data leakage case #42~46, Windows Search Database, windows.edb
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://forensic-proof.com/archives/2109 "윈도우 검색 포렌식 (Windows Search Forensics)"
http://moaistory.blogspot.com/2018/ "WinSearchDBAnalyzer"
#42. Was the ‘Windows Search and Indexing’ function enabled? How can you identify it?
If it was enabled, what is a file path of the ‘Windows Search’ index database?
HKLM\SYSTEM\ControlSet001\services\WSearch (value : DelayedAutoStart ) 값이 1일 경우 윈도우 검색 및 색인 기능이 활성화 된 것이다.
When a service is configured for a delayed automatic start, a DWORD registry value is present under HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\<service name>. It's named DelayedAutoStart and it's set to 1, along with a Start value of 2—which is the normal value for automatic start.2011. 7. 21.
HKLM\SOFTWARE\Microsoft\Windows Search\Databases\Windows (value: FileName) 값이 windows.edb 의 경로이다.
#43 What kinds of data were stored in Windows Search database?
Windows.edb (=Windows Search Database) 란?
윈도우 검색에 사용하기 위한 색인 정보가 저장되어 있으며, Extensible Storage Engine (ESE) Database(.edb) 파일 중 하나이며, 경로는 다음과 같다.
Windows Vista/7 : %ProgramData%\Microsoft\Search\Data\Applications\Windows\Windows.edb
다음과 같이 사용자의 기본 폴더, 이메일, 인터넷 히스토리등의 개략적인 정보가 확인가능하다.
- Internet Explorer History
- Microsoft Outlook
- Files in %UserProfile% (Excluding ‘AppData’ directory)
- Start Menu (/ProgramData/Microsoft/Windows/Start Menu/)
- Sticky Note
#44 ~ 46
[도구명] WinSearchDBAnalyzer
[프로그램 다운로드 경로] http://moaistory.blogspot.com/2018/10/winsearchdbanalyzer.html
다음과 같이 windows.edb 를 불러온다.
[open] 클릭 후에는, 어떠한 정보들을 파싱할 것인지에 대해 선택할 수 있는데 기본 설정으로 진행한다.
파싱 이후에, 다음 그림과 같이 windows.edb 에 저장되는 정보들의 종류를 알 수 있다.
이중 ALL(464) 를 누른 후, System_ItemPathDisplay 컬럼를 기준으로 정렬을 하여 필요한 정보들을 분석한다. System_Search_AutoSummary 컬럼 또한 분석에 유의미한 정보(이메일 내용, PPT 내용 등 해당파일의 Contents)를 가지고 있다.
#44 Find traces of Internet Explorer usage stored in Windows Search database.
(It should be considered only during a date range between 2015-03-22 and 2015-03-23.)
#45 List the e-mail communication stored in Windows Search database.
(It should be considered only during a date range between 2015-03-23 and 2015-03-24.)
#46 List files and directories related to Windows Desktop stored in Windows Search database.
(Windows Desktop directory: \Users\informant\Desktop\)
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
data leakage case #51, Recycle Bin (0) | 2019.01.30 |
---|---|
data leakage case #47~50, Volume Shadow Copies(VSC) (0) | 2019.01.30 |
data leakage case #40, #41 sticky notes (0) | 2019.01.24 |
data leakage case #38, #39, Thumbcache (0) | 2019.01.24 |
data leakage case #37, print forensic (0) | 2019.01.24 |