Die diversen CRC32-Prüfsummen in den Modulen Evtx.pm und Chunk.pm werden nun mit Digest::CRC berechnet, das erheblich schneller als das bisher verwendete Digest::Crc32 ist. Besonders deutlich wird der Geschwindigkeitsgewinn, wenn man eine sehr große Protokolldatei mit evtxinfo.pl untersucht. Dank an Kristinn Gudjonsson für den Verbesserungsvorschlag.

Mark Woan hat mir eine Beispieldatei zur Verfügung gestellt, die Daten des Typs 0x12 enthält. Es ist nun klar, dass es sich hierbei um die SYSTEMTIME Struktur handelt. Der Parser zeigt sie im ISO 8601-Format an und unterdrückt dabei den Wochentag.

Ausserdem erkennt der Parser jetzt auch Arrays mit Elementen HexInt32 und HexInt64. Dank an Christopher Ahearn für eine Beispieldatei.

In meinem Vortrag wollte ich Fragen zum Dateiformat des Windows Ereignisprotokolls beantworten, die in letzter Zeit an mich herangetragen wurden. Wenn auch die mündlichen Erklärungen fehlen, so möchte ich wenigstens die Folien meines Vortrags veröffentlichen.

In seltenen Fällen kann jedoch direkt hinter dem letzten Ereigniseintrag ein vollständiger alter Eintrag liegen. Der Parser versucht dann, die XML-Struktur zu rekonstruieren. Wenn jedoch im Zuge dessen das Modul Node0x0c.pm auf die XML Vorlage zuzugreifen versucht, so kann es diese an der erwarteten Position nicht finden. Die Vorlage befand sich nämlich an einem niedrigeren Offset und wurde längst mit neuen Meldungen überschrieben. Das führt dann schließlich zu der Fehlermeldung. Ab der vorliegenden Version erkennt der Parser diese besondere Konstellation und vermeidet den Fehler.

Für die erstmalige Meldung dieses Fehlers danke ich Kristinn Gudjonsson. Bei der genauen Diagnose hat mir eine Testdatei geholfen, die Michael Felber zur Verfügung stellte. Auch dafür ein herzliches Dankeschön!

Kürzlich habe ich im Block-Header noch eine weitere CRC32 Prüfsumme gefunden. Sie wird über den für Ereignismeldungen genutzten Datenbereich zwischen den Offsets 0x200 und OfsRecNext berechnet. Das Beispielprogramm evtxinfo.pl prüft nun für jeden Block mit Hilfe dieses Wertes die Integrität der gespeicherten Meldungen:

./evtxinfo.pl manipulated-SID.evtx 
Information from file header:
Format version  : 3.1
Flags           : 0x00000000
         File is: clean
     Log is full: no
Current chunk   : 2 of 2
Next Record#    : 161
Check sum       : pass

Information from chunks:
Chunk file (first/last)     log (first/last)      Header Data  
----- --------------------- --------------------- ------ ------
    1          1        113          1        113   pass   pass
    2        114        160        114        160   pass FAILED

Für dieses Beispiel hatte ich mit einem Hex Editor die Security ID in einem Protokolleintrag manipuliert. Entsprechend ist der Test des betroffenen zweiten Blocks gescheitert ("FAILED"). Dieser Schutzmechanismus ist jedoch nur gegen unabsichtliche Änderungen wirksam. Für einen Angreifer wäre es ein leichtes, nach der Manipulation eines Protokolleintrags auch die entsprechenden Prüfsummen neu zu berechnen und dadurch den Schutz zu unterlaufen.

In diesem Beispiel enthält der obere Eintrag 12 Bytes an Daten, die entsprechend dem Inhalt des Feldes "Type" als Security Identifier (SID) interpretiert werden sollen. Der nachfolgende Eintrag, Nr. 13, soll hingegen als NullType interpretiert werden. Dieser Eintrag enthält auch keine weiteren Daten.

Genau das habe ich in unzähligen Protokolleinträgen gesehen. Eines Tages aber schickte mir Roberto De Vivo eine Protokolldatei, die meinen Parser abstürzen ließ. Mehrere SubstitutionArrays in seiner Datei sahen in etwa so aus, wie es die folgende Abbildung zeigt:

Die Länge ist eindeutig von 0 verschieden und der Tabelleneintrag enthält Daten. Ich konnte in der Datei weitere NullType-Objekte finden; manche von ihnen enthalten bis zu16 Bytes an Daten.

Zunächst vermutete ich, dass ich ein grundlegend falsches Verständnis des NullType-Objektes entwickelt hatte. Also wandelte ich mit Microsofts eigener Ereignisprotokollanzeige die betreffenden Datensätzte in XML um. In diesem Klartext konnte ich die fraglichen Daten jedoch nicht finden.

Weitere Untersuchungen sind notwendig, um die Ursache für diese Daten zu finden, und ob sie in einer forensischen Analyse von Wert sind.

Vielen Interessenten sind dann letztlich die Hürden dieser Angebote zu hoch: Vereinbarkeit mit der familiären und beruflichen Situation, Kosten, aktive Fremdsprachenkenntnisse... Das neue Angebot an der FH Albstadt-Sigmaringen mit seiner deutlich niedrigeren Einstiegsschwelle ist hier sicherlich eine interessante Alternative.

Der Master versteht sich als Aufbaustudium, ein erster berufsbefähigender Abschluss an einer wissenschaftlichen Hochschule, Fachhochschule, Berufsakademie oder ein vergleichbarer Abschluss an einer ausländischen Bildungseinrichtung ist also erforderlich. Bewerber auf einen der 30 Studienplätze müssen darüber hinaus mindestens ein Jahr Praxiserfahrung in einem einschlägigen Beruf nachweisen, zum Beispiel als Administrator oder in der IT-Sicherheit.

Wer über keinen Hochschulabschluss verfügt, soll trotzdem einzelne Module aus dem Studiengang belegen können. Ein Abschluss mit dem Master ist dann aber natürlich nicht möglich.

Das Studium findet überwiegend online statt. Präsenzveranstaltungen sollen vorwiegend an Wochenenden und an den kooperierenden Hochschulen, der FH Albstadt-Sigmaringen und den Universitäten Mannheim und Tübingen abgehalten werden. Das Angebot ist damit auch für Interessenten aus Österreich und der Schweiz attraktiv.

Die Unterrichtssprache ist Deutsch. Man wird aber sicherlich nicht umhin kommen, Fachtexte in englischer Sprache zu lesen. Wer seinen Bekanntheitsgrad steigern möchte, wird wahrscheinlich auch seine Master-Thesis in Englisch schreiben.

Das Studium besteht aus 17 Modulen, wobei je Semester drei Module angeboten werden sollen. Die Regelstudienzeit liegt also bei 6 Semestern. Das Studium kostet ca. 15.000 EUR. Vorkenntnisse können angerechnet werden und reduzieren Studiendauer und -Kosten.

Für weitere Auskünfte steht die Studienberatung unter digitale-forensik [at] hs-albsig [punkt] de oder Telefon +49 (0) 7571-732 94 40 zur Verfügung. Weitere Informationen sollen in Kürze auch unter www.digitaleforensik.com veröffentlicht werden.

Eine Aufnahme des Studiums ist jeweils zum Wintersemester möglich. Bewerbungen sind bis zum 15. Juli an die FH Albstadt-Sigmaringen zu richten.

Hexadezimalzahlen werden jetzt in Großbuchstaben ausgegeben und entsprechen insofern der Darstellung im Microsoft Event Viewer. Auch die Ausgabe der GUIDs habe ich angepasst.

Das Modul für den Type0x12 musste ich leider entfernen, da mir bislang nicht ausreichend Testdaten zur Überprüfung seiner korrekten Funktion zur Verfügung stehen.

Neu enthalten ist die Datei evtxsort.xsl, mit deren Hilfe sich Protokolldateien im XML-Format sortieren und normalisieren lassen.

Bereits in der Version 1.0.2 gab es folgende Änderungen (aber keine Ankündigung im deutschsprachigen Blog):

XML-Sonderzeichen werden nun richtig codiert. Dieser Fehler wurde von Kristinn Gudjonsson gemeldet.

NullType-Objekte können Daten enthalten. Roberto De Vivo hat mir eine Datei überlassen, aus der dieses seltsame Verhalten klar hervorgeht.

An der Programmarchitektur gab es einige Änderungen in der Behandlung der schließenden Tags von XML-Elementen. Von Bedeutung sind diese Änderungen allerdings nur für Programmierer, die auf der Bibliothek aufsetzen.

Ausserdem müssen Daten, die zu unterschiedlichen Fällen gehören, sauber getrennt werden. Dies ist einfach zu erreichen, indem man für jeden Fall einen eigenen, "sterilen", Datenträger verwendet.

WiebeTech Drive eRazer DRZR-2-VBND und Drive eRazer PRO löschen beide wie erwartet die sichtbaren Sektoren. Sektoren innerhalb der Host Protected Area (HPA) oder des Device Configuration Overlays (DCO) werden jedoch nicht immer gelöscht. Einzelheiten hierzu enthält der Testbericht. (PDF)

Voom HardCopy II unterstützt nicht das ATA SECURE WRITE Kommando. Die Testmedien wurden vollständig gelöscht. (PDF)

Die populäre Boot-CD Darik's Boot and Nuke 1.0.7 unterstützt ebenfalls nicht das SECURE WRITE Kommando, sondern überschreibt Sektoren per WRITE. Laut Untersuchungsbericht ist durch den Hersteller dokumentiert, dass hierbei HPA und DCO nicht angetastet werden; die entsprechenden Tests unterblieben deshalb. (PDF)

Der Editor unterstützt jetzt nativ UNICODE Strings (wstring bzw. wchar). Damit entfallen in meinen Template zahlreiche unelegante Workarounds.

Der Preprocessor funktioniert jetzt so, wie man es von der Programmiersprache C her kennt. Allerdings erfordert #include jetzt, dass das Argument in spitze Klammern oder Anführungszeichen eingeschlossen sein muss. Das ist noch nicht in allen meinen Templates der Fall, kann aber bei Bedarf schnell ausgebessert werden.

Das Update auf Version 3.1 ist bei Sweetscape erhältlich.

<?xml version="1.0" encoding="UTF-8" ?>

<xsl:stylesheet version="1.0" 
  xmlns:xsl="http://www.w3.org/1999/XSL/Transform" 
  xmlns:evtx="http://schemas.microsoft.com/win/2004/08/events/event">
  
  <xsl:output method="xml" indent="yes" encoding="UTF-8"/>
  <xsl:strip-space elements="*" />
  
  <xsl:template match="Events">
    <xsl:copy>
      <xsl:apply-templates select="evtx:Event">
        <xsl:sort select="evtx:System/evtx:EventRecordID" 
          data-type="number" 
          order="ascending"/>
        </xsl:apply-templates>
      </xsl:copy>
  </xsl:template>
  
  <xsl:template match="*">
    <xsl:copy>
      <xsl:apply-templates/>
    </xsl:copy>
  </xsl:template>
</xsl:stylesheet>

Sie sollten diese Transformation mit jedem XSLT Prozessor wie Sablotron, Xalan oder SAXON ausführen können. Da ich bereits die Programmbibliothek libxslt installiert hatte, konnte ich deren XSLT Prozessor xsltproc verwenden:
xsltproc evtxsort.xsl mylog.xml > mylog.sorted.xml
Die Protokolldatei ist jetzt übersichtlich mit Einrückungen formatiert und ihre Datensätze sind nach der EventRecordID in aufsteigender Reihenfolge sortiert.

Sie können diese Transformation leicht an Ihre eigenen Vorstellungen anpassen, zum Beispiel die Einträge in Absteigender Reihenfolge sortieren, oder nach der EventID (der Art des Ereignisses) sortieren, oder einen zusammenfassenden Bericht erstellen, usw. Den Möglichkeiten sind kaum Grenzen gesetzt.

• Im Modul Node0x0d.pm habe ich einen zu restriktiven Test entfernt. Der Parser reagiert jetzt flexibler auf unbekannte Datentypen. Ich danke Rob Hulley und Adrian Forschner für die Meldung der Fehler und die Bereitstellung von Testdaten.
• Das Modul Evtx.pm aktualisiert jetzt selbsttätig einen Zeiger auf den aktuell verarbeiteten Block. Über die Methode get_current_chunk() kann der Wert jederzeit abgerufen werden.
• Die Module Evtx.pm und Chunk.pm werten zusätzliche Felder aus den Köpfen der Datei und der einzelnen Blöcke aus. Dank an Rob Hulley für einen Patch.
• Das Programm evtxinfo.pl zeigt diese Eigenschaften an. Außerdem nennt es jeweils den ersten und letzten Datensatz in einem Block, und zwar auf die vorliegende Datei und das gesamte Protokoll bezogen:

$ ./evtxinfo.pl sample4.evtx 
Information from file header:
Format version  : 3.1
Flags           : 0x00000000
         File is: CLEAN
     Log is full: NO
Current chunk   : 2 of 16
Next Record#    : 5276

Information from chunks:
Chunk file (first/last)     log (first/last)     
----- --------------------- ---------------------
    1       4681       4976       4902       5197
    2       4977       5054       5198       5275
    3        593        888        814       1109
    4        889       1135       1110       1356
    5       1136       1431       1357       1652
    6       1432       1727       1653       1948
    7       1728       2023       1949       2244
    8       2024       2312       2245       2533
    9       2313       2608       2534       2829
   10       2609       2904       2830       3125
   11       2905       3200       3126       3421
   12       3201       3496       3422       3717
   13       3497       3792       3718       4013
   14       3793       4088       4014       4309
   15       4089       4384       4310       4605
   16       4385       4680       4606       4901

25.02.2010: Bitte beachten Sie auch die Ankündigung der Version 1.0.3.