来源： Windows 取证之EVTX日志 - 合天网安实验室 - 博客园 0x0、概述 evtx文件是微软从 Windows NT 6.0(Windows Vista 和 Server 2008) 开始采用的一种全新的日志文件格式。在此之前的格式是 evt 。evtx由Windows事件查看器创建，包含Windows记录的事件列表，以专有的二进制XML格式保存。 0x1、EVTX文件结构 evt