hola. Estoy realizando unos experimentos con los archivos evtx de windows y la posibilidad de modificarlos, pero me encuentro atascado con la checksum ( crc32 en teoria) de los chunk.
He calculado la cheksum de los bloques de datos de un chunk pero no se porque no coincide la calculada con la que ya está en el chunk.
¿ Alguien sabe como calcular esa checksum?
¿ es factible modificar esos archivos?

Gracias

Gracias por la pronta respuesta.
Estoy de viaje, el lunes pongo la duda con capturas de pantalla del asunto.
La idea es cambiar el timestamp de conexión de un USB. En teoría bastaría con re alcular la checksums del los datos de los eventos de ese chunk y luego recalcular la checksum del encabezado del chunk.
Pero debo estar haciendo algo mal. Lo dicho el lunes pongo capturas de pantalla con el paso a paso.

Entre los datos que se requieren para esa checksum está otra checksum que se refiere a los datos de los eventos del chunk.
https://i.imgur.com/9dfBF57.png
Está es la que me da el problema.
La primera checksum la obtengo de los bytes del encabezado excepto los bytes de la checksum de encabezado y los  8 anteriores, pero está segunda supongo que debe ser de la totalidad de los eventos, es decir de todos los datos del chunk excepto los 520 bytes del encabezado. Pero por más que pruebo no obtengo un resultado adecuado.
¿ Alguna pista? ¿ Debo seleccionar todos los datos y realizar la checksum? Hay alguna otra manera?
Gracias