Windows Search

 

문제 이름만 봐서는 Window랑 관련된 것 같다 

window + s 커맨드는 검색창을 연다고 한다 무엇가 찾는거? 아님 그 검색한 흔적 찾기?같다

포렌식 중에 윈도우 포렌식이란게 있었으니까 이거랑 관련 있지 않을까?

파일을 Hxd로 열어보니까 PK 말고는 딱히 볼게 없다

zip 파일이라 그런가 ftk imager 부터 가서 파일 있으면 추출해야겠다

오 있다 쓸모있어보이진 않지만..

Windows.edb를 추출해서 ftk imager로 다시 열어보니 안에 unllocated space가 있다 

확장자 .edb랑 unllocated space가 뭔지부터 알아야 할듯

.edb: 윈도우 내부에서 사용하는 데이터베이스 파일로 윈도우에서 정보를 저장하는 저장소

포렌식에서 검색한 파일 이름, 접근했던 파일 정보, 이메일 관련 데이터 등을 얻을 수 있음

주로 .edb 파일이 나오면 도구를 사용하는 듯하다.. 맞는 도구를 내가 어케 알지

 

unllocated space: 할당되지 않은 영역

파일로 사용되고 있지 않은 디스크 공간

이 공간을 통해 삭제된 파일을 찾을 수 있음

 

그럼 unllocated space로 삭제된 파일을 찾아 복구하는 문제인걸까? 

그런데 복구는 힘들 것 같다.. 이 공간 안에도 있는 게 없어서

애랑 관련없을 수도..

그냥 .edb 분석 도구로 정보부터 건져야 할 거 같다

분석 도구가 뭐가 있는지 검색해보니까 ESEDatabaseView가 맨처음 나온다

이거로 .edb 바로 분석할 수 있단다 ctf에도 사용하고..

ESEDatabaseView를 다운해서 실행해보자

File => Open Database ESE File로 불러왔는데 Flags라는 이름이 보인다 이거로 알 수 있을 거 같은데

위쪽 창에서 SystemIndex_PropertyStore가 저장소처럼 보이니까 여기부터 보자

Crtl+F로 문자열을 찾을 수 있다고 한다

Crtl+F를 해봤는데 아무것도 안 뜬다 다른 데 있나..

백업되는 곳이 있는지 물어봐야겠다

System_Gthr부분이 여럭 기록을 저장해둔 곳이라고 한다

오 찾았다 flag.txt다 이걸 어떻게 열지..

이거 정보 이름이 Properties다 아까 저장소에 있어야 하지 않나..?

Property_Store에서 flag.txt를 검색하니까 표시해주는게 있다..

이거를 클릭해 정보를 살펴보니까 경로가 나온다 여기로 가면 되나?

근데 ftk imager로 열어도 경로를 찾아갈 수가 없는데..

결국 writeup 참고했다

근데 그냥 다음 페이지 쭉 열어보면 있더라..

사실 내용을 아예 이해 못했다 나중에 다시 풀어보게 되지 않을까