Skip to content
EVTX parser

事件日志笔记

如何从运行中的 Windows 主机收集 .evtx 日志(4 种方法)
从在线 Windows 主机抓取 .evtx 的四种方式 —— wevtutil、FTK Imager、KAPE、原始 NTFS —— 各自的取证链权衡,以及实际用得上的命令。
Event ID 4625 详解:检测爆破、密码喷洒与账户枚举
4625 是登录失败记录。读对了,你能在攻击得手前发现密码喷洒、凭证填充和 Kerberos 滥用。
Event ID 1102 详解:安全审计日志被清空(以及还有什么留下来)
1102 是攻击者无法在不留下更多证据的前提下抑制的事件之一。这里讲它告诉你什么,以及清空之后还有什么会幸存。
EVTX 文件格式详解:chunk、模板与 BinXML 内部结构
从字节层面看一个 .evtx 文件如何布局 —— 文件头、64 KB 的 chunk、模板表,以及引用这些模板的 BinXML 记录流。
PowerShell Event ID 4104 详解:面向 DFIR 的脚本块日志
脚本块日志是 Windows 上最有用的免费防御控制。它记录每次执行的脚本完整正文 —— 包括混淆和驻留内存的 —— 事件 ID 是 4104。
Event ID 7045 详解:作为持久化信号的服务安装
服务创建是最显眼的持久化技术之一。事件 7045 捕获每次安装 —— 读这三个字段就能抓住大多数情况。
Sysmon Event ID 1 详解:面向 DFIR 分诊的进程创建
Sysmon 的事件 1 是 Windows 能产生的最丰富的进程创建记录。这里讲它包含什么,以及如何快速分诊。
Windows 事件 ID 4624:解读每一次成功登录
4624 记录里到底包含什么、为什么 LogonType 字段比事件本身更关键、分诊时应该重点关注哪些字段,以及如何在大规模日志数据中高效地读懂这些登录事件,应用于事件响应与威胁狩猎的实用指引。
解读 Windows 事件日志的二进制格式
一份关于 .evtx 文件内部结构、64 KB 分块与 XML 模板机制、单条事件包含哪些信息,以及为什么这种二进制格式在 Windows 事件响应与数字取证中至关重要的简短入门。