Skip to content
EVTX parser

Note sul log eventi

Come raccogliere log .evtx da un sistema Windows attivo (4 metodi)
Quattro modi per estrarre file .evtx da un host Windows attivo — wevtutil, FTK Imager, KAPE, lettura NTFS raw — con i compromessi sulla chain-of-custody e i comandi che userai davvero.
Event ID 4625 spiegato: rilevare brute force, password spray ed enumerazione
Il 4625 è il record dei logon falliti. Leggerlo bene significa individuare password spray, credential stuffing e abusi Kerberos prima che vadano a segno.
Event ID 1102 spiegato: log di audit Security cancellato (e cosa sopravvive)
Il 1102 è l'unico evento che non puoi sopprimere senza lasciare ulteriori tracce. Ecco cosa ti dice e cosa sopravvive alla cancellazione.
Formato file EVTX spiegato: chunk, template e interni BinXML
Come è strutturato un file .evtx a livello di byte — header del file, chunk da 64 KB, tabella dei template e lo stream di record BinXML che la referenzia.
PowerShell Event ID 4104 spiegato: scriptblock logging per DFIR
Lo scriptblock logging è il controllo difensivo gratuito più utile di Windows. Registra il corpo completo di ogni script — inclusi quelli offuscati o in-memory — sotto l'evento 4104.
Event ID 7045 spiegato: installazione di servizio come segnale di persistenza
La creazione di servizio è una delle tecniche di persistenza più rumorose. L'evento 7045 cattura ogni installazione — leggi questi tre campi e ne intercetterai la maggior parte.
Sysmon Event ID 1 spiegato: process creation per il triage DFIR
L'evento 1 di Sysmon è il record di process creation più ricco che Windows possa produrre. Ecco cosa contiene e come triarlo velocemente.
Event ID Windows 4624: decodificare ogni accesso riuscito
Cosa contiene davvero un record 4624, perché il campo LogonType conta più dell'evento stesso, e come leggerli su larga scala.
Leggere il formato binario del log eventi di Windows
Una breve introduzione su come sono strutturati i file .evtx, cosa contiene ogni evento e perché il formato binario è importante in ambito forense.