标签「{tag}」的文章: #anti-forensics

← ← 返回博客

雕刻已删除的 EVTX 记录并恢复已轮转的日志

从未分配空间、pagefile 与内存中按签名雕刻 EVTX 记录，以及当实时日志里没有你需要的内容时，能优雅处理畸形块的工具。

2026/5/27

evtxcarvingdfirdata-recovery

事件日志清除与那些能幸存的缺口

攻击者如何清除 Windows 事件日志，磁盘上与转发通道里会留下什么证据，以及 wevtutil cl 与 Invoke-Phant0m 这类挂起线程的工具之间的差异。

2026/5/27

evtxanti-forensicsdfirincident-response