문제 설명
Do you know "Windows Search" with (windows + s) command?
Find the flag.txt!
문제에 첨부된 파일 압축을 해제하니 확장자명이 edb인 Windows.edb 파일이 있었다
검색해보니 Windows.edb는 Windows Search 기능에서 사용하는 인덱싱 정보가 저장되어 있다고 한다. ProgramData%\Microsoft\Search\Data\Application\Windows 경로에서 확인 가능하다.
Windows.edb 분석 프로그램인 WinSearchDBAnalyzer를 설치하여 진행했다. 설치 후 UTC+9 으로 설정해준 후, 분석하고 싶은 파일 경로를 찾는 창이 뜬다. 내 Windows.edb 파일을 못 연다고 해서 3번 정도 시도 후에 열 수 있었다. 휴
다음 단계로 넘어가게 되면 여러 가지를 체크할 수 있게 되는데, 나는 default 값 그대로 넘겨줬다.
파일 크기가 큰 만큼 flag.txt를 찾기에는 무리일테니, 바로 검색창에 flag.txt를 입력해준다.
가장 위에 뜨는 flag.txt를 클릭하면 세부 정보를 볼 수 있다.
flag.txt 의 프리뷰는 아래와 같다.
Whatever I want | Interested in DFIR, Security, Infra, Cloud