드림핵의 포렌식 기본 문제를 풀이하다가 윈도우 서치에 관해 알게 되었다.
Windows + S로 실행되는 윈도우 기본기능이다.
Window Indexing은 미리 Indexing을 해두는 것이다. 파일 이름과 전체 파일 경로를 포함한 파일의 모든 속성이 인덱싱된다.
Windows.edb에는 Windows Search에 사용학하기 위한 정보가 저장되어있다.
C:\ProgramData\Microsoft\Search\Data\Applications\Windows 관리자 권한이 필요하므로 Data까지 입력하고 찾아들어가면 확인할 수 있다.
edb파일은 WinSearchDBAnalyzer 혹은 ESEDatabaseView를 사용하여 분석할 수 있다.
티스토리로 옮김