【Windows】日志结构解析

  • A+
所属分类:安全闲碎

我们就以Windows7中evtx格式的日志文件给大家介绍其文件结构。

Windows事件日志一直保持着清晰、可识别性的二进制结构,每个日志文件由文件头、数据块、结尾空值组成。整个日志文件大体结构如下:

【Windows】日志结构解析

文件头结构

文件头由4096字节大小组成,具体的内容如下:

【Windows】日志结构解析

偏移 长度 描述
0
8
ElfFile

签名头

8
8

第一个数据块

16
8

最后一个数据块

24
8

下一个记录标识符即下一个日记记录号

32
4
128

头大小

36
2
1

次版本号

38
2 3

主版本号

40
2
4096

数据块偏移量,固定值

42
2

数据块的数量

44 76

空值

120
4

文件标志

124
4

检验和

128 3968

空值

数据块结构

每个数据块的大小为65536字节,每个数据块大小为65536字节,数据块的头部标签名为45 6C 66 43 68 6E 6B 00(ElfChnkx00),数据块由数据块头部,事件记录,闲置空间,数据块文件头由512字节大小组成。

【Windows】日志结构解析


偏移
长度 描述
0
8
ElfChnk 签名
8
8
第一个事件记录编号
16
8

最后一个事件记录编号

24
8

第一个事件记录标识符

32
8

最后一个事件记录标识符

40
4
128

指针数据偏移量

44 4

最后一个事件记录数据偏移量

48 4

自由空间偏移

52
4

所有日志记录内容的校验和

56 64

空值

124
4

检验

事件记录结构

数据块包含多个事件记录,一个事件记录对应一条日志信息。事件记录的的大小及组成如下表:

【Windows】日志结构解析

偏移
长度 描述
0
4
**
签名
4 4
事件记录块的大小,该日志记录的大小
8
8

事件记录标识符
16 8
事件记录写入时间
24 ...

事件记录内容,日志内容
... 4

事件记录块的大小(备份)

以上就是今天给大家介绍的关于Windows日志的文件结构。

【Windows】日志结构解析


来源:取证知道

【Windows】日志结构解析

记一次日志分析过程-利用Shell脚本提取日志信息

本文始发于微信公众号(电子物证):【Windows】日志结构解析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: