-
-
[旧帖] 关于windows日志事件格式的一点疑惑 0.00雪花
-
发表于: 2012-2-22 09:37
-
typedef struct _EVENTLOGRECORD {
DWORD Length;
DWORD Reserved;
DWORD RecordNumber;
DWORD TimeGenerated;
DWORD TimeWritten;
DWORD EventID;
WORD EventType;
WORD NumStrings;
WORD EventCategory;
WORD ReservedFlags;
DWORD ClosingRecordNumber;
DWORD StringOffset;
DWORD UserSidLength;
DWORD UserSidOffset;
DWORD DataLength;
DWORD DataOffset;
//
// Then follow:
//
// TCHAR SourceName[]
// TCHAR Computername[]
// SID UserSid
// TCHAR Strings[]
// BYTE Data[]
// CHAR Pad[]
// DWORD Length;
//
} EVENTLOGRECORD;
这是MSDN上定义的日志事件声明格式,DWORD Length为本结构体的长度,
DWORD DataOffset是从本结构体头算起的偏移位置,看了一个实际的windows日志文件格式,大多数都没什么问题,只是昨天偶然发现一条,DataOffset大于了Length,这一下子不是出了结构体了?搞不懂,请高手指点一下,不尽感激
DWORD Length;
DWORD Reserved;
DWORD RecordNumber;
DWORD TimeGenerated;
DWORD TimeWritten;
DWORD EventID;
WORD EventType;
WORD NumStrings;
WORD EventCategory;
WORD ReservedFlags;
DWORD ClosingRecordNumber;
DWORD StringOffset;
DWORD UserSidLength;
DWORD UserSidOffset;
DWORD DataLength;
DWORD DataOffset;
//
// Then follow:
//
// TCHAR SourceName[]
// TCHAR Computername[]
// SID UserSid
// TCHAR Strings[]
// BYTE Data[]
// CHAR Pad[]
// DWORD Length;
//
} EVENTLOGRECORD;
这是MSDN上定义的日志事件声明格式,DWORD Length为本结构体的长度,
DWORD DataOffset是从本结构体头算起的偏移位置,看了一个实际的windows日志文件格式,大多数都没什么问题,只是昨天偶然发现一条,DataOffset大于了Length,这一下子不是出了结构体了?搞不懂,请高手指点一下,不尽感激
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
你看下这个网页就知道了;
http://www.bobd.cn/itschool/Program/vc/200612/itschool_13283.html
|
|
|
|
