GitHub - killvxk/EvtCarving-1: Carving the record of Windows Event Log from file(s)

killvxk / EvtCarving-1 Public

Notifications You must be signed in to change notification settings
Fork 2
Star 2

Carving the record of Windows Event Log from file(s)

Notifications

Name		Name	Last commit message	Last commit date
Latest commit History 2 Commits
Introduction.pptx		Introduction.pptx
LICENSE		LICENSE
ReadMe.txt		ReadMe.txt
SimpleGlob.h		SimpleGlob.h
SimpleOpt.h		SimpleOpt.h
StdAfx.cpp		StdAfx.cpp
StdAfx.h		StdAfx.h
_DeleteJunk.bat		_DeleteJunk.bat
carving.clw		carving.clw
carving.cpp		carving.cpp
carving.dsp		carving.dsp
carving.dsw		carving.dsw
carving.h		carving.h
carving.rc		carving.rc
common.cpp		common.cpp
common.h		common.h
cv_bxml.cpp		cv_bxml.cpp
cv_bxml.h		cv_bxml.h
cv_crc32.cpp		cv_crc32.cpp
cv_crc32.h		cv_crc32.h
cv_evt.cpp		cv_evt.cpp
cv_evt.h		cv_evt.h
cv_evtx.cpp		cv_evtx.cpp
cv_evtx.h		cv_evtx.h
resource.h		resource.h

Repository files navigation


[2012.06.29][hojinpk][2.0.0.3]
- chunk 에 하나의 record 도 없는 경우 chunk 를 생성하지 않도록 수정.


[2012.06.28][hojinpk][2.0.0.2]
- 대용량 입력파일 지원


[2012.04.04][hojinpk][2.0.0.1]
- evtx 카빙 지원
- 카빙한 데이터를 힙에 쌓아 두었다가 카빙이 끝나면 파일로 기록하고 있다.
  하지만 2GB 가 넘어갈 경우 처리하지 못하여 에러가 발생한다.

  --> 중간중간 메모리가 꽉차기전에 기록해야 하지만 속도문제도 있고 해서 아직 고치지 않았다. 


[2012.01.31][hojinpk][1.0.0.2]
- 메모리맵 끝트머리에 걸려있는 레코드 처리 정상화


[2012.01.18][hojinpk][1.0.0.1]
- 레코드를 날짜별로 파일을 생성하던 것을 레코드 그룹별로 생성하도록 변경
- 레코드 무결성을 Event Log Explorer 에서 읽을 수 있도록 최대한 검증함.


[2011.12.13][hojinpk][0.2.5.0] 
- Event Log Explorer 가 해석하지 못하는 레코드가 있어
  레코드 제약조건을 조금더 강화 했다.


[2011.12.12][hojinpk][0.2.4.0] 
- 결과를 날짜별로 생성하는 것이 분석하기에 불편하여
  통으로 생성할 수 있도록 수정함.


[2011.12.09][hojinpk][0.2.3.0] 
- 대용량 파일 지원


[2011.12.08][hojinpk][0.2.2.0]
- 날짜별로 파일을 만들어 누적할 경우 레코드 해더와 풋터를 갱신함.


[2011.12.07][hojinpk][0.2.1.0] 
- 진국이한테서 소스 받아 최적화 시킴