Skip to content
EVTX parser

Posts com a tag «{tag}»: #evtx

← Voltar ao blog
Carving de registos EVTX apagados e recuperação de logs rotacionados
Carving por assinatura de registos EVTX em espaço não alocado, pagefile e memória, e as ferramentas que lidam graciosamente com chunks malformados quando o log ativo já não tem o que precisa.
evtxcarvingdfirdata-recovery
Detetar movimento lateral no Security.evtx
Como as ferramentas adversárias reais se movem host-a-host em ambientes Windows, e as combinações precisas de event IDs no Security.evtx que apanham PsExec, Impacket e WMIExec.
evtxlateral-movementdfirincident-response
Limpeza de event log e as lacunas que sobrevivem
Como os atacantes limpam logs de eventos do Windows, que evidência fica em disco e em canais reencaminhados, e a diferença entre wevtutil cl e ferramentas de suspensão de threads como o Invoke-Phant0m.
evtxanti-forensicsdfirincident-response
O formato de ficheiro EVTX, descodificado
Um tour prático pelo formato binário EVTX: cabeçalho de ficheiro, chunks ELFCHNK, templates BinXML, arrays de substituição e porque é que parsar isto é mais difícil do que parece.
evtxfile-formatbinxmldfir
Triagem EVTX: o que ler primeiro quando se tem uma hora e um host
Uma ordem de operações de praticante para triagem de Windows Event Logs durante resposta a incidentes — que canais importam, que event IDs lhe mentem e onde o Sysmon faz o trabalho pesado.
evtxincident-responsewindows-event-logssysmon
Registo do PowerShell: o que se obtém com module logging e script block logging ligados
A diferença prática entre PowerShell module logging, script block logging, transcrições e buffers AMSI, e as definições GPO que realmente activam as úteis.
evtxpowershelldfirlogging
Configuração do Sysmon que apanha adversários reais
Uma visão opinativa do Sysmon: que IDs de evento realmente importam em IR, porque olafhartong/sysmon-modular é a baseline certa, e os erros de configuração que vos cegam para ataques reais.
sysmonevtxdetection-engineeringdfir