Files
DeepBlueCLI/READMEs/README-DeepBlue.py.md

22 lines
996 B
Markdown

# DeepBlue.py
DeepBlueCLI, porté en Python. Conçu pour analyser les fichiers `evtx` sur Unix/Linux.
Version actuelle : alpha. Il supporte l'analyse en ligne de commande pour le journal de sécurité (ID 4688), le journal PowerShell (ID 4014) et le journal Sysmon (ID 1). D'autres fonctionnalités de DeepBlueCLI seront portées après la conférence DerbyCon 7.
## libevtx
Ce projet nécessite `libevtx` pour fonctionner.
Lien : https://github.com/libyal/libevtx
## Autres frameworks evtx
Notez que j'ai testé plusieurs frameworks `evtx` pour Unix/Linux/Python.
Celui-ci est assez populaire : https://github.com/williballenthin/python-evtx
J'ai rencontré des problèmes avec *certains* fichiers `.evtx`, où il plantait avec cette erreur :
UnicodeDecodeError: 'utf16' codec can't decode bytes in position 0-1: illegal UTF-16 surrogate
J'ai trouvé que `libevtx` "fonctionnait tout simplement", avec l'avantage supplémentaire d'offrir des options à la fois en Python et compilées.