论文部分内容阅读
该文研究了一种全新的日志文件格式-Windows Vista系统的日志文件EVTX,通过深入剖析其结构特征,提出了基于内容特征的EVTX文件雕复方法。该方法采用Evtx文件的文件头、文件块数目验证来确认文件是否分片,确认完整文件的实际尾部;利用文件块特征来搜索和匹配分片文件的数据块Chunk;从数据块Chunk中提取单条日志文件记录并解析其内容为文本形式。实验以一个Windows Visa分区镜像为数据集,实验表明该雕复方法可以自动且准确地雕复在原始磁盘镜像中连续和分片存储的Evtx文件。