[Forensic] 윈도우 서치 데이터베이스 포렌식 | Windows.edb

드림핵에서 포렌식 워게임을 풀다가 Windows Search라는 개념을 알게 되어 정리해본다.
https://dreamhack.io/wargame/challenges/729/
 

Windows Search Database Forensic

Windows.edb : 검색에 사용하기 위한 색인 정보
- 빠른 검색을 위해 파일 및 이메일 메시지의 단어 혹은 메타데이터 정보를 분류한 것.
- Windows10에서는 기본으로 적용되어 파일의 변경사항을 지속적으로 추적하며 최신 정보로 인덱스를 업데이트한다.
 
[인덱싱에 사용되는 앱]
- 파일탐색기 (파일 접근, 변경사항 추적)
- Edge: 브라우저 기록 결과 제공
- Outlook: 이메일 검색
- Contana: 신속한 검색 결과 제공을 위해 사용
 
[파일 경로]

%ProgramData%\Microsoft\Search\Data\Applications\Windows

해당 경로에서 Windows.edb 파일을 찾을 수 있다.
 
작업관리자에서 실행중인 것도 확인 가능 (작업관리자 > 서비스 > WSearch)

 
[설정]
제어판 > 색인옵션 > 고급옵션 > 파일형식에서 확장명 추가 가능

*속성 및 파일 내용 색인 옵션을 선택하면 파일 내부 텍스트까지 인덱싱하여 파일 내부의 단어까지 검색이 가능하다. (파일 사이즈 증가)
 
사용자 폴더를 색인 목록에 추가할 수 있다. 목록을 추가하면 Windows.edb 파일의 크기가 증가한다.
색인 옵션 > 수정

 
[얻을 수 있는 정보]
- 파일 구조, 인터넷 접속 기록(Edge, IE), OneNote(제목) 등
 

[수집 방법]

디스크 이미지의 경우
FTK Imager: 경로를 찾아가서 Windows.edb 파일 export
 
라이브 상태에서 수집할 경우
Forecopy_handy.exe 도구 사용

forecopy_handy.exe -f [수집경로] [저장경로]

forecopy_handy.exe는 시스템에 영향을 주지 않고 파일을 복사해오는 도구다.
라이브 시스템에서 정보를 수집할 수 있다.
 
[옵션 설명]
-d : 디렉터리(폴더) 추출
-f : 파일 추출
*참고: 포렌식 복사 도구 - forensic-proof
 

[분석]

WinSearchDBAnalyzer 사용
다운로드 링크
file > open > File path에서 분석할 파일 선택

Analysis method 옵션
- Recovery deleted records 옵션을 선택하면 삭제된 데이터까지 복구 가능.
 
UTC 시간 선택 (한국은 UTC+9)

 
파일명, 메일 수신 시간 등 확인 가능

분석 화면

+ 추가 edb 파일 분석 도구: ESEDatabaseView
 

---

참고
[포렌식노트] - 디지털포렌식 Windows Search(edb) 분석 - Youtube
윈도우 검색 포렌식 - forensic-proof
Windows Search DB 분석 - secuworld.tistory