09 January 2012

[Tool Forensic] Evtx Parser Version 1.1.1


Bài viết liên quan:

Version 1.1.0 
Ich freue mich, nach längerer Entwicklungszeit eine neue Version meines Evtx Parsers veröffentlichen zu können. Version 1.1.0 erweitert die Anzahl unterstützter XML-Konstrukte und Datentypen deutlich und versteht jetzt mehr als 90% der von Microsofts proprietärem, binären XML Dialekt angebotenen Funktionen.

Evtx Parser und die Perl Bibliothek Parse::EVTX Perl sind jetzt als Download (ZIP) verfügbar.

Die Bibliothek erkennt jetzt auch CDATA sections (Knotentyp 0x07), Referenzen auf XML Entitäten wie zum Beispiel & (Knotentyp 0x09) und XML Verarbeitungsanweisungen (Knotentypen 0x0a und 0x0b).

Neu hinzugekommen sind 13 Module, die Felder von Ganzzahlen, Fließkommazahlen einfacher und doppelter Genauigkeit, GUIDs, FILETIME und SYSTEMTIME Strukturen analysieren und darstellen.

Vor einigen Monaten erhielt ich einen Hinweis auf einen XML Knotentyp 0x08, doch leider konnte mir der Anwender keine Beispieldaten zur Verfügung stellen. Bislang ist es mir auch nicht gelungen, diesen Knotentyp unter Windows 7 und mit dem SDK 7A selbst zu erzeugen. Obwohl es sich um einen sehr seltenen Knotentyp handelt, möchte ich gerne ein entsprechendes Modul erstellen. Sollten Sie in einer Fehlermeldung einen Hinweis auf diesen Knotentyp sehen, so würde ich mich über die Zusendung der Protokolldatei oder zumindest des betreffenden Eintrags sehr freuen.

Bei dieser Gelegenheit danke ich einmal mehr der Anwendergemeinschaft für die Unterstützung, die ich durch qualifizierte Fehlermeldungen und die Einsendung von Beispieldaten erfahren durfte. Beides hat mir geholfen, meine Kenntnisse über den Ereignisprotokolldienst zu vertiefen und meine Programme ständig zu verbessern. Besonders danke ich Mark Woandafür, dass er mir an die jeweiligen Probleme angepasste Datensätze zur Verfügung stellte und mir zeigte, wie ich Testdatensätze selber produzieren kann. Ich beabsichtige, in den nächsten Wochen meine Testdaten schrittweise zu veröffentlichen, um damit die laufenden Projekte zur Validierung von Forensik-Programmen zu unterstützen.

Version 1.1.0  

Evtx Parser, die Perl Bibliothek und Skriptsammlung zum Auslesen von Windows Ereignisprotokollen ist ab sofort in Version 1.1.1 verfügbar. Diese Version beseitigt ein Speicherleck. Ich danke Heinz Mueller für die Fehlermeldung und Hilfe beim Testen

0 comments:

Post a Comment

Để lại góp ý của bạn để blog của mình hoàn thiện hơn :))