Анализ и форензика Windows Search Database с помощью Sidr

Windows иконка

Сегодня, в рамах прохождения задания Hunter c площадки Hack The Box Sherlocks, будем извлекать и анализировать файл Windows.edb (Windows Search Database) — важный компонент Windows, который хранит индексированные данные всех файлов, папок и другого контента на компьютере. Данная база данных может быть ценным источником информации в процессе форензического анализа.

Еще по теме: Поиск артефактов на компьютере Windows

Анализ и форензика Windows Search Database с помощью Sidr

Windows Search Database может предоставлять ценные данные для форензического анализа, такие как:

  • Временные метки доступа к файлам.
  • Путь и местоположение файлов.
  • Содержимое файлов, если они были проиндексированы.
  • Сведения об удаленных файлах, которые всё ещё могут находиться в индексе.

Иногда данные, которые были удалены из системы, всё ещё могут находиться в базе данных. Поэтому всегда стоит проверять Windows.edb на наличие следов удаленных файлов и папок.

По умолчанию файл Windows.edb находится в следующем каталоге:

Файл может занимать значительное место на диске, особенно если на компьютере много данных для индексации.

Для ана­лиза Windows Search Database на Linux вос­поль­зуем­ся ути­литой sidr. Для Windows можно использовать утилиту от NirSoft.

В резуль­тате мы получи­ли три фай­ла:

  • File_Report_20240503_120219.452284.json;
  • Internet_History_Report_20240503_120219.452528.json;
  • Activity_History_Report_20240503_120219.452589.json.

Нас инте­ресу­ет пер­вый файл, давай заг­рузим его в ZUI.

Пос­мотрим, какие рас­ширения фай­лов есть в базе:

Рас­ширения фай­лов в Windows Search Database
Рас­ширения фай­лов в Windows Search Database

На­иболь­ший инте­рес для нас пред­став­ляет информа­ция о .bat:

Ин­форма­ция о фай­ле Scout.bat
Ин­форма­ция о фай­ле Scout.bat

В пос­леднем стол­бце — часть содер­жимого batch-фай­ла. Скрипт ниже пред­став­лен не пол­ностью, пос­коль­ку осталь­ные стро­ки в нем заком­менти­рова­ны.

Вот что дела­ет скрипт:

  1. ус­танав­лива­ются перемен­ные source и destination;
  2. ес­ли дирек­тория %temp%\Exfil отсутс­тву­ет, она соз­дает­ся;
  3. ко­пиру­ются фай­лы, под­ходящие под мас­ку;
  4. соз­дает­ся архив %TEMP%\Exfil\Exfil.rar.

Заключение

Использование специализированных инструментов и методов извлечения данных из Windows.edb может значительно помочь в расследованиях и выявлении подозрительной активности. Правильный анализ этой базы данных может предоставить критически важные доказательства и помочь восстановить хронологию событий на целевой системе.

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз.

Добавить комментарий