Windows Search DB 분석

Windows Search DB 분석

 

윈도우 검색(Windows Search)은 색인(Indexing)을 사용하여 빠르게 검색할 수 있도록 지원하는 윈도우 운영체제의 기능이며 윈도우 검색에서 기본 색인 대상은 일반 파일을 비롯하여 이메일, 메신저, 웹 히스토리 등의 정보이다.

 

파일명 : Windows.edb <- EDB(Extensible Storage Engine DB) 포맷

파일경로 : C:\ProgramData\Microsoft\Search\Data\Applications\Windows

분석 데이터

* Outlook Mail Data (Time ,Contents)
* OneNote Title
* Internet History (URLs, Last visit time)
* Lnk list
* Network Drive (When adding offline)
* Favorites
* File, Folder Information (Time, Contents(2KB), Path,...)
* Activity History (Recently used programs, Windows 10 Timeline)

 

WinSearchDBAnalyzer Advantages

- WinSearchDBAnalyzer can recovery deleted records.

- WinSearchDBAnalyzer works well on Windows 10.

- WinSearchDBAnalyzer can extract and analyze Windows.edb from live
  system.

- Regardless of status of the file, WinSearchDBAnalyzer can parse any
  file.(Dirty status is OK)

- WinSearchDBAnalyzer shows more information than the other tools .

  (File categorization by extension, File hierarchy, File Contents)

- WinSearchDBAnalyzer can apply to UTC time.

 

분석

F:\>forecopy.exe -f C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb f:\test

F:\>esentutl.exe /mh f:\test\Windows.edb | findstr /i /c:"state"
            State: Dirty Shutdown

F:\>esentutl.exe /p f:\test\Windows.edb
F:\>esentutl.exe /mh f:\test\Windows.edb | findstr /i /c:"state"
            State: Clean Shutdown

ESEDatabazseView Tool

F:\>ESEDatabaseView.exe /table "f:\test\windows.edb" * /scomma "f:\test\Windowsedb\WindowSearch_*.csv"

F:\>tasklist |findstr /i /c:"ESEDatabaseView.exe"
ESEDatabaseView.exe          24036 Console                    1     31,688 K <- 프로세스 종료 확인

 

WinSearchDBAnalyzer Tool

- 삭제된 파일에 대한 정보 및 파일 내용도 확인 가능

 

- 인덱스된 폴더 및 파일 확인

 

- Web 접속 이력 : http. https

- IE를 통해 다운로드 받은 파일 내역

 

- OutLook 메일 내역

 

- 삭제 파일 내역