for(ensik){blog;}

Es gibt wieder eine neue Version des Parsers für die Ereignisprotokolle der Windows-Versionen ab Vista. Die Version 1.0.5 des Parsers berechnet CRC32-Prüfsummen nun deutlich schneller. Ausserdem werden einige neue Datentypen unterstützt. Der Perl-Quellcode steht hier zum Download bereit.

Von Andreas Schuster am 07.05.2010, 10:00 Uhr | Permalink

Es liegt 'was in der Luft... und zwar Vulkanasche. Wegen der daraus resultierenden Einschränkungen für den Luftverkehr konnte ein großer Teil der Teilnehmer und Referenten nicht zum SANS Forensics Summit nach London anreisen, so dass die Veranstaltung abgesagt wurde.

In meinem Vortrag wollte ich Fragen zum Dateiformat des Windows Ereignisprotokolls beantworten, die in letzter Zeit an mich herangetragen wurden. Wenn auch die mündlichen Erklärungen fehlen, so möchte ich wenigstens die Folien meines Vortrags veröffentlichen.

Von Andreas Schuster am 19.04.2010, 07:30 Uhr | Permalink

Version 1.0.4 des Eventlog-Parsers für Microsoft Vista und Windows 2008 steht jetzt zum Download bereit. Diese Version behebt wieder einige Fehler und überprüft nun auch die Integrität der Ereignis-Daten.

Von Andreas Schuster am 25.03.2010, 10:00 Uhr | Permalink

Die Trennung von Struktur und Inhalt ist zusammen mit dem Substitutions-Mechanismus eines der grundlegenden Konzepte des Ereignisprotokolls. In die Beschreibung der XML-Struktur sind Platzhalter eingebettet, die mit Werten aus dem SubstitutionArray, einer Tabelle am Ende des jeweiligen Protokolleintrags, gefüllt werden. Wann immer ein Eintrag in dieser Tabelle dem "Wert" NullType enthält, wird in der XML-Struktur der zugehörige Platzhalter mitsamt des ihn umgebenden XML-Elements unterdrückt. Die mit NullTypes gefüllten Einträge der Tabelle enthalten sonst keine weiteren Daten. Jedenfalls nahm ich das an, bis ich mich kürzlich überraschen lassen musste.

Von Andreas Schuster am 11.03.2010, 10:00 Uhr | Permalink

Ab sofort steht die Version 1.0.3 des Parsers für Ereignisprotokolle von Vista und Windows 2008 zum Download bereit. Die neue Version behebt einige Fehler und enthält auch kleinere Neuerungen.

Von Andreas Schuster am 25.02.2010, 10:00 Uhr | Permalink

Mit der Zeit musste ich leider feststellen, dass unterschiedliche Programme die einzelnen Ereignisse in einer Protokolldatei in unterschiedlicher Reihenfolge ausgeben. Die Ereignisanzeige in Microsoft Vista und Windows 2008 zum Beispiel sortiert beim Exportieren die Ereignisse in absteigender Reihenfolge von der höchsten zur niedrigsten EventRecordID. Mein eigenes Programm hingegen gibt die Ereignisse in der Reihenfolge wieder, wie es sie in der Datei findet. In den meisten Fällen wird dies in aufsteigender Reihenfolge von der niedrigsten zur höchsten EventRecordID sein. Allerdings lassen sich Protokolle auch in ihrer Größe beschränken; der älteste Teil wird dann bei Bedarf überschrieben. Die niedrigste EventRecordID findet man in diesem Fall mitten in der Datei. Wäre es nicht schön, wenn man diese Dateien einfach sortieren könnte?

Von Andreas Schuster am 08.02.2010, 10:00 Uhr | Permalink

Nachdem ich vor zwei Jahren einen ersten Parser für die binären, XML-basierten Ereignisprotokolle von Windows Vista veröffentlicht hatte, erreichten mich in der letzten Zeit einige Rückmeldungen zu dem Programm. Als Weihnachtsgeschenk gibt es dieses Jahr deshalb eine verbesserte und erweiterte Version dieses Werkzeugs.

Von Andreas Schuster am 22.12.2009, 10:00 Uhr | Permalink

In der Ausgabe 16 des kostenlosen Magazins (IN)SECURE beschreibt Rob Faber die Funktionsweise und die Möglichkeiten des Ereignisprotokolls von Microsoft Windows. Er betrachtet dabei sowohl das alte Protokoll der NT-Familie und den für Vista und den Windows Server 2008 überarbeiteten Dienst.

Von Andreas Schuster am 24.04.2008, 10:00 Uhr | Permalink

Ich freue mich, die erste Version meines Parsers für Vista Ereignisprotokolle veröffentlichen zu können. Das Archiv besteht zum größten Teil aus Perl-Modulen, die die mir derzeit bekannten internen Strukturen des Dateiformats implementieren. Weiterhin enthalten sind zwei Beispielanwendungen, die binäres XML in eine Textdarstellung umwandeln. Diese erste Version begleitet meinen Vortrag auf dem DFRWS 2007 in Pittsburgh.

Von Andreas Schuster am 11.08.2007, 08:00 Uhr | Permalink

Als eine der wichtigsten Neuerungen unterstützt das neue Ereignisprotokoll zahlreiche Datentypen. Soweit diese oberhalb der Programmierschnittstelle Verwendung finden, sind sie in einer C-Headerdatei (WinEvt.h) und natürlich im Microsoft Developer Network dokumentiert.

Von Andreas Schuster am 06.08.2007, 08:00 Uhr | Permalink