-
%ProgramData%\Microsoft\Search\Data\Applications\Windows\Windows.edb
-
서비스 - Windows Search(Wsearch) 서비스를 종료한 뒤 수집하여야 함.
-
종료한 후 복사한 뒤 파일의 이름을 변경.
-
esentutl /m copy_Windows.edb(파일 경로) | findstr State
=> Clean이 나오면 오류 없이 복사한 것.
- 색인을 사용하여 빠르게 검색할 수 있도록 지원하는 Window 운영체제의 기능. Window 검색에서 기본 색인 대상 => Email, Messenger, Web history 등(일반 파일 포함)
- 색인 옵션을 통해 색인을 사용자가 직접 정의하는 것도 가능.
- 삭제된 파일에 대한 정보 및 파일 내용 확인 가능
- Index된 폴더 및 파일 확인
- Web 접속 이력
- IE(Edge)를 통해 다운로드 받은 파일 내역
- Outlook 메일 내역
Forensic/Security/IT