안녕하세요. 도깬리 포렌식스 입니다.
어제는 수도권에 물폭탄이 떨어져 고생이 많으셨죠. 이제 비가 그만 왔으면 좋겠네요. 오늘도 윈도우 검색 흔적에 대한 분석을 이어 갑니다. 화이팅 하세요.
윈도우 검색 데이터베이스 파일 조사하기 (Windows.EDB)
윈도우 검색 관련 가장 유용한 정보입니다.
저장 위치는 레지스트리에 기록되어 있습니다.
HKLM\SOFTWARE\Microsoft\Windows Search\Databases\Windows
일반적으로 다음의 위치에 저장됩니다.
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb
확장가능 저장 엔진 (Extensible Storage Engine (ESE))
JetBlue 라고 불리는 데이터베이스 포맷은 다음과 같은 다양한 어플리케이션에서 사용됩니다.
- Microsoft Exchange Server
- Active Directory
- Windows Live Messenger Contacts
- Windows Search
Microsoft는 ESE 데이터베이스 파일에 접근할 수 있도록 API(Application Programming Interface)를 제공합니다.
위 API는 윈도우 운영체제 구매시 제공되는 esent.dll 에 포함되어 있는 루틴(routines)을 통해 접근 가능합니다.
위 esent.dll 파일과 함께 esentutl.exe 라는 유틸리티도 함께 제공하는데, 이것은 ESE 데이터베이스 안의 데이터는 볼 수 없으나, 데이터베이스 구조를 확인할 수 있습니다.
Windows.EDB 파일 추출하여 조사하기
Windows.edb와 함께 같은 폴더 내의 다른 파일들도 모두 추출할 수 있습니다.
EseDbViewer을 사용하여 분석하기
Mark Woan 이 개발하였습니다.
윈도우 검색과 윈도우 라이브 메신저에 의해 사용되는 데이터베이스에 포함된 데이터를 간단히 볼 수 있습니다.
EseDbViewer에서 Windows.edb를 열어 봅니다.
만약, 위 과정에서 에러가 발생하면 esentutl.exe 유틸리티로 손상을 치료한 후, 다시 열어 보아야 합니다.
esentutl /p Windows.edb
EseDbViewer 프로그램은 반드시 ‘관리자 권한’으로 실행하여야 합니다.
주목할 만한 것은 OutLook 이메일 메시지가 원격지 서버에 저장되어 있음에도 불구하고 상당한 량의 이메일 메시지가 Windows.edb 데이터베이스 파일에서도 발견된다는 사실입니다.
위 데이터베이스 테이블의 정보는 CSV, HTML 포맷으로 내보내기 할 수 있고, 이렇게 추출된 데이터는 다시 EnCase에 싱글파일로 추가하여 계속 분석 가능합니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Advanced Forensics
'EnCase' 카테고리의 다른 글
| [EnCase] USB 메모리 연결 흔적 분석 (2) (0) | 2022.08.14 |
|---|---|
| [EnCase] USB 메모리 연결 흔적 분석 (1) (0) | 2022.08.12 |
| [EnCase] 윈도우 검색 흔적(Windows Search) 분석 (1) (0) | 2022.08.07 |
| [EnCase] Zip 파일 복구 (2) (0) | 2022.08.05 |
| [EnCase] Zip 파일 복구 (1) (0) | 2022.08.03 |