EVTX 分析工具 evtx-hunter

吉沃运营专员

项目地址：https://github.com/NVISOsecurity/evtx-hunter

evtx-hunter 有助于快速发现 Windows 事件查看器 (EVTX) 文件中有趣的安全相关活动，可快速处理大量事件，适合在收集大量事件的调查和狩猎活动中使用。





关于 evtx-hunter

evtx-hunter 是一个 Python 工具，可生成在 EVTX 文件中观察到的有趣活动的 Web 报告。该工具附带一些预定义的规则，例如：

• 第一次查询某个DNS域；
• 第一次启动某个进程；
• 新的服务设施；
• 用户帐户锁定；
• ......
  

可以轻松添加新用例：

• rules/first_occurence.json：监控第一次发生符合规则的事情，例如安装新的 (恶意) 服务或使用受损的用户帐户。
• rules/interesting_events.json：监控每次发生符合规则的事情，例如清除审计日志或安装新服务。
  

为什么需要 evtx-hunter

我们开发了 evtx-hunter 以在事件响应活动期间快速处理存储在 EVTX 转储文件中的大量事件。我们喜欢 Event Log Explorer 和 Evtx Explorer 之类的工具，但发现它们最适合深入研究特定的 EVTX 文件，快速发现大量 EVTX 事件中的有趣活动是我们所缺少的，这就是开发和发布 evtx-hunter 的原因。

依赖

evtx-hunter 仅在 Windows 上运行，因为它依赖于工具中包含的 EVTX Parsing 库。需要 Python (在 python 3.9 中测试，但任何版本 >=python 3.0 都可以正常工作)。

安装

1. pip install -r requirements.txt

复制代码

使用

1. python evtx_hunter.py <evtx_folder>

复制代码

处理完 EVTX 文件后，将打印命令行上的链接以在浏览器中查看生成的报告 (通常为 http://127.0.0.1:8050/)。

路线图

根据在需要调查 EVTX 文件的事件中使用它的经验，我们计划以几种不同的方式不断改进此工具：

• 添加新规则以发现 EVTX 文件中的有趣活动；
• 改进信息在结果报告中的呈现方式；
• 使报告具有交互性 (例如实时过滤和搜索)；
  

扩展：EVTX Parsing https://github.com/omerbenamram/EVTX