Windows Search

Windows 검색 기능

• 작업 표시줄 아이콘 클릭 or Windows + S 단축키

​

Windows Indexing

• 검색 기능을 구현하기 위해 미리 Indexing 작업을 수행함
• 파일 이름과 전체 파일 경로를 포함하여 파일의 모든 속성이 인덱싱됨
• 텍스트가 포함된 파일의 경우, 콘텐츠가 인덱싱됨

​

​

내 컴퓨터 또한 35110개가 미리 인덱싱이 되어있는 것을 확인할 수 있다.

​

​

Windows.edb

• Windows Search에 사용하기 위한 Indexing 정보 저장
• 경로 : %ProgramData%\Microsoft\Search\Data\Applications\Windows

​

Windows.edb 수집

• 온라인 상태에서 수집할 때는 windows search (Wsearch) 서비스를 종료시켜야함
• 서비스 동작 중 복사하거나 포렌식 도구로 수집 시 정상적인 구조가 아닌 "Dirty" 상태로 수집됨
  • Dirty : 응용프로그램이 데이터베이스를 사용하는 중의 상태
  • Clean : 데이터베이스 API를 사용하여 트랜잭션을 모두 처리한 상태
• 수집 과정
  • Windows Search 서비스 "사용 안함"
  • Windows Search 서비스 "중지"
  • 이후에 Windows.edb 복사
• Clean shutdown 확인
  • esentutl / m <파일이름> | findstr State
  • State : Clean Shutdown 확인

​

서비스 - windows search 더블클릭 - 사용안함 적용 - 중지

경로로 다시 돌아와서 Windows.edb 복사본을 만들고 바탕화면에 풀어준다.

​

​

바탕화면에 풀어준 경로로 cmd 켜주고 명령어를 작성한다.

clean shutdown 상태인 것을 확인해준다.

​

• ESEDatabaseView

도구로 먼저 분석해보자.

앱을 실행하고 추출한 데이터를 열어준다.

데이터들이 보이지만 결과값을 한눈에 보기 어려우므로 다음 도구를 사용해보자!

​

​

• WinSearchDBAnalyzer
  • https://moaistory.blogspot.com/2018/10/winsearchdbanalyzer.html
  • https://dfrws.org/presentation/recovery-method-of-deleted-records-and-tables-from-ese-database/ // 관련 논문

​

다운로드 받은 도구를 관리자 권한으로 실행해준다.

+) 이 도구는 extract버전을 선택해주면 관련 데이터가 clean상태로 잘 추출이 되기 때문에 아주 편리하다.

또한 분석 method를 deleted records로 선택할 수도 있다.

​

우리는 이미 clean한 파일을 추출했으므로 바로 open 해주자

​

​

UTC time은 한국시간으로(+9) 설정 해주고, 이후 나오는 체크리스트는 디폴트 값으로 설정해준다.

​

완료되면 다음과 같은 디렉토리들을 확인할 수 있다.

Categorize는 확장자별로 분류된 정보들을 확인할 수 있고 file에서는 root부터 경로를 확인해갈 수 있다.

​

또한 파일을 선택하여 우측 프리뷰를 살펴보면, 파일 사이즈와 생성 및 변경 시각, 경로 등을 확인할 수 있다.