Skip to content
EVTX parser

标签「{tag}」的文章: #evtx

← 返回博客
雕刻已删除的 EVTX 记录并恢复已轮转的日志
从未分配空间、pagefile 与内存中按签名雕刻 EVTX 记录,以及当实时日志里没有你需要的内容时,能优雅处理畸形块的工具。
evtxcarvingdfirdata-recovery
在 Security.evtx 中检测横向移动
真实对手工具如何在 Windows 环境中跨主机移动,以及在 Security.evtx 中能抓住 PsExec、Impacket 与 WMIExec 的精确 Event ID 组合。
evtxlateral-movementdfirincident-response
事件日志清除与那些能幸存的缺口
攻击者如何清除 Windows 事件日志,磁盘上与转发通道里会留下什么证据,以及 wevtutil cl 与 Invoke-Phant0m 这类挂起线程的工具之间的差异。
evtxanti-forensicsdfirincident-response
解读 EVTX 文件格式
EVTX 二进制格式的实操之旅:文件头、ELFCHNK 块、BinXML 模板、替换数组,以及为什么解析这玩意儿比看上去难。
evtxfile-formatbinxmldfir
EVTX 分诊:只有一小时与一台主机时该先读什么
应急响应中 Windows 事件日志分诊的实务操作顺序——哪些通道重要、哪些 Event ID 会骗你,以及 Sysmon 在哪里挑大梁。
evtxincident-responsewindows-event-logssysmon
PowerShell 日志记录:开启 module logging 和 script block logging 后你能得到什么
PowerShell module logging、script block logging、transcripts 和 AMSI buffers 之间的实际差异,以及真正开启有用项的 GPO 设置。
evtxpowershelldfirlogging
捕获真实攻击者的 Sysmon 配置
对 Sysmon 的观点: 哪些 event ID 在 IR 中真正重要、为什么 olafhartong/sysmon-modular 是正确的基线、以及让你对真实攻击视而不见的配置错误。
sysmonevtxdetection-engineeringdfir