Search
Search the blog.
Carving de registros EVTX borrados y recuperación de logs rotados
Carving por firma de registros EVTX en espacio no asignado, pagefile y memoria, y las herramientas que manejan chunks malformados con elegancia cuando al log vivo le falta lo que necesitas.
Detectar movimiento lateral en Security.evtx
Cómo las herramientas adversarias reales se mueven de host a host en parques Windows, y las combinaciones precisas de Event ID en Security.evtx que cazan a PsExec, Impacket y WMIExec.
Borrado del registro de eventos y los huecos que sobreviven
Cómo los atacantes borran los registros de eventos de Windows, qué pruebas quedan en disco y en canales reenviados, y la diferencia entre wevtutil cl y herramientas de suspensión de hilos como Invoke-Phant0m.
El formato de archivo EVTX, descodificado
Un recorrido práctico por el formato binario EVTX: cabecera del archivo, chunks ELFCHNK, plantillas BinXML, arrays de sustitución y por qué parsear esto es más difícil de lo que parece.
Triaje de EVTX: qué leer primero cuando tienes una hora y un host
Un orden de operaciones de profesional para triar Windows Event Logs durante incident response: qué canales importan, qué event IDs te mienten y dónde hace el trabajo pesado Sysmon.
Logging de PowerShell: qué obtienes con module logging y script block logging activados
La diferencia práctica entre PowerShell module logging, script block logging, transcripciones y buffers AMSI, y las configuraciones GPO que realmente activan las útiles.
Configuración de Sysmon que atrapa adversarios reales
Una visión opinada sobre Sysmon: qué event IDs realmente importan en IR, por qué olafhartong/sysmon-modular es la baseline correcta, y los errores de configuración que te ciegan ante ataques reales.
Event ID 4663 explicado: auditoría de acceso a archivos y registro con SACLs
4663 es el registro de auditoría de objeto por acceso. Configura SACLs en los archivos y claves correctos y obtienes un log por byte de quién tocó qué. Útil para ransomware, exfiltración y robo de credential stores.
Event ID 4672 explicado: detectar logons privilegiados en Windows
4672 se dispara cuando un logon recibe privilegios sensibles como SeDebugPrivilege o SeTcbPrivilege. Léelo como la señal de 'este logon es equivalente a admin' y el resto de la política de auditoría encaja sola.
Event ID 4688 explicado: auditoría de creación de procesos en Windows para DFIR
4688 es el registro de creación de procesos del SO base, siempre que la auditoría de línea de comandos esté activa. Esto es lo que contiene, en qué se diferencia de Sysmon 1 y los patrones de triaje que se ganan su sitio.
Event ID 4720 explicado: detectar creación de cuentas maliciosas en AD
4720 se dispara cada vez que se crea una cuenta de usuario, local o de dominio. Léelo con 4722, 4724 y 4732 y atrapas cuentas de persistencia y movimiento lateral en minutos.
Event ID 4768 explicado: solicitudes de TGT Kerberos y AS-REP roasting
4768 es el registro del DC de cada TGT emitido. Léelo a través del código de resultado y el flag de pre-auth y detectarás AS-REP roasting, fuerza bruta y abuso de delegación sin restricciones.
Event ID 4769 explicado: tickets de servicio Kerberos y kerberoasting
4769 es el registro del DC de cada solicitud de ticket de servicio. Léelo a través del tipo de cifrado y detectarás kerberoasting. Léelo con 4768 y detectarás pass-the-ticket.
Event ID 7036 explicado: cambios de estado de servicio para triaje DFIR
7036 se dispara cada vez que un servicio arranca o se detiene. Emparejado con 7045 confirma si la persistencia realmente se ejecutó. Por sí solo revela abuso de servicios, evasión de defensa y anomalías de arranque.
Cómo abrir un archivo .evtx (5 métodos, sin instalación requerida)
Cinco formas de abrir un archivo .evtx de Windows: en tu navegador, en Event Viewer, con wevtutil, con EvtxECmd o con python-evtx. Elige por SO del host y cuánta fricción aguantas.
¿Qué es un archivo .evtx? El formato del Registro de eventos de Windows explicado
Un archivo .evtx es un Registro de eventos de Windows binario. Dónde viven, qué hay dentro, en qué se diferencian de .evt y cómo abrirlos. Sin instalar nada.
Cómo recolectar logs .evtx de un sistema Windows en vivo (4 métodos)
Cuatro maneras de sacar .evtx de un host Windows vivo: wevtutil, FTK Imager, KAPE, NTFS crudo. Con los compromisos de cadena de custodia de cada uno y los comandos que realmente ejecutarás.
Event ID 4625 explicado: detectar fuerza bruta, sprays y enumeración
4625 es el registro de logon fallido. Léelo bien y detectarás password sprays, credential stuffing y abuso de Kerberos antes de que se conviertan en éxito.
Event ID 1102 explicado: registro de auditoría de Security borrado (y lo que sobrevive)
1102 es el único evento que no puedes suprimir sin dejar más pruebas. Esto es lo que te dice, lo que sobrevive al borrado y dónde mirar cuando lo veas.
Formato de archivo EVTX explicado: chunks, plantillas e internos de BinXML
Cómo se dispone un archivo .evtx a nivel de byte: cabecera de archivo, chunks de 64 KB, la tabla de plantillas y el flujo de registros BinXML que la referencia.
PowerShell Event ID 4104 explicado: scriptblock logging para DFIR
Scriptblock logging es el control defensivo gratuito más útil de Windows. Registra el cuerpo completo del script, incluidos los ofuscados o en memoria, bajo el evento 4104.
Event ID 7045 explicado: instalación de servicio como señal de persistencia
La creación de servicios es una de las técnicas de persistencia más ruidosas. El evento 7045 captura cada instalación. Lee estos tres campos y atrapas la mayoría.
Sysmon Event ID 1 explicado: creación de procesos para triaje DFIR
El evento 1 de Sysmon es el registro de creación de proceso más rico que Windows puede producir. Aquí está lo que contiene y cómo triarlo rápido.
Event ID 4624 explicado: logon exitoso de Windows y referencia LogonType
Qué contiene realmente un registro 4624, por qué el campo LogonType importa más que el evento en sí, y cómo leerlos a escala.
Empieza aquí: guía de .evtx para el analista DFIR
Qué es .evtx, qué canales importan, los Event IDs que hay que conocer y dónde encontrar cada uno en disco. Un punto de partida para todo lo demás del blog.