EDB 파일은 Extensible Storage Engine (ESE) Database의 약자로, Microsoft Windows에서 다양한 시스템 정보를 저장하기 위해 사용하는 데이터베이스 파일 형식이다.
윈도우는 시스템 내의 수많은 흔적을 이 EDB 형식으로 기록하고 있다.
- 구조: 일반적인 텍스트 파일이 아닌 바이너리 형태의 데이터베이스 파일입니다. 따라서 메모장으로 열면 글자가 깨져 보이며, 전용 뷰어나 분석 도구가 필요하다.
- tool: ESEDatabaseView
- 용도: 인덱싱, 메일 저장, 시스템 구성 정보 기록 등
Window Search는 시스템 내의 파일 이름, 경로, 수정 날짜, 그리고 파일의 내용 일부까지 미리 읽어서 인덱싱한다.
이 정보가 저장되는 큰 데이터베이스 파일 --> Windows.edb
- 저장 위치: C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb
- tool: WinSearchDBAnalyzer
- 보통 ESEDatabaseView를 사용하지만 window search를 탐색할 때는 winsearchdbanalyzer로 보는 것이 편하다.
- 포렌식 가치:
- 파일명 및 경로: 공격자가 랜섬웨어를 어디에 저장했는지, 어떤 이름으로 관리했는지 알 수 있다.
- 메시지 파편: 윈도우가 특정 메신저의 데이터 폴더를 인덱싱했다면, 채팅 메시지의 일부가 이 파일 안에 텍스트로 남아있을 수 있다.
- 삭제된 파일: 실제 파일은 지워졌더라도 인덱스 데이터베이스에는 기록이 한동안 남아 있어 삭제된 증거를 찾을 수 있다.
WinSearchDBAnalyzer
파일을 열고, 시간을 지정해주면 보기 쉽게 표의 형태로 나옴
- 데이터베이스 파싱(Parsing):
- 복잡한 윈도우 검색 데이터베이스 구조를 자동으로 분석하여 내부 테이블과 레코드 값을 읽어온다.
- 파일명 및 경로 추출:
- 시스템에 인덱싱된 모든 파일의 이름, 전체 경로, 확장자 정보를 리스트 형태로 보여준다. 이를 통해 공격자가 숨겨둔 파일이나 삭제된 파일의 흔적을 찾을 수 있다.
- 메타데이터 분석:
- 파일의 생성 시간, 마지막 수정 시간뿐만 아니라 아웃룩 이메일 제목, 본문 일부, 연락처 정보 등 검색 엔진이 수집한 상세 메타데이터를 확인할 수 있다.
- 검색 쿼리 기록 확인:
- 사용자가 윈도우 검색창에 직접 입력했던 검색어 기록을 추출하여 사용자의 의도나 행적을 파악할 수 있다.
'SWUFORCE > 워게임' 카테고리의 다른 글
| Python - Flask 프레임워크/ @app.route() (1) | 2026.05.12 |
|---|---|
| 드림핵 워게임 - session-basic (0) | 2026.05.11 |
| 워게임 - Windows Search (0) | 2026.05.05 |
| 워게임 - code & art (0) | 2026.05.01 |
| 워게임 - cat (0) | 2026.04.28 |