드림핵에서 포렌식 워게임을 풀다가 Windows Search라는 개념을 알게 되어 정리해본다.
https://dreamhack.io/wargame/challenges/729/
Windows Search Database Forensic
Windows.edb : 검색에 사용하기 위한 색인 정보
- 빠른 검색을 위해 파일 및 이메일 메시지의 단어 혹은 메타데이터 정보를 분류한 것.
- Windows10에서는 기본으로 적용되어 파일의 변경사항을 지속적으로 추적하며 최신 정보로 인덱스를 업데이트한다.
[인덱싱에 사용되는 앱]
- 파일탐색기 (파일 접근, 변경사항 추적)
- Edge: 브라우저 기록 결과 제공
- Outlook: 이메일 검색
- Contana: 신속한 검색 결과 제공을 위해 사용
[파일 경로]
%ProgramData%\Microsoft\Search\Data\Applications\Windows
해당 경로에서 Windows.edb 파일을 찾을 수 있다.
작업관리자에서 실행중인 것도 확인 가능 (작업관리자 > 서비스 > WSearch)
[설정]
제어판 > 색인옵션 > 고급옵션 > 파일형식에서 확장명 추가 가능
*속성 및 파일 내용 색인 옵션을 선택하면 파일 내부 텍스트까지 인덱싱하여 파일 내부의 단어까지 검색이 가능하다. (파일 사이즈 증가)
사용자 폴더를 색인 목록에 추가할 수 있다. 목록을 추가하면 Windows.edb 파일의 크기가 증가한다.
색인 옵션 > 수정
[얻을 수 있는 정보]
- 파일 구조, 인터넷 접속 기록(Edge, IE), OneNote(제목) 등
[수집 방법]
디스크 이미지의 경우
FTK Imager: 경로를 찾아가서 Windows.edb 파일 export
라이브 상태에서 수집할 경우
Forecopy_handy.exe 도구 사용
forecopy_handy.exe -f [수집경로] [저장경로]
forecopy_handy.exe는 시스템에 영향을 주지 않고 파일을 복사해오는 도구다.
라이브 시스템에서 정보를 수집할 수 있다.
[옵션 설명]
-d : 디렉터리(폴더) 추출
-f : 파일 추출
*참고: 포렌식 복사 도구 - forensic-proof
[분석]
WinSearchDBAnalyzer 사용
다운로드 링크
file > open > File path에서 분석할 파일 선택
Analysis method 옵션
- Recovery deleted records 옵션을 선택하면 삭제된 데이터까지 복구 가능.
UTC 시간 선택 (한국은 UTC+9)
파일명, 메일 수신 시간 등 확인 가능
+ 추가 edb 파일 분석 도구: ESEDatabaseView
참고
[포렌식노트] - 디지털포렌식 Windows Search(edb) 분석 - Youtube
윈도우 검색 포렌식 - forensic-proof
Windows Search DB 분석 - secuworld.tistory
'Digital Forensics' 카테고리의 다른 글
| [forensic-proof] 안티포렌식 (0) | 2022.08.13 |
|---|---|
| 파일시스템 기초 (0) | 2022.05.09 |
| 웹 브라우저 포렌식 (Web Browser Forensics) (0) | 2021.09.20 |
| 네트워크 기초 (0) | 2021.04.01 |
| 기초암호학 (0) | 2021.03.25 |