开源项目 `evtx` 使用教程

于 2024-08-21 09:43:33 发布
阅读量346 收藏 3
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00206/article/details/141383040
版权

开源项目 evtx 使用教程

evtxevtx - 一个用于解析 Windows 事件日志文件 (.evtx) 的命令行工具,由 Eric Zimmerman 开发,适用于需要进行事件日志分析的系统管理员和安全分析师。项目地址:https://gitcode.com/gh_mirrors/evt/evtx

1. 项目的目录结构及介绍

evtx 项目的目录结构如下:

evtx/
├── CHANGELOG.md
├── CONTRIBUTING.md
├── LICENSE.md
├── README.md
├── evtx.sln
├── src/
│   ├── EvtxExplorer/
│   ├── EvtxParser/
│   ├── EvtxTest/
│   └── Shared/
└── tools/
    └── EvtxCmd/
  • CHANGELOG.md: 记录项目的更新日志。
  • CONTRIBUTING.md: 指导如何为项目贡献代码。
  • LICENSE.md: 项目的许可证信息。
  • README.md: 项目的基本介绍和使用说明。
  • evtx.sln: Visual Studio 解决方案文件。
  • src/: 源代码目录,包含多个子项目。
    • EvtxExplorer/: 用于浏览和分析 EVTX 文件的工具。
    • EvtxParser/: EVTX 文件解析库。
    • EvtxTest/: 测试代码。
    • Shared/: 共享代码库。
  • tools/: 包含可执行工具。
    • EvtxCmd/: 命令行工具,用于处理 EVTX 文件。

2. 项目的启动文件介绍

项目的启动文件主要位于 tools/EvtxCmd/ 目录下。EvtxCmd 是一个命令行工具,用于处理 EVTX 文件。启动文件为 EvtxCmd.exe,可以通过命令行运行该工具。

3. 项目的配置文件介绍

evtx 项目本身没有显式的配置文件,但可以通过命令行参数进行配置。例如,使用 EvtxCmd 工具时,可以通过以下命令行参数进行配置:

EvtxCmd.exe -f <filename> -o <output>
  • -f <filename>: 指定要处理的 EVTX 文件。
  • -o <output>: 指定输出文件的路径。

更多详细的命令行参数和用法可以参考 README.md 文件或在命令行中使用 EvtxCmd.exe --help 查看帮助信息。

evtxevtx - 一个用于解析 Windows 事件日志文件 (.evtx) 的命令行工具,由 Eric Zimmerman 开发,适用于需要进行事件日志分析的系统管理员和安全分析师。项目地址:https://gitcode.com/gh_mirrors/evt/evtx

段琳惟
关注
Windows痕迹清除技术
Captain_RB的博客
12-24 7592
系统入侵后要对操作痕迹进行清除,如果上传工具和木马文件要做隐藏和伪装,以免引起警觉甚至丢失目标,“清道夫”的工作虽有些烦杂,但这些工作直接影响到目标控守的持久性,文章介绍Windows系统下痕迹清除的常见操作。......
htb_Investigation (.evtx文件,ida反汇编)
weixin_62621015的博客
04-05 397
htb_Investigation (.evtx文件,ida反汇编)
Windows 取证之EVTX日志
kupePoem的专栏
08-30 2401
日志文件包含一个4KB的文件头加后面一定数量的64KB大小的块,一个块中记录一定数量(大约100条)的事件记录。每条事件记录包含其创建时间与事件 ID(可以用于确定事件的种类),因此可以反映某个特定的时间发生的特定的操作,取证人员可以根据日志文件来发现犯罪的过程。记录应用程序或系统程序运行方面的日志事件,比如数据库程序可以在应用程序日志中记录文件错误,应用的崩溃记录等。文件的记录满了,日志服务会覆盖最开始的记录,从头开始写入新的记录。事件查看器可以查看当前主机的事件日志,也可以打开保存的。
【window系统】日志与注册表
sunriver2000的专栏
02-02 4661
环境 系统:win10x64 描述 windows系统发生故障,无法正常启动时,一般需要从故障机中提取信息,用来分析或编辑以恢复系统正常运行。这些信息包括:windows系统日志、注册表信息等等。 下文简要介绍如何从故障机中提取此类信息。 windows系统日志 windows系统日志存放位置,以下evtx文件可以用windows事件查看器(eventvwr.msc)分析。 %SystemRoot%\System32\Winevt\Logs\Application.evtx %Sys
Eventlogedit-evtx--Evolution-master_C++_evtx_
10-04
标题 "Eventlogedit-evtx--Evolution-master_C++_evtx_" 暗示这是一个关于使用C++语言处理evtx事件日志文件的项目。Evtx是Windows操作系统中用于存储事件日志的新格式,取代了之前的evt格式。这个项目可能是一个工具...
python-evtx, 用于最近 Windows 事件日志文件的纯 python 解析器( evtx ).zip
09-18
python-evtx, 用于最近 Windows 事件日志文件的纯 python 解析器( evtx ) python-evtx简介python-evtx是最近 Windows 事件日志文件( 具有文件扩展名的那些"。evtx")的纯 python 解析器。 模块提供对文件和块头。记录...
evtx:Windows XML事件日志(EVTX)格式的快速(安全)解析器
04-29
EVTX Windows XML EventLog格式的跨平台解析器 ... 使用cargo install evtx从源进行构建 evtx_dump (二进制实用程序): 此包装箱evtx_dump的主要二进制实用程序是evtx_dump ,它提供了一种将.evtx文件转换
C++开发的Eventlog编辑器-Evtx Evolution项目介绍
EVTX文件编辑器作为一个开源项目,可能允许开发者社区共同改进和定制工具以满足不同的需求。 4. 压缩包文件的结构:提供的文件名称列表只有一个条目"Eventlogedit-evtx--Evolution-master",这表明压缩包可能只包含...
LogCampaign:提供检测功能和日志转换为 evtx 或 syslog 功能
05-29
提供检测功能和日志转换为 evtx 或 syslog 功能 快速开始 将此 github 存储库下载到 Windows 机器上。 此外,下载 autoruns 二进制文件 ( ) 并将它们放在 Binaries 文件夹中。 然后运行以下命令: Get-ChildItem ....
超大log日志编辑查看工具
08-08
很方便的查看log日志的工具,不同信息均有验收分类,支持大文件的浏览
16位文件编辑器winhex
01-29
winhex主要用于读取和写入16位的文件,无论它的后缀是什么都可以读取该文件。熟练者可以通过文件判断未知文件类型。用处广泛。
python-evtx:适用于最新Windows事件日志文件(.evtx)的纯Python解析器
05-04
python-evtx 介绍 python-evtx是用于最近的Windows事件日志文件(文件扩展名为“ .evtx”的文件)的纯Python解析器。 该模块提供对File和Chunk标头,记录模板和事件条目的编程访问。 例如,您可以使用python-evtx从Mac或Linux工作站查看Windows 7系统的事件日志。 结构定义和解析策略在很大程度上受到了Andreas Schuster和他的Perl实现“ Parse-Evtx”的启发。 背景 随着Windows Vista的发布,Microsoft引入了更新的事件日志文件格式。 Windows XP中使用的格式是记录结构的循环缓冲区,每个记录结构都包含一个字符串列表。 查看器解析了系统库文件中托管的模板,并将字符串插入了适当的位置。 较新的事件日志格式是专有的二进制XML。 从Windows 7的事件日志文件中解压缩块会得到具有可
evtViewer:Ms 事件 (*.evt) 日志文件查看器-开源
07-03
evtViewer 是用 PERL 编写的 Ms 事件 (*.evt) 日志文件的查看器。
内存取证工具
09-30
使用文档+DumpIt+volatity 使用DumpIt获取物理内存,生成物理内存镜像文件,使用volatity对物理内存镜像文件进行分析
整理一些自己常用软件
ShenZ的博客
07-16 3117
软件官方网站整理 最近买了新的笔记本,在装软件,顺便整理一下 编辑器 [010editor]https://www.sweetscape.com/download/010editor/download_010editor_win64.html 浏览器相关 Google插件 [iguge]https://iguge.app/ 辅助类 [IDM]http://www.internetdownloadmanager.com/ 启动器 [Maya]https://zhuanlan.zhihu.com/p/311
EVTX解析工具教程:深入Windows事件日志
最新发布
gitblog_00370的博客
08-21 622
EVTX解析工具教程:深入Windows事件日志 evtxevtx - 一个用于解析 Windows 事件日志文件 (.evtx) 的命令行工具,由 Eric Zimmerman 开发,适用于需要进行事件日志分析的系统管理员和安全分析师。项目地址:https://gitcode.com/gh_mirrors/evt/evtx 项目介绍 EVTX 是一个强大的Python库,专门用于读取、解析和操...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

段琳惟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值