Evtx Parser Version 1.0.5

Es gibt wieder eine neue Version des Parsers für die Ereignisprotokolle der Windows-Versionen ab Vista. Die Version 1.0.5 des Parsers berechnet CRC32-Prüfsummen nun deutlich schneller. Ausserdem werden einige neue Datentypen unterstützt. Der Perl-Quellcode steht hier zum Download bereit.

Die Änderungen im Einzelnen:

Die diversen CRC32-Prüfsummen in den Modulen Evtx.pm und Chunk.pm werden nun mit Digest::CRC berechnet, das erheblich schneller als das bisher verwendete Digest::Crc32 ist. Besonders deutlich wird der Geschwindigkeitsgewinn, wenn man eine sehr große Protokolldatei mit evtxinfo.pl untersucht. Dank an Kristinn Gudjonsson für den Verbesserungsvorschlag.

Mark Woan hat mir eine Beispieldatei zur Verfügung gestellt, die Daten des Typs 0x12 enthält. Es ist nun klar, dass es sich hierbei um die SYSTEMTIME Struktur handelt. Der Parser zeigt sie im ISO 8601-Format an und unterdrückt dabei den Wochentag.

Ausserdem erkennt der Parser jetzt auch Arrays mit Elementen HexInt32 und HexInt64. Dank an Christopher Ahearn für eine Beispieldatei.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12