Evtx Parser Version 1.0.1
Nachdem ich vor zwei Jahren einen ersten Parser für die binären, XML-basierten Ereignisprotokolle von Windows Vista veröffentlicht hatte, erreichten mich in der letzten Zeit einige Rückmeldungen zu dem Programm. Als Weihnachtsgeschenk gibt es dieses Jahr deshalb eine verbesserte und erweiterte Version dieses Werkzeugs.
Die die wichtigsten Änderungen sind:
- Im Modul Node0x0d.pm habe ich einen zu restriktiven Test entfernt. Der Parser reagiert jetzt flexibler auf unbekannte Datentypen. Ich danke Rob Hulley und Adrian Forschner für die Meldung der Fehler und die Bereitstellung von Testdaten.
- Das Modul Evtx.pm aktualisiert jetzt selbsttätig einen Zeiger auf den aktuell verarbeiteten Block. Über die Methode get_current_chunk() kann der Wert jederzeit abgerufen werden.
- Die Module Evtx.pm und Chunk.pm werten zusätzliche Felder aus den Köpfen der Datei und der einzelnen Blöcke aus. Dank an Rob Hulley für einen Patch.
- Das Programm evtxinfo.pl zeigt diese Eigenschaften an. Außerdem nennt es jeweils den ersten und letzten Datensatz in einem Block, und zwar auf die vorliegende Datei und das gesamte Protokoll bezogen:
$ ./evtxinfo.pl sample4.evtx
Information from file header:
Format version : 3.1
Flags : 0x00000000
File is: CLEAN
Log is full: NO
Current chunk : 2 of 16
Next Record# : 5276
Information from chunks:
Chunk file (first/last) log (first/last)
----- --------------------- ---------------------
1 4681 4976 4902 5197
2 4977 5054 5198 5275
3 593 888 814 1109
4 889 1135 1110 1356
5 1136 1431 1357 1652
6 1432 1727 1653 1948
7 1728 2023 1949 2244
8 2024 2312 2245 2533
9 2313 2608 2534 2829
10 2609 2904 2830 3125
11 2905 3200 3126 3421
12 3201 3496 3422 3717
13 3497 3792 3718 4013
14 3793 4088 4014 4309
15 4089 4384 4310 4605
16 4385 4680 4606 4901
25.02.2010: Bitte beachten Sie auch die Ankündigung der Version 1.0.3.
