DIGITAL FORENSICS:WINDOWS.EDB

DIGITAL FORENSICS:Windows.edb

Windows.edb เป็นไฟล์ฐานข้อมูลของบริการ Windows Search ซึ่งจะมีการจัดทำดัชนีเนื้อหาและผลการค้นหาสำหรับไฟล์อีเมลและเนื้อหาอื่น ๆ ตามค่าเริ่มต้น Windows 10/8 จะจัดทำดัชนีเอกสาร สำหรับการค้นหาที่รวดเร็วขึ้น ด้วยเหตุนี้ข้อมูลทั้งหมดที่เกี่ยวข้องกับดัชนีจะถูกเก็บไว้ในไฟล์ Windows.edb

 Windows.edb file location

C:\ProgramData\Microsoft\Search\Data\Applications\Windows

What data exists in Windows.edb? :

 - Outlook Mail Data (Time ,Contents)

 - Internet History (URLs, Last visit time)

 - Lnk list

 - Network Drive (When adding offline)

 - Favorites

 - File, Folder Information 

 - Activity History  (Recently used programs

OSForensics™ includes an ESE database (ESEDB) viewer for databases stored in the Extensible Storage Engine (ESE) file format, including the new Win10 database structure. The ESEDB format, in particular, is used by several Microsoft applications that store data with potential forensics value, including the following:

The ESE DB Viewer is capable of displaying thumbnails stored in the following files:

• Windows (Desktop) Search
• Windows Live Mail
• Microsoft Exchange Server
• Internet Explorer

ในทางการพิสูจน์หลักฐานผู้สืบสวนควรศึกษาวิธีการและเครื่องมือที่ใช้งานเพื่อประโยชน์ในการค้นหาหลักฐาน

1. สิ่งที่ต้องเตรียมในการทดสอบโดย ESE DB Viewer

• OSforensics V.7 
• FTK Imager
• windows.edb
• WinsearchDBAnalyzer
• Keword:  "OtterCTF  Memory Forensics strings"  OtterCTF  Memory Forensics strings.jpg

ใน lab นี้เราจะทำการค้นหาไฟล์ OtterCTF  Memory Forensics strings.jpg ว่าเมื่อถูกลบไปแล้วจะพบร่องรอยอะไรบ้าง โดยค้นหาใน windows.edb

1.1 ใช้ FTK Imager Export windows.edb ออกมา

1.2 ใช้ OSforensics เลือก  ESE DB Viewer และเลือกไฟล์ windows.edb  ที่เตรียมไว้

1.3 ค้นหาโดยใช้ Keyword "OtterCTF  Memory Forensics strings"

System_DateCreated Wednesday, August 25, 2021, 16:22:33

พบว่าใน windows ไฟล์ถูกสร้างขึ้น August 25, 2021, 4:22 PM 

พบว่า Timestamp ของไฟล์ถูกสร้างขึ้น August 25, 2021, 4:22 PM

1.4 ใช้ ESE DB Viewer export to CSV 

16F-System_DateCreated   August 25, 2021, 16:22

1.5 ทดสอบ delete ไฟล์  OtterCTF  Memory Forensics strings.jpg  และค้นหาโดยใช้ OSforensics  ESE DB Viewer 

 ไม่พบข้อมูล OtterCTF  Memory Forensics strings

1.6 ทดสอบ delete ไฟล์  OtterCTF  Memory Forensics strings.jpg  และค้นหาโดยใช้  WinsearchDBAnalyzer  พบข้อมูล OtterCTF  Memory Forensics strings มีสถานะ Deleted

สรุป การทำงานด้านพิสูจน์หลักฐานทางดิจิทัลจำเป็นต้องใช้เครื่องมือหลายตัวในการตรวจสอบหลักฐานเพื่อให้ได้คำตอบที่ถูกต้องที่สุด

ที่มา:   windows-search-forensics 

            winsearchdbanalyzer  

            esedb-viewer

    

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD