EVTX:一款针对Windows EVTX事件日志的快速安全解析工具

2024-11-08 35 0

关于EVTX

EVTX是一款针对Windows XML 事件日志 (EVTX) 格式的快速安全解析工具,该工具拥有跨平台特性,可以在多个平台上实现对Windows XML EventLog 格式日志的解析任务。

功能介绍

1、使用 100% 安全的 Rust 实现,并且适用于 Rust 支持的所有平台(具有 stdlib)。

2、运行速度非常快,它同类工具实现都快几个数量级。

3、支持多线程任务执行。

4、支持 XML 和 JSON 输出,均直接从令牌树构建并且彼此独立(不执行 xml2json 转换)。

5、支持一些丢失记录/块的基本恢复。

工具要求

Rust

Python

工具安装

由于该工具基于Rust开发,因此我们首先需要在本地设备上安装并配置好最新版本的Rust环境。

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/omerbenamram/evtx.git

Cargo安装

cargo install evtx

发布版安装

我们还可以直接访问该项目的【Releases页面】下载针对 Windows、macOS 和 Linux 的自动构建版本。(仅限 64 位可执行文件)。

工具使用

此包提供的主要二进制实用程序是evtx_dump,它提供了一种将.evtx文件转换为不同输出格式的快速方法。

命令样例:

evtx_dump <evtx_file>:将把 evtx 记录的内容转储为 xml。

evtx_dump -o json <evtx_file>:将把 evtx 记录的内容转储为 JSON。

evtx_dump -f <output_file> -o json <input_file>:将会把 evtx 记录的内容以 JSON 形式转储到给定文件中。

除此之外,evtx_dump还可以和fd结合,方便批量处理文件:

fd -e evtx -x evtx_dump -o jsonl:将扫描一个文件夹并将所有 evtx 文件转储到单个 jsonlines 文件中。

fd -e evtx -x evtx_dump '{}' -f '{.}.xml:将在每个 evtx 文件旁边创建一个 xml 文件,以递归方式为文件夹中的所有文件创建一个 xml 文件。

如果需要将文件的来源添加到json,xargs(或者gxargs)和jq中,可以使用下列方法:

fd -a -e evtx | xargs -I input sh -c "evtx_dump -o jsonl input | jq --arg path "input" '. + {path: \$path}'"

注意:默认情况下,evtx_dump将尝试使用多线程,这意味着记录可能会无序返回。

使用示例(作为代码库使用)

use evtx::EvtxParser;

use std::path::PathBuf;

 

// Change this to a path of your .evtx sample.

let fp = PathBuf::from(format!("{}/samples/security.evtx", std::env::var("CARGO_MANIFEST_DIR").unwrap()));

 

let mut parser = EvtxParser::from_path(fp).unwrap();

for record in parser.records() {

    match record {

        Ok(r) => println!("Record {}\n{}", r.event_record_id, r.data),

        Err(e) => eprintln!("{}", e),

    }

}

使用“多线程”功能进行编译时,会启用并行版本(默认启用)。

许可证协议

本项目的开发与发布遵循MIT开源许可协议。

项目地址

EVTX:【GitHub传送门

参考资料

https://github.com/omerbenamram/pyevtx-rs

https://pypi.org/project/evtx/


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

办事处网络安全监控与事件响应;国外员工终端安全性怎么保障 | FB甲方群话题讨论
拿不下总统之位,那就用热加载拿下验证码识别与爆破好了!
Sooty:一款SoC分析一体化与自动化CLI工具
shiro CVE-2016-6802 路径绕过(越权)
Apache Solr 身份验证绕过漏洞(CVE-2024-45216)详解
llama_index的CVE-2024-4181漏洞根因分析

发布评论