data leakage case #42~46, Windows Search Database, windows.edb

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

http://forensic-proof.com/archives/2109 "윈도우 검색 포렌식 (Windows Search Forensics)"

http://moaistory.blogspot.com/2018/ "WinSearchDBAnalyzer"

#42. Was the ‘Windows Search and Indexing’ function enabled? How can you identify it?

  If it was enabled, what is a file path of the ‘Windows Search’ index database?  

---

HKLM\SYSTEM\ControlSet001\services\WSearch (value : DelayedAutoStart ) 값이 1일 경우 윈도우 검색 및 색인 기능이 활성화 된 것이다.

When a service is configured for a delayed automatic start, a DWORD registry value is present under HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\<service name>. It's named DelayedAutoStart and it's set to 1, along with a Start value of 2—which is the normal value for automatic start.2011. 7. 21.

HKLM\SOFTWARE\Microsoft\Windows Search\Databases\Windows (value: FileName) 값이 windows.edb 의 경로이다.

#43 What kinds of data were stored in Windows Search database?

---

Windows.edb (=Windows Search Database) 란?

윈도우 검색에 사용하기 위한 색인 정보가 저장되어 있으며, Extensible Storage Engine (ESE) Database(.edb) 파일 중 하나이며, 경로는 다음과 같다.

Windows Vista/7 : %ProgramData%\Microsoft\Search\Data\Applications\Windows\Windows.edb

다음과 같이 사용자의 기본 폴더, 이메일, 인터넷 히스토리등의 개략적인 정보가 확인가능하다.

- Internet Explorer History 

- Microsoft Outlook 

- Files in %UserProfile% (Excluding ‘AppData’ directory) 

- Start Menu (/ProgramData/Microsoft/Windows/Start Menu/) 

- Sticky Note

#44 ~ 46

---

[도구명] WinSearchDBAnalyzer

[프로그램 다운로드 경로] http://moaistory.blogspot.com/2018/10/winsearchdbanalyzer.html

다음과 같이 windows.edb 를 불러온다.

[open] 클릭 후에는, 어떠한 정보들을 파싱할 것인지에 대해 선택할 수 있는데 기본 설정으로 진행한다.

파싱 이후에, 다음 그림과 같이 windows.edb 에 저장되는 정보들의 종류를 알 수 있다.

이중 ALL(464) 를 누른 후, System_ItemPathDisplay 컬럼를 기준으로 정렬을 하여 필요한 정보들을 분석한다. System_Search_AutoSummary 컬럼 또한 분석에 유의미한 정보(이메일 내용, PPT 내용 등 해당파일의 Contents)를 가지고 있다.

#44 Find traces of Internet Explorer usage stored in Windows Search database.  

(It should be considered only during a date range between 2015-03-22 and 2015-03-23.) 

---

#45 List the e-mail communication stored in Windows Search database. 

(It should be considered only during a date range between 2015-03-23 and 2015-03-24.)

---

#46 List files and directories related to Windows Desktop stored in Windows Search database. 

(Windows Desktop directory: \Users\informant\Desktop\) 

---