我们就以Windows7中evtx格式的日志文件给大家介绍其文件结构。
Windows事件日志一直保持着清晰、可识别性的二进制结构,每个日志文件由文件头、数据块、结尾空值组成。整个日志文件大体结构如下:
文件头结构
文件头由4096字节大小组成,具体的内容如下:
| 偏移 | 长度 | 值 | 描述 |
| 0 |
8 |
ElfFile |
签名头 |
| 8 |
8 |
第一个数据块 |
|
| 16 |
8 |
最后一个数据块 |
|
| 24 |
8 |
下一个记录标识符即下一个日记记录号 |
|
| 32 |
4 |
128 |
头大小 |
| 36 |
2 |
1 |
次版本号 |
| 38 |
2 | 3 |
主版本号 |
| 40 |
2 |
4096 |
数据块偏移量,固定值 |
| 42 |
2 |
数据块的数量 |
|
| 44 | 76 |
空值 |
|
| 120 |
4 |
文件标志 |
|
| 124 |
4 |
检验和 |
|
| 128 | 3968 |
空值 |
数据块结构
每个数据块的大小为65536字节,每个数据块大小为65536字节,数据块的头部标签名为45 6C 66 43 68 6E 6B 00(ElfChnkx00),数据块由数据块头部,事件记录,闲置空间,数据块文件头由512字节大小组成。
| 偏移 |
长度 | 值 | 描述 |
| 0 |
8 |
ElfChnk | 签名 |
| 8 |
8 | 第一个事件记录编号 | |
| 16 |
8 |
最后一个事件记录编号 |
|
| 24 |
8 |
第一个事件记录标识符 |
|
| 32 |
8 |
最后一个事件记录标识符 |
|
| 40 |
4 |
128 |
指针数据偏移量 |
| 44 | 4 |
最后一个事件记录数据偏移量 |
|
| 48 | 4 |
自由空间偏移 |
|
| 52 |
4 |
所有日志记录内容的校验和 |
|
| 56 | 64 |
空值 |
|
| 124 |
4 |
检验 |
事件记录结构
数据块包含多个事件记录,一个事件记录对应一条日志信息。事件记录的的大小及组成如下表:
| 偏移 |
长度 | 值 | 描述 |
| 0 |
4 |
** |
签名 |
| 4 | 4 | 事件记录块的大小,该日志记录的大小 | |
| 8 |
8 |
事件记录标识符 | |
| 16 | 8 | 事件记录写入时间 | |
| 24 | ... |
事件记录内容,日志内容 | |
| ... | 4 |
事件记录块的大小(备份) |
以上就是今天给大家介绍的关于Windows日志的文件结构。
来源:取证知道
本文始发于微信公众号(电子物证):【Windows】日志结构解析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论