Search
Search the blog.
Gelöschte EVTX-Datensätze carven und überrollte Logs wiederherstellen
Signatur-basiertes Carving von EVTX-Datensätzen aus nicht zugewiesenem Speicher, Pagefile und RAM, plus die Tools, die mit kaputten Chunks gut umgehen, wenn das Live-Log fehlt, was du brauchst.
Lateral Movement in Security.evtx erkennen
Wie echte Angreifer-Tools sich in Windows-Umgebungen von Host zu Host bewegen, und die genauen Event-ID-Kombinationen in Security.evtx, die PsExec, Impacket und WMIExec fangen.
Ereignisprotokoll-Löschung und die Lücken, die überleben
Wie Angreifer Windows-Ereignisprotokolle leeren, welche Beweise auf der Festplatte und in weitergeleiteten Kanälen verbleiben, und der Unterschied zwischen wevtutil cl und Thread-Suspendierungs-Tools wie Invoke-Phant0m.
Das EVTX-Dateiformat, entschlüsselt
Eine praktische Tour durch das binäre EVTX-Format: Datei-Header, ELFCHNK-Chunks, BinXML-Templates, Substitutionsarrays und warum das Parsen schwerer ist, als es aussieht.
EVTX-Triage: was Sie zuerst lesen, wenn Sie eine Stunde und einen Host haben
Eine Reihenfolge der Operationen eines Praktikers für die Triage von Windows Event Logs während eines Incident Response: welche Channels wichtig sind, welche Event-IDs Sie anlügen und wo Sysmon die Schwerstarbeit leistet.
PowerShell-Logging: was Sie mit Modul- und Scriptblock-Logging an bekommen
Der praktische Unterschied zwischen PowerShell Module Logging, Script Block Logging, Transcripts und AMSI-Buffern, und die GPO-Einstellungen, die die nützlichen tatsächlich einschalten.
Sysmon-Konfiguration, die echte Angreifer fängt
Eine meinungsstarke Sichtweise auf Sysmon: welche Event-IDs in IR tatsächlich wichtig sind, warum olafhartong/sysmon-modular die richtige Baseline ist, und die Konfigurationsfehler, die Sie für echte Angriffe blind machen.
Event ID 4663 erklärt: Datei- und Registry-Zugriffsauditing mit SACLs
4663 ist der Objekt-Audit-Datensatz pro Zugriff. Konfiguriere SACLs auf den richtigen Dateien und Schlüsseln, und du bekommst ein Byte-genaues Log darüber, wer was berührt hat. Nützlich für Ransomware, Exfil und Credential-Store-Diebstahl.
Event ID 4672 erklärt: privilegierte Anmeldungen in Windows erkennen
Event ID 4672 feuert, sobald einer Anmeldung sensible Privilegien wie SeDebugPrivilege oder SeTcbPrivilege gewährt werden. Lies es als das Signal admin-äquivalenter Sitzungen.
Event ID 4688 erklärt: Windows-Prozesserstellungs-Auditing für DFIR
4688 ist der Prozesserstellungs-Datensatz des Basis-OS, vorausgesetzt Command-Line-Auditing ist an. Hier ist, was drinsteht, wie er sich von Sysmon 1 unterscheidet und welche Triage-Muster sich lohnen.
Event ID 4720 erklärt: bösartige Kontoerstellung in AD erkennen
4720 feuert jedes Mal, wenn ein Benutzerkonto erstellt wird, lokal oder Domäne. Lies es mit 4722, 4724 und 4732, und du fängst Persistenz- und Lateral-Movement-Konten innerhalb von Minuten.
Event ID 4768 erklärt: Kerberos-TGT-Anfragen und AS-REP-Roasting
4768 ist der DC-Datensatz jedes ausgestellten TGT. Lies ihn über den Result-Code und das Pre-Auth-Flag, und du erkennst AS-REP-Roasting, Brute Force und Missbrauch unconstrained delegation.
Event ID 4769 erklärt: Kerberos-Service-Tickets und Kerberoasting
4769 ist der DC-Datensatz jeder Service-Ticket-Anfrage. Lies ihn über den Verschlüsselungstyp und du erkennst Kerberoasting. Lies ihn mit 4768 und du erkennst Pass-the-Ticket.
Event ID 7036 erklärt: Dienstzustandsänderungen für die DFIR-Triage
7036 feuert jedes Mal, wenn ein Dienst startet oder stoppt. Gepaart mit 7045 bestätigt es, ob die Persistenz tatsächlich gelaufen ist. Allein offenbart es Dienstmissbrauch, Defense Evasion und Boot-Anomalien.
Eine .evtx-Datei öffnen (5 Methoden, keine Installation erforderlich)
Fünf Wege, eine Windows .evtx-Datei zu öffnen: im Browser, im Event Viewer, mit wevtutil, mit EvtxECmd oder mit python-evtx. Wählen Sie nach Host-OS und wie viel Reibung Sie aushalten.
Was ist eine .evtx-Datei? Das Windows-Ereignisprotokollformat erklärt
Eine .evtx-Datei ist ein binäres Windows-Ereignisprotokoll. Wo sie liegen, was drinsteckt, wie sie sich von .evt unterscheiden und wie man sie öffnet. Keine Installation nötig.
Wie man .evtx-Logs von einem laufenden Windows-System sammelt (4 Methoden)
Vier Wege, .evtx von einem Live-Windows-Host zu ziehen: wevtutil, FTK Imager, KAPE, Roh-NTFS. Mit den Beweisketten-Kompromissen für jede und den Befehlen, die du tatsächlich tippst.
Event ID 4625 erklärt: Brute Force, Sprays und Enumeration erkennen
4625 ist der Datensatz für fehlgeschlagene Anmeldungen. Lies ihn richtig und du erkennst Password Sprays, Credential Stuffing und Kerberos-Missbrauch, bevor sie zum Erfolg werden.
Event ID 1102 erklärt: Security-Audit-Log geleert (und was überlebt)
1102 ist das eine Ereignis, das du nicht unterdrücken kannst, ohne mehr Beweise zu hinterlassen. Hier ist, was es dir sagt, was das Löschen überlebt und wo du suchst, wenn du es siehst.
EVTX-Dateiformat erklärt: Chunks, Templates und BinXML-Interna
Wie eine .evtx-Datei auf Byte-Ebene aufgebaut ist: Datei-Header, 64-KB-Chunks, die Template-Tabelle und der BinXML-Datensatzstrom, der darauf verweist.
PowerShell Event ID 4104 erklärt: Scriptblock-Logging für DFIR
Scriptblock-Logging ist Windows' nützlichste kostenlose defensive Kontrolle. Es zeichnet den vollständigen Skript-Body auf, einschließlich obfuskierter oder in-memory ausgeführter, unter Event 4104.
Event ID 7045 erklärt: Service-Installation als Persistenzsignal
Service-Erstellung ist eine der lautesten Persistenztechniken. Event 7045 fängt jede Installation. Lesen Sie diese drei Felder und Sie fangen das meiste davon.
Sysmon Event ID 1 erklärt: Prozesserstellung für DFIR-Triage
Sysmons Event 1 ist der reichste Prozesserstellungs-Record, den Windows produzieren kann. Hier ist, was darin steht und wie man es schnell triagiert.
Event ID 4624 erklärt: erfolgreicher Windows-Logon und LogonType-Referenz
Was ein 4624-Record tatsächlich enthält, warum das LogonType-Feld wichtiger ist als das Event selbst, und wie man sie im Maßstab liest.
Hier starten: Leitfaden eines DFIR-Analysten zu .evtx
Was .evtx ist, welche Kanäle wichtig sind, die Event IDs, die man kennen muss, und wo jede davon auf der Festplatte zu finden ist. Ein Orientierungspunkt für alles Weitere in diesem Blog.