https://dreamhack.io/wargame/challenges/729
로그인 | Dreamhack
dreamhack.io
문제:
Do you know "Windows Search" with (windows + s) command?
Find the flag.txt!
파일 압축을 푸니 Windows.edb 파일이 있었다.
여기서 잠깐!!
edb 파일이란?
EDB(Extensible Database File) 은 Windows 기반 시스템에서 사용하는 데이터베이스 형식 파일
포렌식에서 .edb 파일이 중요한 이유는?
edb 파일 내부에는 시스템이나 메일 서버의 중요 데이터가 매우 많이 저장되어 있기 때문에 중요하다!!
이 edb 파일을 열기 위해선 주로 FTKImager, ESEDatabaseView를 사용한다
1. FTKImager로 열기
역시나 unallocated space 파일로 보여진다
2. ESEDatabaseView로 열기
이 많은 테이블 중에서 뭐가 가장 중요할까?
- SystemIndex_PropertyStore
파일, 문서, 이메일 등 "내용"과 "속성 정보"가 가장 많이 저장된 테이블로 Windows Search 인덱싱의 메타데이터 창고 역할을 한다.
확인해보니 너무 많은 메타데이터와 문자열이 아닌 값으로 저장되어 있기 때문에 우리가 얻고 싶은 정보는 찾을 수 없어 보인다.
- SystemIndex_Gthr
크롤링(Log 수집) 기록 테이블로서 Wiindows Search가 어떤 경로를 언제 인덱싱했는지 로그 형태로 저장된다.
즉, 사용자가 최근 어떤 파일을 열었는지! 특정 시점에 파일이 존재했는지! 인덱싱 실패한 파일 기록 등이 존재하기 때문에 아주 중요한 테이블이다!!
역시나 알기 쉽도록 FileName이 보여지고 문제에서 제공한 txt 파일을 검색해봤더니
flag.txt를 찾을 수 있었다.
해당 값을 가지고 파일의 내용 데이터가 있는 SystemIndex_Properties 테이블로 이동한다
flag.txt를 검색해 해당 데이터를 찾아낸 후 해당 폴더의 위치가 어딘지 알아낸다.
file:C:/Users/hunjison/Desktop/flag.txt
정답: DH{dO_y0u_kNOw_hOw_wINDOws_5eArcH_wOrK?}
'DreamHack > Froensics' 카테고리의 다른 글
| [DreamHack] Basic_Forensics_1 (0) | 2025.11.18 |
|---|