-
Windows Search Database Forensic (Windows.edb)Hacking/디지털 포렌식 2024. 4. 10. 20:11
윈도우 검색 서비스 (Windows Search Service, WSS)
Windows 운영체제에서 윈도우 검색을 지원하기 위해 운영체제 내 파일시스템 전체를 인덱싱하는 기능이다. 파일의 이름뿐 아니라 메타데이터와 파일 내용 일부까지도 인덱싱 하기 때문에 파일 내용으로도 윈도우 검색이 가능하다.
윈도우 검색 설정 데이터 (Windows Search configuration data)
Windows Search 기능에 대한 여러 설정들이 저장된 데이터이다.
경로:
HKLM\SOFTWARE\Microsoft\Windows Search
HKCU\SOFTWARE\Microsoft\Windows Search혹은 손쉽게 제어판 '색인 옵션'에서 인덱싱에 대한 여러 옵션을 설정할 수 있다.
저장된 검색 (Saved Searches)
이미 한 번 윈도우 탐색기를 통해 검색된 기록은 나중에 재사용하기 쉽도록 저장된다.
.search-ms 확장자로 저장된다. (XML 포맷)
경로 : USER\Search (사용자 폴더\검색)
Windows.edb
시스템 파일들에 대한 인덱싱 정보가 저장된 파일
- ESE database 구조
- 삭제되었거나 오래 전 사용했던 파일에 대한 기록도 복구할 수 있다.
- 저장되는 내용
- 최근에 사용한 파일이나 자주 사용하는 파일에 대한 정보
- OneNote 노트 파일, Outlook 메일 수신 시간, 내용 등 주로 MicroSoft 소프트웨어와 관련된 정보
- Edge나 Internet Explorer로 방문한 최신 인터넷 페이지, 접속 기록, 즐겨찾기에 대한 정보
경로 : C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb
분석 도구
WinSearchDBAnalyzer
일반적으로 ESE database 분석에서는 ESEDatabaseView라는 도구를 사용하지만, Windows Search를 분석할 때는 해당 도구를 사용하면 불필요하게 많은 테이블과 칼럼을 파싱 하기 때문에 분석에 어려움이 있다. WinSearchDBAnalyzer는 Digital Forensic Challenge 2018에 제출된 도구로, Windows Search를 쉽게 분석할 수 있도록 도와주는 도구이다.
다운로드 링크
https://moaistory.blogspot.com/2018/10/winsearchdbanalyzer.html
WinSearchDBAnalyzer
WinSearchDBAnalyzer This tool can parse normal records and recover deleted records in Windows.edb. Windows.edb is used in Win...
moaistory.blogspot.com
실습
드림핵 워게임 <Windows Search> 풀이
[Dreamhack] Windows Search 풀이 (윈도우 포렌식)
문제 "Windows Search"라는 개념과 관련된 문제인 것 같다. 풀이 Windows.edb라는 파일이 주어진다. edb라는 확장자는 처음 봐서 검색을 해보았더니 윈도우 ESE database 파일 중 하나이고, Windows Search라는 기
inh22.tistory.com