Сегодня, в рамах прохождения задания Hunter c площадки Hack The Box Sherlocks, будем извлекать и анализировать файл Windows.edb (Windows Search Database) — важный компонент Windows, который хранит индексированные данные всех файлов, папок и другого контента на компьютере. Данная база данных может быть ценным источником информации в процессе форензического анализа.
Еще по теме: Поиск артефактов на компьютере Windows
Анализ и форензика Windows Search Database с помощью Sidr
Windows Search Database может предоставлять ценные данные для форензического анализа, такие как:
- Временные метки доступа к файлам.
- Путь и местоположение файлов.
- Содержимое файлов, если они были проиндексированы.
- Сведения об удаленных файлах, которые всё ещё могут находиться в индексе.
Иногда данные, которые были удалены из системы, всё ещё могут находиться в базе данных. Поэтому всегда стоит проверять Windows.edb на наличие следов удаленных файлов и папок.
По умолчанию файл Windows.edb находится в следующем каталоге:
|
1 |
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\ |
Файл может занимать значительное место на диске, особенно если на компьютере много данных для индексации.
Для анализа Windows Search Database на Linux воспользуемся утилитой sidr. Для Windows можно использовать утилиту от NirSoft.
|
1 |
./sidr ~./2023-06-22T092426_Acquisition/C/ -f json -o ~/sidr/ |
В результате мы получили три файла:
- File_Report_20240503_120219.452284.json;
- Internet_History_Report_20240503_120219.452528.json;
- Activity_History_Report_20240503_120219.452589.json.
Нас интересует первый файл, давай загрузим его в ZUI.
Посмотрим, какие расширения файлов есть в базе:
|
1 |
fuse | "06-21" | count() by System_ItemType | sort -r count |
Наибольший интерес для нас представляет информация о .bat:
|
1 |
fuse | "06-21" | System_ItemType==".bat |
В последнем столбце — часть содержимого batch-файла. Скрипт ниже представлен не полностью, поскольку остальные строки в нем закомментированы.
|
1 2 3 4 5 6 7 8 |
set "source=%userprofile%" set "destination=%temp%\Exfil" if not exist "%destination%" mkdir "%destination%" for /r "%source%" %%a in (*.docx *.docm *.pdf *.xls *.txt *.ppt *.xlsx *.pptx) do ( copy "%%a" "%destination%" ) cd %TEMP%\Exfil "C:\Program Files\WinRAR\Rar.exe" a Exfil |
Вот что делает скрипт:
- устанавливаются переменные source и destination;
- если директория %temp%\Exfil отсутствует, она создается;
- копируются файлы, подходящие под маску;
- создается архив %TEMP%\Exfil\Exfil.rar.
Заключение
Использование специализированных инструментов и методов извлечения данных из Windows.edb может значительно помочь в расследованиях и выявлении подозрительной активности. Правильный анализ этой базы данных может предоставить критически важные доказательства и помочь восстановить хронологию событий на целевой системе.
ПОЛЕЗНЫЕ ССЫЛКИ:
