Skip to content
EVTX parser

Notas sobre logs de eventos

Como coletar logs .evtx de um sistema Windows ativo (4 métodos)
Quatro formas de extrair .evtx de um host Windows ativo — wevtutil, FTK Imager, KAPE, leitura NTFS bruta — com os trade-offs de cadeia de custódia de cada uma e os comandos que você de fato vai rodar.
Event ID 4625 explicado: detectando brute force, sprays e enumeração
4625 é o registro de falha de logon. Lido corretamente, você identifica password sprays, credential stuffing e abuso de Kerberos antes que tenham sucesso.
Event ID 1102 explicado: log de auditoria de segurança limpo (e o que sobrevive)
1102 é o único evento que você não consegue suprimir sem deixar mais evidência. Eis o que ele te diz e o que sobrevive à limpeza.
Formato de arquivo EVTX explicado: chunks, templates e internals de BinXML
Como um arquivo .evtx é organizado em nível de byte — file header, chunks de 64 KB, a tabela de templates e o stream de registros BinXML que a referencia.
PowerShell Event ID 4104 explicado: scriptblock logging para DFIR
Scriptblock logging é o controle defensivo gratuito mais útil do Windows. Ele registra o corpo completo de todo script — incluindo ofuscados ou em memória — sob o event 4104.
Event ID 7045 explicado: instalação de serviço como sinal de persistência
Criação de serviço é uma das técnicas de persistência mais barulhentas. O event 7045 captura cada install — leia esses três campos e você pega a maior parte.
Sysmon Event ID 1 explicado: criação de processo para triagem DFIR
O event 1 do Sysmon é o registro mais rico de criação de processo que o Windows consegue produzir. Eis o que ele contém e como triá-lo rápido.
Event ID Windows 4624: decodificando cada logon bem-sucedido
O que um registro 4624 realmente contém, por que o campo LogonType importa mais que o próprio evento, e como lê-los em escala.
Lendo o formato binário do log de eventos do Windows
Uma introdução curta sobre como arquivos .evtx são organizados, o que cada evento contém e por que esse formato binário importa em forense.