Table des matières
Lire le journal d’événements Windows
Pour lire les EVTX, si vous avez un compte Google ou GitHub, c’est facile en utilisant l’appli de tableur en ligne Gigasheet (https://app.gigasheet.com/). L’EVTX est disséqué comme il faut, et très vite, un script PowerShell apparaît dans le journal :
Exécuter le code trouvé
On colle le code identifié dans par exemple l’interpréteur en ligne TIO (Try It Online) (https://tio.run/#) :
OK, le code de connexion TCP ou d’écriture sur flux, on s’en moque un peu, ce qui nous intéresse est cette variable $s et la boucle avec le XOR bit à bit. Il nous manque juste à sortir le résultat d’exécution de cette boucle sur la console :
