Search
Search the blog.
Carving de registos EVTX apagados e recuperação de logs rotacionados
Carving por assinatura de registos EVTX em espaço não alocado, pagefile e memória, e as ferramentas que lidam graciosamente com chunks malformados quando o log ativo já não tem o que precisa.
Detetar movimento lateral no Security.evtx
Como as ferramentas adversárias reais se movem host-a-host em ambientes Windows, e as combinações precisas de event IDs no Security.evtx que apanham PsExec, Impacket e WMIExec.
Limpeza de event log e as lacunas que sobrevivem
Como os atacantes limpam logs de eventos do Windows, que evidência fica em disco e em canais reencaminhados, e a diferença entre wevtutil cl e ferramentas de suspensão de threads como o Invoke-Phant0m.
O formato de ficheiro EVTX, descodificado
Um tour prático pelo formato binário EVTX: cabeçalho de ficheiro, chunks ELFCHNK, templates BinXML, arrays de substituição e porque é que parsar isto é mais difícil do que parece.
Triagem EVTX: o que ler primeiro quando se tem uma hora e um host
Uma ordem de operações de praticante para triagem de Windows Event Logs durante resposta a incidentes — que canais importam, que event IDs lhe mentem e onde o Sysmon faz o trabalho pesado.
Registo do PowerShell: o que se obtém com module logging e script block logging ligados
A diferença prática entre PowerShell module logging, script block logging, transcrições e buffers AMSI, e as definições GPO que realmente activam as úteis.
Configuração do Sysmon que apanha adversários reais
Uma visão opinativa do Sysmon: que IDs de evento realmente importam em IR, porque olafhartong/sysmon-modular é a baseline certa, e os erros de configuração que vos cegam para ataques reais.
Event ID 4663 explicado: auditoria de acesso a ficheiros e registo com SACLs
O 4663 é o registo de auditoria de objeto por acesso. Configure SACLs nos ficheiros e chaves certas e tem um log por byte de quem tocou em quê. Útil para ransomware, exfil e roubo de credential-store.
Event ID 4672 explicado: detetar logons privilegiados no Windows
O 4672 dispara sempre que um logon recebe privilégios sensíveis como SeDebugPrivilege ou SeTcbPrivilege. Lê-lo como o sinal 'este logon é equivalente a admin' e o resto da política de auditoria encaixa.
Event ID 4688 explicado: auditoria de criação de processos do Windows para DFIR
O 4688 é o registo de criação de processo do SO base, desde que a auditoria de linha de comandos esteja ligada. Eis o que contém, em que difere do Sysmon 1 e os padrões de triagem que valem o seu lugar.
Event ID 4720 explicado: detetar criação de contas maliciosas no AD
O 4720 dispara sempre que uma conta de utilizador é criada, local ou de domínio. Lê-lo com o 4722, 4724 e 4732 e apanha contas de persistência e movimento lateral em minutos.
Event ID 4768 explicado: pedidos de TGT Kerberos e AS-REP roasting
O 4768 é o registo do DC para cada TGT emitido. Lê-lo pelo código de resultado e flag de pré-autenticação revela AS-REP roasting, brute force e abuso de unconstrained delegation.
Event ID 4769 explicado: tickets de serviço Kerberos e kerberoasting
O 4769 é o registo do DC de cada pedido de service ticket. Lê-lo pelo tipo de encriptação e revela kerberoasting. Lê-lo com o 4768 e revela pass-the-ticket.
Event ID 7036 explicado: mudanças de estado de serviços para triagem DFIR
O 7036 dispara sempre que um serviço inicia ou para. Combinado com o 7045 confirma se a persistência realmente correu. Por si só revela abuso de serviços, evasão de defesa e anomalias de arranque.
Como abrir um ficheiro .evtx (5 métodos, sem instalação)
Cinco formas de abrir um ficheiro .evtx do Windows: no browser, no Event Viewer, com wevtutil, com EvtxECmd ou com python-evtx. Escolha pelo SO do host e pela fricção que aguenta.
O que é um ficheiro .evtx? O formato do log de eventos do Windows explicado
Um ficheiro .evtx é um log binário de eventos do Windows. Onde vivem, o que está lá dentro, como diferem dos .evt e como abri-los. Sem instalação.
Como recolher logs .evtx de um sistema Windows ativo (4 métodos)
Quatro formas de extrair .evtx de um host Windows ativo: wevtutil, FTK Imager, KAPE, NTFS em bruto. Com os compromissos de cadeia de custódia de cada um e os comandos que vai mesmo executar.
Event ID 4625 explicado: deteção de brute force, sprays e enumeração
O 4625 é o registo de logon falhado. Lê-lo bem permite identificar password sprays, credential stuffing e abuso de Kerberos antes que se tornem um sucesso.
Event ID 1102 explicado: log de auditoria de segurança limpo (e o que sobrevive)
O 1102 é o único evento que não consegue suprimir sem deixar mais evidência atrás de si. Eis o que diz, o que sobrevive à limpeza e onde procurar quando o vir.
Formato do ficheiro EVTX explicado: chunks, templates e internals do BinXML
Como um ficheiro .evtx está organizado ao nível dos bytes: cabeçalho de ficheiro, chunks de 64 KB, a tabela de templates e o stream de registos BinXML que a referencia.
PowerShell Event ID 4104 explicado: scriptblock logging para DFIR
Scriptblock logging é o controle defensivo gratuito mais útil do Windows. Ele registra o corpo completo de todo script — incluindo ofuscados ou em memória — sob o event 4104.
Event ID 7045 explicado: instalação de serviço como sinal de persistência
Criação de serviço é uma das técnicas de persistência mais barulhentas. O event 7045 captura cada install — leia esses três campos e você pega a maior parte.
Sysmon Event ID 1 explicado: criação de processo para triagem DFIR
O event 1 do Sysmon é o registro mais rico de criação de processo que o Windows consegue produzir. Eis o que ele contém e como triá-lo rápido.
Event ID Windows 4624: decodificando cada logon bem-sucedido
O que um registro 4624 realmente contém, por que o campo LogonType importa mais que o próprio evento, e como lê-los em escala.
Começa aqui: o guia do analista DFIR sobre .evtx
O que é o .evtx, que canais importam, os Event IDs a conhecer e onde encontrar cada um em disco. Um ponto de partida de navegação para tudo o resto neste blogue.