Search
Search the blog.
Carving d'enregistrements EVTX supprimés et récupération de journaux écrasés
Carving par signature d'enregistrements EVTX dans l'espace non alloué, le pagefile et la mémoire, et les outils qui gèrent gracieusement les chunks malformés quand le journal vivant n'a plus ce qu'il vous faut.
Détecter le mouvement latéral dans Security.evtx
Comment les outils d'adversaires réels se déplacent d'hôte en hôte dans les parcs Windows, et les combinaisons précises d'Event ID dans Security.evtx qui attrapent PsExec, Impacket et WMIExec.
Effacement de journaux d'événements et les trous qui survivent
Comment les attaquants effacent les journaux d'événements Windows, quelles preuves restent sur disque et dans les canaux transférés, et la différence entre wevtutil cl et les outils de suspension de threads comme Invoke-Phant0m.
Le format de fichier EVTX, décodé
Une visite pratique du format binaire EVTX : en-tête de fichier, chunks ELFCHNK, templates BinXML, tableaux de substitution, et pourquoi parser cette chose est plus difficile qu'il n'y paraît.
Triage EVTX : que lire en premier quand vous avez une heure et un hôte
Un ordre des opérations de praticien pour le triage des Windows Event Logs pendant la réponse à incident : quels canaux comptent, quels event IDs vous mentent, et où Sysmon fait le gros du travail.
Logging PowerShell : ce que vous obtenez avec module logging et script block logging activés
La différence pratique entre PowerShell module logging, script block logging, transcriptions et buffers AMSI, et les paramètres GPO qui activent vraiment les utiles.
Configuration Sysmon qui attrape de vrais adversaires
Une vision tranchée sur Sysmon : quels event IDs comptent vraiment en IR, pourquoi olafhartong/sysmon-modular est la bonne baseline, et les erreurs de configuration qui vous aveuglent face aux vraies attaques.
Event ID 4663 expliqué : audit d'accès aux fichiers et au registre avec SACL
4663 est l'enregistrement d'audit d'objet par accès. Configurez des SACL sur les bons fichiers et clés et vous obtenez un journal au byte près de qui a touché à quoi. Utile pour le rançongiciel, l'exfil et le vol de credential store.
Event ID 4672 expliqué : détecter les logons privilégiés sous Windows
4672 se déclenche dès qu'un logon se voit accorder des privilèges sensibles comme SeDebugPrivilege ou SeTcbPrivilege. Lisez-le comme le signal « ce logon est équivalent admin » et le reste de la stratégie d'audit tombe en place.
Event ID 4688 expliqué : audit de création de processus Windows pour le DFIR
4688 est l'enregistrement de création de processus du système de base, à condition que l'audit de la ligne de commande soit activé. Voici ce qu'il contient, en quoi il diffère de Sysmon 1 et les motifs de triage qui gagnent leur place.
Event ID 4720 expliqué : détecter la création de comptes malveillants dans AD
4720 se déclenche chaque fois qu'un compte utilisateur est créé, local ou de domaine. Lisez-le avec 4722, 4724 et 4732 et vous attrapez les comptes de persistance et de mouvement latéral en quelques minutes.
Event ID 4768 expliqué : requêtes TGT Kerberos et AS-REP roasting
4768 est l'enregistrement DC de chaque TGT émis. Lisez-le via le code de résultat et le flag pre-auth et vous repérez l'AS-REP roasting, la brute force et l'abus d'unconstrained delegation.
Event ID 4769 expliqué : tickets de service Kerberos et kerberoasting
4769 est l'enregistrement DC de chaque demande de ticket de service. Lisez-le via le type de chiffrement et vous repérez le kerberoasting. Lisez-le avec 4768 et vous repérez le pass-the-ticket.
Event ID 7036 expliqué : changements d'état de service pour le triage DFIR
7036 se déclenche chaque fois qu'un service démarre ou s'arrête. Associé à 7045, il confirme si la persistance a vraiment tourné. Seul, il révèle l'abus de service, l'évasion de défense et les anomalies de boot.
Comment ouvrir un fichier .evtx (5 méthodes, sans installation requise)
Cinq façons d'ouvrir un fichier .evtx Windows : dans votre navigateur, dans Event Viewer, avec wevtutil, avec EvtxECmd ou avec python-evtx. Choisissez selon l'OS de l'hôte et la friction que vous tolérez.
Qu'est-ce qu'un fichier .evtx ? Le format du journal d'événements Windows expliqué
Un fichier .evtx est un journal d'événements Windows binaire. Où ils résident, ce qu'ils contiennent, en quoi ils diffèrent du .evt, et comment les ouvrir. Sans rien installer.
Comment collecter les journaux .evtx d'un système Windows vivant (4 méthodes)
Quatre façons de récupérer du .evtx depuis un hôte Windows vivant : wevtutil, FTK Imager, KAPE, NTFS brut. Avec les compromis de chaîne de garde de chacune et les commandes que vous lancerez vraiment.
Event ID 4625 expliqué : détecter brute force, sprays et énumération
4625 est l'enregistrement d'échec de logon. Lisez-le correctement et vous repérez les password sprays, le credential stuffing et l'abus de Kerberos avant qu'ils ne réussissent.
Event ID 1102 expliqué : journal d'audit Security effacé (et ce qui survit)
1102 est le seul événement que vous ne pouvez pas supprimer sans laisser plus de preuves derrière. Voici ce qu'il vous dit, ce qui survit à l'effacement et où chercher quand vous le voyez.
Format de fichier EVTX expliqué : chunks, templates et internes BinXML
Comment un fichier .evtx est disposé au niveau octet : en-tête de fichier, chunks de 64 Ko, la table de templates, et le flux d'enregistrements BinXML qui la référence.
PowerShell Event ID 4104 expliqué : scriptblock logging pour DFIR
Le scriptblock logging est le contrôle défensif gratuit le plus utile de Windows. Il enregistre le corps complet du script, y compris ceux obfusqués ou en mémoire, sous l'événement 4104.
Event ID 7045 expliqué : installation de service comme signal de persistance
La création de service est l'une des techniques de persistance les plus bruyantes. L'événement 7045 capture chaque installation. Lisez ces trois champs et vous attrapez la plupart.
Sysmon Event ID 1 expliqué : création de processus pour le triage DFIR
L'événement 1 de Sysmon est l'enregistrement de création de processus le plus riche que Windows peut produire. Voici ce qu'il contient et comment le trier rapidement.
Event ID 4624 expliqué : logon Windows réussi et référence LogonType
Ce qu'un enregistrement 4624 contient réellement, pourquoi le champ LogonType compte plus que l'événement lui-même, et comment les lire à grande échelle.
Commencer ici : guide .evtx pour l'analyste DFIR
Ce qu'est .evtx, quels canaux comptent, les Event ID à connaître et où trouver chacun sur le disque. Un point de départ pour tout le reste du blog.