Notas sobre el registro de eventos

Cuatro formas de extraer .evtx de un host Windows en vivo — wevtutil, FTK Imager, KAPE, NTFS crudo — con sus compromisos de cadena de custodia y los comandos que realmente vas a ejecutar.

4625 es el registro de inicio de sesión fallido. Léelo bien y detectas password sprays, credential stuffing y abuso de Kerberos antes de que tengan éxito.

1102 es el único evento que no puedes suprimir sin dejar más evidencia. Aquí está qué te dice y qué sobrevive al borrado.

Cómo se distribuye un archivo .evtx a nivel de byte — cabecera de archivo, chunks de 64 KB, la tabla de plantillas y el stream de registros BinXML que la referencia.

El logging de scriptblock es el control defensivo gratuito más útil de Windows. Registra el cuerpo completo del script — incluyendo los ofuscados o en memoria — bajo el evento 4104.

La creación de servicios es una de las técnicas de persistencia más ruidosas. El evento 7045 captura cada instalación — lee estos tres campos y atraparás la mayor parte.

El evento 1 de Sysmon es el registro de creación de procesos más rico que Windows puede producir. Aquí está qué contiene y cómo triagearlo rápido.

Qué contiene realmente un registro 4624, por qué el campo LogonType importa más que el propio evento, y cómo leerlos a escala.

Un breve repaso sobre cómo se organizan los archivos .evtx, qué contiene cada evento y por qué este formato importa en forense.