[forensic] - Windows Search

Do you know "Windows Search" with (windows + s) command?
Find the flag.txt!

---

Explanation

다운받은 파일을 확인해보면 windows.edb 파일이 하나 들어있다.

edb파일은 메일 관련 데이터를 저장하기 위해 Microsoft Exchange Server에서 만든 사서함 데이터베이스이다.

문제 자체가 window search이기 때문에 window_search 툴을 사용할 예정이다.

↓ WinSearchDBAnalyzer github링크 https://github.com/moaistory/WinSearchDBAnalyzer

GitHub - moaistory/WinSearchDBAnalyzer: http://moaistory.blogspot.com/2018/10/winsearchdbanalyzer.html

 

위 링크에서 실행파일을 다운로드 받고 열어보면 이런 화면이 나온다.

 

[file] → [Open] 으로 들어가서 edb파일을 열어준다.

 

[Directory Tree] → [C:] → [/ (0)] → [Users] → [hunjison] → [Desktop]

보통 파일을 저장할 때 보기 쉽게 Desktop에 저장하기 때문에 먼저 desktop 을 확인해봤더니 flag.txt를 찾을 수 있었다.

 

[preview]를 보면 flag.txt에 대한 파일 정보들을 얻을 수 있다. 일단 이 flag.txt 파일은 22년 12월 20일에 최종 수정되었으며 저장되어 있는 파일 경로, 유형 등을 알 수 있다. 이 flag.txt의 요약본을 보면 flag을 얻을 수 있다.

---

🔑: DH{dO_y0u_kNOw_hOw_wINDOws_5eArcH_wOrK?}