
$ ./evtxinfo.pl sample4.evtx 
Information from file header:
Format version  : 3.1
Flags           : 0x00000000
         File is: CLEAN
     Log is full: NO
Current chunk   : 2 of 16
Next Record#    : 5276

Information from chunks: Chunk file (first/last) log (first/last) ----- --------------------- --------------------- 1 4681 4976 4902 5197 2 4977 5054 5198 5275 3 593 888 814 1109 4 889 1135 1110 1356 5 1136 1431 1357 1652 6 1432 1727 1653 1948 7 1728 2023 1949 2244 8 2024 2312 2245 2533 9 2313 2608 2534 2829 10 2609 2904 2830 3125 11 2905 3200 3126 3421 12 3201 3496 3422 3717 13 3497 3792 3718 4013 14 3793 4088 4014 4309 15 4089 4384 4310 4605 16 4385 4680 4606 4901

25.02.2010: Bitte beachten Sie auch die Ankündigung der Version 1.0.3.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12