neue Version des Evtx Parsers erschienen

Andreas Schuster hat Version 1.1.0 seines Evtx Parsers für die forensische Analyse neuerer Windows Eventlogs veröffentlicht. Diese Version erweitert die Anzahl unterstützter XML-Konstrukte und Datentypen deutlich und versteht jetzt mehr als 90% der von Microsofts proprietärem, binären XML Dialekt angebotenen Funktionen.

Evtx Parser und die Perl Bibliothek Parse::EVTX Perl sind als Download über sein Blog verfügbar. Die Bibliothek erkennt jetzt auch CDATA sections (Knotentyp 0x07), Referenzen auf XML Entitäten wie zum Beispiel (Knotentyp 0x09) und XML Verarbeitungsanweisungen (Knotentypen 0x0a und 0x0b). Neu hinzugekommen sind 13 Module, die Felder von Ganzzahlen, Fließkommazahlen einfacher und doppelter Genauigkeit, GUIDs, FILETIME und SYSTEMTIME Strukturen analysieren und darstellen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.