[인프런] 39. Windows Search ~ 40. Recycle Bin 개념 및 실습

39. Windows Search

https://inf.run/e4oCc

Windows Search 개념 및 실습 | 기초부터 따라하는 디지털포렌식

 

Windows 검색 기능

- 작업표시줄 아이콘 클릭 or Windows + S 단축키

 

Windows Indexing
- 검색 기능을 구현하기 위해 미리 Indexing 작업을 수행함
- 파일 이름과 전체 파일 경로를 포함하여 파일의 모든 속성이 인덱싱됨
- 텍스트가 포함된 파일의 경우, 콘텐츠가 인덱싱됨

 

 

Windows.edb
- Windows Search에 사용하기 위한 Indexing 정보 저장
경로: %ProgramData% \Microsoft\Search\Data\Applications\Windows

 

Windows.edb 수집
- 온라인 상태에서 수집할 때는 Windows Search (Wsearch) 서비스를 종료시켜야 함
- 서비스 동작 중 복사하거나 포렌식 도구로 수집 시 정상적인 구조가 아닌 "Dirty" 상태로 수집됨
- Dirty: 응용프로그램이 데이터베이스를 사용하는 중의 상태 (분리가 제대로 되지 않은 상태)
- Clean: 데이터베이스 API를 사용하여 트랜잭션을 모두 처리한 상태

 

 

 

 

실습

 

이게 Windows.edb 임. Windows Search 기능 이용. 

 

 

 

Windows.edb 수집 과정

- Windows Search 서비스 '사용 안 함'
- Windows Search 서비스 '중지'
- 이후에 Windows.edb 복사

Clean shutdown 확인
- esentutl /m <파일이름> | findstr State
- State: Clean Shutdown 확인

 

 

 

 

ESEDatabaseView
ESE Database를 보여주는 도구

WinSearchDBAnalyzer (추천)
https://moaistory.blogspot.com/2018/10/winsearchdbanalyzer.html

 

 

extract 하면 바로 clean 상태로 그냥 됨

 

삭제된 데이터 추적하고 싶을 때 windows search 기능 사용

어떤 파일들이 시스템에 존재했었는지와 같은 데이트 확인 가능.

 

 

 

 

40. Recycle Bin 

https://inf.run/BXczN

Recycle Bin 개념 및 실습 | 기초부터 따라하는 디지털포렌식

 

휴지통(Recycle Bin)
: 파일을 삭제하고, 복원하거나 영구 삭제할 수 있음

휴지통 폴더 확인
: 파일탐색기 보기 설정 변경

 

 

 

휴지통 폴더는 볼륨 단위로 생성
- 로컬 디스크로 인식되는 경우에 생성
- USB 등 이동식 디스크, 네트워크 드라이브 등은 생성되지 않음

"휴지통" 아이콘
- 모든 볼륨의 휴지통 폴더를 통합하여 보여줌
- 그러나 하나의 폴더로 존재하는 것은 아님

 

 

휴지통 아티팩트 (파일 삭제 시)
- 휴지통 폴더 경로: <Volume>\$Recycle.Bin\<SID>\
- 삭제된 파일: $R<임의문자열 6자리> .< 원본 파일 확장자>
- 삭제 관련 메타데이터: $1<임의문자열 6자리> .< 원본 파일 확장자>
-> 원본 파일의 경로, 휴지통으로 삭제된 시각 등

 

(하나의 파일이 있을 때 한 파일에 대해 원본 파일과 메타 데이터 파일로 나눠서 저장됨)

 

 

 

휴지통 아티팩트(파일 복원시)
- 삭제된 파일($R)은 사라짐
- 삭제 관련 메타데이터($1)는 남아 있음

 

휴지통 아티팩트(휴지통 비우기)
삭제된 파일($R) 및 삭제 관련 메타데이터($1) 모두 삭제

 

 

 

 

실습

 

 

- 휴지통 아티팩트 실습
테스트용 폴더 및 파일 생성
1) 삭제 2) 복구 3) 휴지통 비우기 실습

 

- 메타데이터 분석
Windows File Analyzer, https://www.mitec.cz/wfa.html

원본 파일 경로, 삭제된 시점, 크기 확인