Bug Windows EVTX : des entrées de journaux « ressuscitent » dans d’autres fichiers après purge
Source: blog de Maxim Suhanov — Publication de recherche décrivant un artefact DFIR issu d’un bug du service Windows Event Logging (wevtsvc) qui réécrit de la mémoire non initialisée dans des fichiers EVTX après une purge. Le chercheur explique qu’un bug de sécurité mémoire (utilisation de mémoire non initialisée) dans le service de journalisation Windows peut entraîner, lorsqu’un journal EVTX rarement mis à jour est vidé, le remplissage de la zone ElfChnk par des restes de mémoire du service. Ces restes peuvent contenir des entrées récemment supprimées d’autres journaux, qui réapparaissent alors comme entrées « non allouées ». Dès que la première vraie entrée est écrite dans ce journal, la partie résiduelle est effacée, rendant le phénomène observable surtout sur des journaux peu actifs. ...