[EnCase] 윈도우 검색 흔적(Windows Search) 분석 (1)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 윈도우에서 검색한 흔적에 대한 분석 방법을 알아보겠습니다. 모두 화이팅하세요!

 

윈도우 검색

윈도우 검색은 Windows Vista, Windows 7 이후 버전에서 기본적으로 동작하는 인덱스 기반 검색 기능을 말합니다.

구버전에서는 Windows Desktop Search 라고 불리워 지기도 합니다.

검색을 하게 되면, 파일명 또는 파일내용에서 검색단어를 찾습니다.

파일내용 검색은 MS Office, Outlook, TXT, XML, ZIP 등 일부 포맷의 경우에만 가능합니다.

 

 

또한 파일내용 까지 검색하게 하려면 다음 설정 창에서 추가하거나 변경하면 됩니다.

 

 

윈도우 검색 서비스 (Windows Search Service, WSS)

WSS는 항목의 메타데이터와 특정한 경우 그 항목의 데이터의 서브셋까지 인덱싱 가능합니다.

다음 3개 중 하나에서 필요한 정보를 찾을 수 있습니다.

- 윈도우 검색 설정 데이터 (Windows Search configuration data)

- 저장된 검색 (Saved searches)

- 윈도우 검색 데이터베이스 파일 (The Windows Search database file)

 

 

윈도우 검색 설정 데이터 (Windows Search configuration data)

윈도우 검색은 아래 레지스트리 설정에 의해 조절됩니다.

HKLM\SOFTWARE\Microsoft\Windows Search

HKCU\SOFTWARE\Microsoft\Windows Search

 

 

제어판의 ‘색인 옵션’을 통해서도 설정을 바꿀 수 있습니다.

‘수정’ 단추를 눌러서 색인 대상을 추가, 제외할 수 있습니다.

아래의 레지스트리에서도 색인에 포함 여부를 확인할 수 있습니다.

Include 값이 1이면 색인에 포함된 것입니다.

HKLM\SOFTWARE\Microsoft\WindowsSearch\CrawlScopeManager\Windows\SystemIndex\WorkingSetRules

HKLM\SOFTWARE\Microsoft\WindowsSearch\Gather\Windows\SystemIndex\Sites\LocalHost\Paths

 

 

저장된 검색 (Saved Searches)

윈도우 탐색기를 통해 실행된 검색은 나중에 재사용하도록 저장 가능합니다.

기본 저장 위치 : 사용자 폴더 --> 검색 아래에 저장됩니다.

‘검색단어’.search-ms 확장자로 저장됩니다.

XML 포맷이며, Generic XML Browser EnScript 모듈을 사용하면 쉽게 볼 수 있습니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Advanced Forensics