Source: blog de Maxim Suhanov — Publication de recherche décrivant un artefact DFIR issu d’un bug du service Windows Event Logging (wevtsvc) qui réécrit de la mémoire non initialisée dans des fichiers EVTX après une purge.

Le chercheur explique qu’un bug de sécurité mémoire (utilisation de mémoire non initialisée) dans le service de journalisation Windows peut entraîner, lorsqu’un journal EVTX rarement mis à jour est vidé, le remplissage de la zone ElfChnk par des restes de mémoire du service. Ces restes peuvent contenir des entrées récemment supprimées d’autres journaux, qui réapparaissent alors comme entrées « non allouées ». Dès que la première vraie entrée est écrite dans ce journal, la partie résiduelle est effacée, rendant le phénomène observable surtout sur des journaux peu actifs.

Dans un cas DFIR réel, après effacement de tous les fichiers C:\Windows\System32\winevt\Logs*.evtx par des intrus, des logs RDP (source Microsoft-Windows-TerminalServices-LocalSessionManager) ont été retrouvés comme entrées supprimées dans un journal sans lien (Microsoft-Windows-Application-Experience%4Program-Inventory.evtx), et extractibles via libevtx.

Suhanov a reproduit le comportement sur une installation Windows 11 en purgeant Microsoft-AppV-Client%4Operational.evtx. Le fichier, non recréé (même record, même timestamp de création, mêmes clusters), contenait après coup des données résiduelles à partir de l’offset 0x1200. Avec evtxexport -m all, des événements Microsoft-Windows-BitLocker-API (identifiants, horodatages, etc.) ont été extraits, correspondant au contenu de Microsoft-Windows-BitLocker%4BitLocker Management.evtx, resté intact. Une comparaison hexadécimale montre l’identité des données à partir de 0x1200, le fichier AppV ayant simplement moins d’octets non nuls.

Le point d’origine identifié est un chunk ElfChnk partiellement initialisé issu de la fonction File::MapInNewWriteChunk() de wevtsvc.dll. L’auteur précise que le problème ne traverse pas de frontière de sécurité (un utilisateur non privilégié ne peut pas obtenir des données de journaux privilégiés en purgeant un journal), et qu’il s’agit donc d’un bug de sécurité mémoire mais pas d’une vulnérabilité.

IOCs et TTPs:

  • IOCs: aucun fourni.
  • TTPs: effacement des journaux Windows (*.evtx) par des intrus avant la collecte forensique.

Conclusion: article de recherche visant à documenter un artefact forensique utile — l’écriture de mémoire non initialisée dans des fichiers EVTX après purge — et à encourager la collecte et l’analyse de tous les journaux, y compris ceux sans entrées allouées.

🧠 TTPs et IOCs détectés

TTP

Effacement des journaux Windows (*.evtx) par des intrus avant la collecte forensique.

IOC

aucun fourni.

🔗 Source originale : https://dfir.ru/2026/01/26/windows-event-logs-were-cleared-but-resurrected-in-another-file/