Rubrik "Vista Eventlog"

Windows Log Forensics

In der Ausgabe 16 des kostenlosen Magazins (IN)SECURE beschreibt Rob Faber die Funktionsweise und die Möglichkeiten des Ereignisprotokolls von Microsoft Windows. Er betrachtet dabei sowohl das alte Protokoll der NT-Familie und den für Vista und den Windows Server 2008 überarbeiteten Dienst.

Ein Parser für Vistas Ereignisprotokolldateien

| 1 Kommentar

Ich freue mich, die erste Version meines Parsers für Vista Ereignisprotokolle veröffentlichen zu können. Das Archiv besteht zum größten Teil aus Perl-Modulen, die die mir derzeit bekannten internen Strukturen des Dateiformats implementieren. Weiterhin enthalten sind zwei Beispielanwendungen, die binäres XML in eine Textdarstellung umwandeln. Diese erste Version begleitet meinen Vortrag auf dem DFRWS 2007 in Pittsburgh.

Evtx Datentypen

Als eine der wichtigsten Neuerungen unterstützt das neue Ereignisprotokoll zahlreiche Datentypen. Soweit diese oberhalb der Programmierschnittstelle Verwendung finden, sind sie in einer C-Headerdatei (WinEvt.h) und natürlich im Microsoft Developer Network dokumentiert.

Ein Template für SubstitutionArrays

In einem früheren Beitrag habe ich die Funktionsweise von Platzhaltern innerhalb des XML-Datenstroms und ihre Verbindung zum "SubstitutionArray" beschrieben. Wenn man die XML-Struktur kennt oder zumindest eine wohlbegründete Vermutung über ihre Form anstellen kann, dann reduziert sich die Aufgabe der Transformation von der binären in die textuelle Darstellung letztlich auf die Analyse des SubstitutionArrays. Als Hilfestellung habe ich hierzu einige Templates für den 010 Editor erstellt.

Substitution

Der Mechanismus der "Substitution" ermöglicht es, die XML Struktur von den eigentlichen Inhalten zu trennen. Die veränderlichen Daten werden dabei in eine Tabelle, das Substitution Array, ausgelagert. Platzhalter im XML-Datenstrom, die beiden NormalSubstitution und OptionalSubstitution genannten Token, stellen dann die Verbindung her.

Umwandlung in Token

Text zu parsen, kann eine sehr aufwändige Angelegenheit sein. Das gilt insbesondere im Fall von XML, das für seine geringe Informationsdichte bekannt ist. Unter der Annahme, dass die in XML abgefassten Ereignismeldungen mehrfach gelesen werden, kann die Umwandlung einzelner Elemente dieser Sprache in maschinell einfacher zu verarbeitende Symbole beträchtliche Rechenzeit einsparen und auch den Platzbedarf zur Speicherung der Daten herabsetzen.

Die innere Struktur

Der bei weitem größte Teil eines Ereignis-Eintrags entfällt auf Daten in einer binären Darstellung von XML. Ich werde die Interna dieser komplexen Struktur in einer Serie von Beiträgen erklären. Heute beginne ich mit einer Übersicht über das XML Schema.

Evtx-Template für den 010 Editor

Ich freue mich, die erste Version eines Templates für den 010 Editor veröffentlichen zu können, das die äußeren Strukturen eines Vista Event Logs analysiert. Mit "äußeren Strukturen" bezeichne ich die bereits in diesem Blog dargestellten Strukturen vom Datei-Header bis hin zum einzelnen Ereignis-Eintrag. Die Analyse des binären XML innerhalb eines Ereignis-Eintrags wird jedoch einem komplexeren Werkzeug vorbehalten bleiben, das ich innerhalb der nächsten Wochen an dieser Stelle veröffentlichen werde.

Evtx Ereignis-Eintrag

Dieser Beitrag beschreibt die Struktur eines Ereignis-Eintrags in den Protokolldateien (.evtx) von Windows Vista. Die Ereignis-Einträge werden in den Blöcken gespeichert. Dort folgen sie, einer nach dem anderen, unmittelbar auf den Block-Header.

Evtx Block-Header

Jede Protokolldatei enthält einen oder mehrere sogenannte "Blöcke" (chunks), die die Ereignismeldungen enthalten. Im Betrieb ist dabei jeweils nur der aktuelle Block einer Protokolldatei im Arbeitsspeicher abgebildet.
 1 2 3 

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12