Evtx Parser Version 1.0.8

Meine Bibliothek und Programmsammlung zum Auslesen von Windows Ereignisprotokollen ist in Version 1.0.8 erschienen. Während es nur kleinere Verbesserungen am Programmcode gibt, hat sich die Organisation des Archivs grundlegend geändert. Ich entschuldige mich schon vorab für etwaige Unannehmlichkeiten, die diese Änderung verursacht. Die aktuelle Version ist hier verfügbar.

Zu den wesentlichen Änderungen seit der Version 1.0.7 gehören:

Alle von BxmlNode abgeleiteten Objekte geben jetzt einen kurzen Hex Dump mit den Rohdaten aus, wenn sie auf ein unbekanntes Konstrukt treffen. Bitte senden Sie mir diese Daten wenn irgend möglich, um mir die Verbesserung des Parsers zu ermöglichen.

Evtx.pm liest jetzt die Nummer des ältesten Chunks aus dem Dateikopf und macht diese Information in der Variablen OldestChunk verfügbar. Bitte beachten Sie, dass der älteste Chunk nicht notwendigerweise auch der erste in der Datei ist. Das Beispielprogramm evtxinfo.pl zeigt jetzt den ältesten und den gegenwärtig aktiven Chunk an:

$ evtxinfo.pl rotated.evtx 
Information from file header:
Format version  : 3.1
Flags           : 0x00000000
         File is: clean
     Log is full: no
Current chunk   : 2 of 16
Oldest chunk    : 3
Next Record#    : 5257
Check sum       : pass

Information from chunks:
Chunk file (first/last) log (first/last) Header Data - ----- --------------------- --------------------- ------ ------ 1 4681 4976 4902 5197 pass pass * 2 4977 5035 5198 5256 pass pass > 3 593 888 814 1109 pass pass 4 889 1135 1110 1356 pass pass 5 1136 1431 1357 1652 pass pass ...

Der Stern (*) markiert den aktuellen Chunk, die spitze Klammer (>) zeigt den ältesten Chunk an.

Richard W. M. Jones ergänzte die Beispielprogramme um erklärende Texte im POD Format. Er stellte mir auch ein einfaches Build-System zur Installation der Bibliothek zur Verfügung, was allerdings einige Änderungen am Archiv nach sich zog. Für die Unterstützung danke ich Richard sehr herzlich!

Ab sofort wird das Archiv Parse-Evtx-<version>.zip heißen; Parse-Evtx-current.zip verweist auf die jeweils aktuelle Version. Den bisherigen Verweis EvtxParse-current.zip wird es aber weiterhin geben.

Die Bibliothek und die Beispielprogramme lassen sich nun in der für Perl Module üblichen Weise installieren:

$ perl Makefile.pl
$ make
$ sudo make install

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12