win7产生大量evtx文件_c++ 直接读取.evt/.evtx文件

最新推荐文章于 2024-06-25 16:04:37 发布
最新推荐文章于 2024-06-25 16:04:37 发布
阅读量308 收藏
点赞数
文章标签: win7产生大量evtx文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39781209/article/details/113012830
版权
本文介绍了如何使用C++直接读取Windows EVTX日志文件,包括解析EVENTLOGHEADER和EVENTLOGRECORD结构,以及提取源名称、计算机名、用户SID和字符串数据等信息。
摘要由CSDN通过智能技术生成

我可能会迟到但很好,它可以帮助未来的读者:

现在一切都变得简单了,你要做的是:

I.宣布结构

>日志标题结构

typedef unsigned long ULONG;

typedef struct _EVENTLOGHEADER {

ULONG HeaderSize;

ULONG Signature;

ULONG MajorVersion;

ULONG MinorVersion;

ULONG StartOffset;

ULONG EndOffset;

ULONG CurrentRecordNumber;

ULONG OldestRecordNumber;

ULONG MaxSize;

ULONG Flags;

ULONG Retention;

ULONG EndHeaderSize;

} EVENTLOGHEADER, *PEVENTLOGHEADER;

>日志记录结构

typedef unsigned long DWORD;

typedef unsigned short WORD;

typedef struct _EVENTLOGRECORD {

DWORD Length;

DWORD Reserved;

DWORD RecordNumber;

DWORD TimeGenerated;

DWORD TimeWritten;

DWORD EventID;

WORD EventType;

WORD NumStrings;

WORD EventCategory;

WORD ReservedFlags;

DWORD ClosingRecordNumber;

DWORD StringOffset;

DWORD UserSidLength;

DWORD UserSidOffset;

DWORD DataLength;

DWORD DataOffset;

} EVENTLOGRECORD, *PEVENTLOGRECORD;

我们看了!

首先声明一个std :: ifstream变量来打开并读取文件(二进制)

using namespace std;

ifstream file;

file.open(fileName,ios::in|ios::binary);

if(file.is_open()){

_EVENTLOGHEADER logheader;

_EVENTLOGRECORD logRecord;

//Reading the header

file.read((char*)&logheader,sizeof(_EVENTLOGHEADER));

int startOfLog;

//Loop on every record

for(unsigned int numberFile=0;numberFile < logheader.CurrentRecordNumber -1;numberFile++){

//Save the position

startOfLog = file.tellg();

//Read log record

file.read((char*)&logRecord,sizeof(_EVENTLOGRECORD));

/*******************************************************

Here are the other information (section 'Remarks' on the 'EVENTLOGRECORD structure' link

********************************************************/

//Reading sourcename

wchar_t buffData;

wstring SourceName;

file.read((char*)&buffData,sizeof(wchar_t));

while(buffData!=_T('\0')){

SourceName.push_back(buffData);

file.read((char*)&buffData,sizeof(wchar_t));

}

//Reading computer name

wstring ComputerName;

file.read((char*)&buffData,sizeof(wchar_t));

while(buffData!=_T('\0')){

ComputerName.push_back(buffData);

file.read((char*)&buffData,sizeof(wchar_t));

}

//Sets the position to the SID offset

int readCursor = startOfLog + logRecord.UserSidOffset;

file.seekg(readCursor);

char * userSid = NULL;

if(logRecord.UserSidLength != 0)

{

userSid = (PCHAR)malloc(logRecord.UserSidLength);

file.read(userSid,logRecord.UserSidLength); //Reading the sid

//Here you can work on the SiD (but you need win32 API).If you need it, I could show you how i deal with this sid

free(userSid);

}

//Sets the position to the Strings offset

readCursor = startOfLog + logRecord.StringOffset;

file.seekg(readCursor);

wstring buffString;

vector allStrings;

//Reading all the strings

for(int i=0; i< logRecord.NumStrings; i++) {

file.read((char*)&buffData,sizeof(wchar_t));

while(buffData!=_T('\0')){

buffString.push_back(buffData);

file.read((char*)&buffData,sizeof(wchar_t));

}

allStrings.push_back(buffString);

buffString.clear();

}

//Sets the position to the Data offset

readCursor = startOfLog + logRecord.DataOffset;

file.seekg(readCursor);

unsigned char *Data = (unsigned char *)malloc(logRecord.DataLength*sizeof(unsigned char));

file.read((char*)Data,logRecord.DataLength); //Lecture des données

//Sets the position to the end of log offset

readCursor = startOfLog + logRecord.Length - sizeof(DWORD) ;

file.seekg(readCursor);

DWORD length;

file.read((char*)&length,sizeof(DWORD));

//Do what you want with the log record

//Clean before reading next log

ComputerName.clear();

SourceName.clear();

allStrings.clear();

free(Data);

}

}

希望它可以帮助某人,

weixin_39781209
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
win7产生大量evtx文件_闲聊Windows系统日志
weixin_39872872的博客
01-17 2018
原标题:闲聊Windows系统日志* 本文作者:TomKing,本文属FreeBuf原创奖励计划,未经许可禁止转载前言最近遇到不少应急都提出一个需求,能不能溯源啊?这个事还真不好干,你把证据,犯案时间都确定的时候,要求翻看监控(日志)对应犯罪嫌疑人时,突然说监控(日志)没有记录。不过现在都要求保留至少6个月的日志,因此这种原因会少了很多,然而我对于Windows系统日志不了解,在解读时经常摸不着...
win7产生大量evtx文件_Windows XML Event Log (EVTX)单条日志清除(三)——通过解除文件占用删除当前系统单条日志记录...
weixin_29475917的博客
01-17 1051
0x00前言Windows XML Event Log (EVTX)单条日志清除系列文章的第三篇,介绍第一种删除当前系统evtx日志文件单条日志记录的方法:关闭服务对应的进程,释放文件句柄,解除文件占用,删除日志,重启服务0x01简介本文将要介绍以下内容:通过c程序枚举服务信息,提取Eventlog服务对应进程svchost.exe的pid通过c程序提权关闭Eventlog进程通过c程序释放文件句...
windows 使用python获取应用crash日志读取Application.evtx文件
最新发布
ChatGPT攻城狮
06-25 118
【代码】使用python读取Application.evtx日志文件
Eventlogedit-evtx--Evolution-master_C++_evtx_
10-04
Eventlog editer evolution
玄机——第五章 Windows 实战-evtx 文件分析 wp
焦虑的焦虑
06-23 3324
第五章 Windows 实战-evtx 文件分析
evtx:Windows XML事件日志(EVTX)格式的快速(安全)解析器
04-29
EVTX Windows XML EventLog格式的跨平台解析器 特征 :locked: 使用100%安全防锈实现-并在防锈支持的所有平台(具有stdlib)上运行。 :high_voltage: 快速-请参阅下面的基准。 它比其他任何实现都要快几个数量级! :rocket: 多线程的。 :sparkles: 支持XML和JSON输出,两者均直接从令牌树构造并且彼此独立(不执行xml2json转换!) :pick: 支持丢失记录/块的一些基本恢复! :snake: Python绑定也可以在 (以及PyPi )上获得。 安装(关联的二进制实用程序): 从下载最新的可执行文件版本 自动为Windows,macOS和Linux构建发行版本。 (仅64位可执行文件) 使用cargo install evtx从源进行构建 evtx_dump (二进制实用程序): 此包装箱evtx_dump的主要二进制实用程序是evtx_dump ,它提供了一种将.evtx文件转换
Window日志分析
weixin_45116657的博客
10-28 1825
一、Windows事件日志简介 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。 系统日志 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时...
evtViewer:Ms 事件 (*.evt) 日志文件查看器-开源
07-03
evtViewer 的出现,弥补了现代事件查看器无法直接读取 .evt 文件的问题,使得用户能够轻松地查看和分析旧系统的日志信息。 evtViewer-0.6 压缩包文件包含的应该是 evtViewer 的源代码和可能的编译或执行文件。开源...
PyPI 官网下载 | evtx-0.6.2-cp36-cp36m-manylinux1_x86_64.whl
02-03
evtx_file = evtx.Evtx('path_to_your_evtx_file.evtx') for record in evtx_file.records(): print(record.event_id, record.render()) ``` 这里,`Evtx`是库提供的主类,`records()`方法返回事件记录的迭代器,`...
C#读取Win7和Server2008的计划任务日志
06-25
C#读取Win7和Server2008的计划任务日志,C#读取每天的开关机时间,C#读写windows日志,环境VS2010
win7产生大量evtx文件_直接读取.evt / .evtx文件
weixin_31668255的博客
01-17 363
Hello does anybody know how to read .evt /.evtx which are Windows Event log files to read not using provided api's , I want to read them using FILE I/O apis in C/C++.Or how to convert those files into...
求助!关于用C++复制Windows系统日志到指定目录
minghhh的博客
06-19 386
存在问题 复制Windows系统日志,同样的命令,在cmd中可以运行,但是在程序中用system()却不行 代码 //定义cmd的copy指令,把Windows系统日志移到D盘 char * copy_cmd="copy C:\\Windows\\System32\\winevt\\Logs\\Application.evtx D:\\tempsource\\new\\Application.evtx"; //执行命令 system(copy_cmd); //输出命令,然后把这个输出的命令复
组策略查看login记录_Windows系统日志查看管理
weixin_39663258的博客
01-17 1759
Windows系统日志简介Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器系统的IIS日志,FTP日志,Exchange Server邮件服务,MS SQL Server数据库日志等。解决应急事件时,用户提出需要为其提供溯源,这些日志信息在取证和溯源中扮演着重要的角色。Windows事件日志文件实...
JNA的使用及读取windows系统日志文件EVTX文件)(一)
qq_28118497的博客
11-02 4352
近日客户提出需求,需要调研如何使用Java来读取Windows日志文件(类型:应用程序,安全,Setup,系统)。 一番调研以后,在仅使用java的基础上读取系统日志文件不太可能(就个人调研结果来看),原因如下: 1)系统日志文件(.evtx)是以机器码形式存储的,使用C++等语言(直接与机器打交道),可以直接读取且解析其内容。而使用Java(JVM的存在,字节码级别的编译),意味这我们需...
c++写入应用程序日志(Event Log )
ALLENJIAO的专栏
12-03 4023
<br />日志文件是操作系统的一部分,那么肯定有应用程序编程接口(API)来支持建立日志记录<br /> <br />实例:<br /> HANDLE h; <br /> if ((h = RegisterEventSource(NULL,TEXT("MetaLive"))) == NULL)<br /> { <br />  return FALSE;<br /> }<br /> const char* ps = "pszS1pszS2pszS3";<br /> WORD wType=EVENTLOG_E
python解析evtx文件
06-01
要解析evtx文件,可以使用Python中的evtx模块。这个模块提供了解析Windows事件日志文件的功能。 首先需要安装evtx模块,可以使用pip命令来安装: ``` pip install python-evtx ``` 安装完成后,就可以使用evtx模块来解析evtx文件了。以下是一个示例代码: ```python import os import sys import argparse import logging import datetime from Evtx.Evtx import FileHeader from Evtx.Views import evtx_file_xml_view def main(): filename = "test.evtx" with open(filename, "rb") as f: fh = FileHeader(f) print(fh.format()) for xml, record in evtx_file_xml_view(f): print(xml) if __name__ == "__main__": main() ``` 需要注意的是,evtx文件可能会非常大,因此在解析时需要注意内存的使用情况。可以使用逐行读取的方式来避免一次性读入整个文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值