DIGITAL FORENSICS:Windows.edb
Windows.edb เป็นไฟล์ฐานข้อมูลของบริการ Windows Search ซึ่งจะมีการจัดทำดัชนีเนื้อหาและผลการค้นหาสำหรับไฟล์อีเมลและเนื้อหาอื่น ๆ ตามค่าเริ่มต้น Windows 10/8 จะจัดทำดัชนีเอกสาร สำหรับการค้นหาที่รวดเร็วขึ้น ด้วยเหตุนี้ข้อมูลทั้งหมดที่เกี่ยวข้องกับดัชนีจะถูกเก็บไว้ในไฟล์ Windows.edb
Windows.edb file location
C:\ProgramData\Microsoft\Search\Data\Applications\Windows
What data exists in Windows.edb? :
- Outlook Mail Data (Time ,Contents)
- Internet History (URLs, Last visit time)
- Lnk list
- Network Drive (When adding offline)
- Favorites
- File, Folder Information
- Activity History (Recently used programs
OSForensics™ includes an ESE database (ESEDB) viewer for databases stored in the Extensible Storage Engine (ESE) file format, including the new Win10 database structure. The ESEDB format, in particular, is used by several Microsoft applications that store data with potential forensics value, including the following:
The ESE DB Viewer is capable of displaying thumbnails stored in the following files:
- Windows (Desktop) Search
- Windows Live Mail
- Microsoft Exchange Server
- Internet Explorer
ในทางการพิสูจน์หลักฐานผู้สืบสวนควรศึกษาวิธีการและเครื่องมือที่ใช้งานเพื่อประโยชน์ในการค้นหาหลักฐาน
1. สิ่งที่ต้องเตรียมในการทดสอบโดย ESE DB Viewer
- OSforensics V.7
- FTK Imager
- windows.edb
- WinsearchDBAnalyzer
- Keword: "OtterCTF Memory Forensics strings" OtterCTF Memory Forensics strings.jpg
1.1 ใช้ FTK Imager Export windows.edb ออกมา
1.2 ใช้ OSforensics เลือก ESE DB Viewer และเลือกไฟล์ windows.edb ที่เตรียมไว้
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
No comments:
Post a Comment