0x0、概述

evtx文件是微软从 Windows NT 6.0(Windows Vista 和 Server 2008) 开始采用的一种全新的日志文件格式。在此之前的格式是 evt

evtxWindows事件查看器创建,包含Windows记录的事件列表,以专有的二进制XML格式保存。

0x1、EVTX文件结构

evtx文件主要由三部分组成:

  • file header (文件头)

  • chunks (数据块)

  • trailing empty values (尾部填充空值)

File Header(文件头):

文件头长度为4KB(4096bytes),其结构如下:

https://www.cnblogs.com/hetianlab/p/15061694.html