Notes sur le journal d'événements

Quatre façons d'extraire des .evtx d'un hôte Windows actif — wevtutil, FTK Imager, KAPE, NTFS brut — avec les compromis de chaîne de possession et les commandes à utiliser.

Le 4625 est l'enregistrement d'échec de connexion. Bien lu, il révèle password sprays, credential stuffing et abus Kerberos avant qu'ils ne réussissent.

1102 est le seul événement qu'on ne peut pas supprimer sans laisser plus de traces. Voici ce qu'il vous dit et ce qui survit à l'effacement.

Comment un fichier .evtx est agencé au niveau octet — en-tête de fichier, chunks de 64 Ko, table de templates et flux d'enregistrements BinXML qui la référence.

Le scriptblock logging est le contrôle défensif gratuit le plus utile de Windows. Il enregistre le corps complet du script — y compris obfusqué ou en mémoire — sous l'événement 4104.

La création de service est l'une des techniques de persistance les plus bruyantes. L'événement 7045 capture chaque install — lisez ces trois champs et vous en attraperez l'essentiel.

L'événement 1 de Sysmon est l'enregistrement de création de processus le plus riche que Windows puisse produire. Voici ce qu'il contient et comment le trier rapidement.

Ce que contient réellement un enregistrement 4624, pourquoi le champ LogonType compte plus que l'événement lui-même, et comment les lire à grande échelle.

Un court rappel sur la structure des fichiers .evtx, ce que contient chaque événement, et pourquoi ce format binaire compte en forensique.