22 lines
996 B
Markdown
22 lines
996 B
Markdown
# DeepBlue.py
|
|
|
|
DeepBlueCLI, porté en Python. Conçu pour analyser les fichiers `evtx` sur Unix/Linux.
|
|
|
|
Version actuelle : alpha. Il supporte l'analyse en ligne de commande pour le journal de sécurité (ID 4688), le journal PowerShell (ID 4014) et le journal Sysmon (ID 1). D'autres fonctionnalités de DeepBlueCLI seront portées après la conférence DerbyCon 7.
|
|
|
|
## libevtx
|
|
|
|
Ce projet nécessite `libevtx` pour fonctionner.
|
|
Lien : https://github.com/libyal/libevtx
|
|
|
|
## Autres frameworks evtx
|
|
|
|
Notez que j'ai testé plusieurs frameworks `evtx` pour Unix/Linux/Python.
|
|
|
|
Celui-ci est assez populaire : https://github.com/williballenthin/python-evtx
|
|
|
|
J'ai rencontré des problèmes avec *certains* fichiers `.evtx`, où il plantait avec cette erreur :
|
|
|
|
UnicodeDecodeError: 'utf16' codec can't decode bytes in position 0-1: illegal UTF-16 surrogate
|
|
|
|
J'ai trouvé que `libevtx` "fonctionnait tout simplement", avec l'avantage supplémentaire d'offrir des options à la fois en Python et compilées. |