Evtx Parser Version 1.0.3

Ab sofort steht die Version 1.0.3 des Parsers für Ereignisprotokolle von Vista und Windows 2008 zum Download bereit. Die neue Version behebt einige Fehler und enthält auch kleinere Neuerungen.

Datei- und Block-Header sind mit einer CRC32-Prüfsumme vor versehentlichen Änderungen geschützt. Die Bibliothek kann nun diese Prüfsummen auswerten; das Beispielprogramm evtxinfo.pl prüft mit ihrer Hilfe die Datei und die einzelnen Blöcke.

Hexadezimalzahlen werden jetzt in Großbuchstaben ausgegeben und entsprechen insofern der Darstellung im Microsoft Event Viewer. Auch die Ausgabe der GUIDs habe ich angepasst.

Das Modul für den Type0x12 musste ich leider entfernen, da mir bislang nicht ausreichend Testdaten zur Überprüfung seiner korrekten Funktion zur Verfügung stehen.

Neu enthalten ist die Datei evtxsort.xsl, mit deren Hilfe sich Protokolldateien im XML-Format sortieren und normalisieren lassen.

Bereits in der Version 1.0.2 gab es folgende Änderungen (aber keine Ankündigung im deutschsprachigen Blog):

XML-Sonderzeichen werden nun richtig codiert. Dieser Fehler wurde von Kristinn Gudjonsson gemeldet.

NullType-Objekte können Daten enthalten. Roberto De Vivo hat mir eine Datei überlassen, aus der dieses seltsame Verhalten klar hervorgeht.

An der Programmarchitektur gab es einige Änderungen in der Behandlung der schließenden Tags von XML-Elementen. Von Bedeutung sind diese Änderungen allerdings nur für Programmierer, die auf der Bibliothek aufsetzen.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12