Skip to content

Empieza aquí: guía de .evtx para el analista DFIR

Qué es .evtx, qué canales importan, los Event IDs que hay que conocer y dónde encontrar cada uno en disco. Un punto de partida para todo lo demás del blog.

Publicado Actualizado 4 {n} min de lectura

.evtx es el formato binario del Registro de eventos de Windows que Microsoft introdujo con Vista para reemplazar el antiguo .evt. Es la columna vertebral de toda respuesta a incidentes en Windows: inicios de sesión, instalaciones de servicios, tareas programadas, líneas de comando de PowerShell, árboles de procesos de Sysmon. Todo eso se serializa en este formato. Esta entrada es el índice. Una orientación en una pantalla y luego enlaces a las entradas más profundas sobre los canales y Event IDs que realmente importan en un caso.

¿Nuevo con .evtx? Empieza por qué es un archivo .evtx y cómo abrir uno. El resto de esta entrada asume que ya estás cómodo con el formato y quieres saber qué leer primero cuando un host está ardiendo.

Dónde están los archivos

Los registros activos están en C:\Windows\System32\winevt\Logs\. Un canal, un archivo .evtx. Los predeterminados que siempre tendrás:

  • Security.evtx. Inicios de sesión, uso de privilegios, cambios de política de auditoría. El valor forense más alto en la mayoría de los casos.
  • System.evtx. Controladores, servicios, errores a nivel del sistema operativo.
  • Application.evtx. Errores a nivel de aplicación.
  • Setup.evtx y ForwardedEvents.evtx. Registros de instalación y tráfico WEF reenviado.

Más los canales por aplicación bajo Microsoft-Windows-*. Los que se ganan su sitio en un caso:

  • Microsoft-Windows-Sysmon%4Operational.evtx. Solo presente si Sysmon está instalado. Vale oro cuando lo está.
  • Microsoft-Windows-PowerShell%4Operational.evtx. Registro de bloques de script y módulos.
  • Microsoft-Windows-TaskScheduler%4Operational.evtx. Creación y ejecución de tareas programadas.
  • Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx. Ciclo de vida de sesiones RDP.

Para los detalles profundos de cómo se distribuye un archivo (los chunks de 64 KB, las tablas de plantillas XML, BinXML), consulta el análisis profundo a nivel de chunk.

Los Event IDs que hay que conocer

La lista corta que cubre la mayor parte de aquello sobre lo que pivota un analista:

Para el flujo de trabajo que los une, lee Triage de EVTX cuando tienes una hora y un host.

Cómo encaja este sitio

El parser de la portada es el crate de Rust omerbenamram/evtx compilado a WebAssembly y ejecutado dentro de un Web Worker. Sueltas un .evtx, el worker recorre los chunks y obtienes una línea temporal de eventos filtrable más el XML por registro. Todo en el navegador, nada se sube. Úsalo para triage ad hoc cuando no quieras montar un EDR o sacar un archivo de un sistema que no es tuyo.

Si estás recogiendo .evtx de un host vivo (KAPE, FTK Imager, wevtutil), esa entrada cubre los cuatro métodos estándar con los compromisos de cadena de custodia que hace cada uno.

EVTX rara vez es el único artefacto que necesitas. Combínalo con parsers de registro, MFT, diario USN, AmCache, Shimcache, prefetch y LNK. Cuando hace falta cavar más hondo, el parseo del archivo de paginación y del volcado de RAM recupera lo que perdieron los registros en disco. Para líneas temporales de actividad del usuario, SRUM, jump lists, papelera de reciclaje, recent file cache y historial del navegador cubren los huecos que EVTX no puede llenar.