[Windows Search]
Windows 검색 기능으로 작업 표시줄 아이콘을 클릭하거나 Windows + S 단축키를 눌러 실행할 수 있다.
Windows Indexing은 검색 기능을 구현하기 위해 미리 Indexing 작업을 수행하는 것을 말한다. 파일 이름과 전체 파일 경로를 포함하여 파일의 모든 속성이 인덱싱 되며, 텍스트가 포함된 파일의 경우에는 콘텐츠가 인덱싱 된다. 설정\개인 정보 및 보안\Windows 검색에서 확인할 수 있다.
Windows.edb에는 Windows Search에 사용하기 위한 Indexing 정보가 저장되어 있다. %ProgramData%\Microsoft\Search\Data\Applications\Windows 경로에서 Windows.edb를 확인할 수 있다.
Windows.edb를 온라인 상태에서 수집할 때는 Windows Search(Wsearch) 서비스를 종료시켜야 한다. 서비스 동작 중 복사하거나 포렌식 도구로 수집 시 정상적인 구조가 아닌 “Dirty” 상태로 수집된다. Dirty 상태는 응용 프로그램이 데이터베이스를 사용하는 중의 상태를 말하고, Clean 상태는 데이터베이스 API를 사용하여 트랜잭션을 모두 처리한 상태를 말한다.
[Practice]
서비스를 열어 Windows Search를 찾아준다.
Windows Search를 더블클릭 한 다음 시작 유형을 "사용 안 함"으로 설정해준다.
설정한 다음 서비스 중지 버튼을 클릭한다.
Windows.edb 경로로 접속하여 Windows.edb의 복사본을 생성한다. 복사본의 이름을 copy_Windows.edb로 변경해주었다.
복사본의 상태가 Dirty인지 Clean인지 확인하기 위해 "esentutl /m <파일이름> | findstr State" 명령어를 입력한다. cmd를 열어 "esentutl /m copy_Windows.edb | findstr State" 명령어를 입력하면 파일 상태가 Clean임을 확인할 수 있다.
Clean Shutdown 상태의 파일을 보기 위해 WinSearchDBAnalyzer를 다운로드한다.
https://moaistory.blogspot.com/2018/10/winsearchdbanalyzer.html
WinSearchDBAnalyzer
WinSearchDBAnalyzer This tool can parse normal records and recover deleted records in Windows.edb. Windows.edb is used in Win...
moaistory.blogspot.com
WinSearchDBAnalyzer를 관리자 권한으로 실행하여 copy_Windows.edb 파일을 열어준다.
Time zones를 UTC+9로 설정한다.
C 드라이브 안에 Indexing 되어있는 데이터들을 확인할 수 있다.
'포렌식 > 기초부터 따라하는 디지털 포렌식' 카테고리의 다른 글
| Recycle Bin 개념 및 실습 (0) | 2022.07.30 |
|---|---|
| VSS(Volume Shadow Copy Service) 개념 및 실습 (0) | 2022.07.29 |
| Event Logs 개념 및 실습 (0) | 2022.07.29 |
| Windows Timeline 개념 및 실습 (0) | 2022.07.29 |
| ThumbnailCache & IconCache 개념 및 실습 (0) | 2022.07.29 |
