[드림핵 Forensics] LEVEL 1 워게임 Windows Search 문제풀이

 

https://dreamhack.io/wargame/challenges/729

 

 

문제에서 주어진 파일을 다운로드 받았더니 

 

EDB 파일 확장자로 주어져서 찾아보았다

 

.edb인 파일은 메일 관련 데이터를 저장하기 위해 Microsoft Exchange Server에서 만든 사서함 데이터베이스입니다. EDB(Exchange 데이터베이스)는 처리 중이고 SMTP가 아닌 메시지를 저장합니다. EDB는 ESE(Extensible Storage Engine) 데이터베이스 파일이라고도 하며 b-트리 구조를 사용하여 파일을 저장합니다. EDB 파일은 저장 파일이기 때문에 PST 및 OST와 같은 다른 메일 저장 파일 형식으로 변환할 수 있습니다.

https://docs.fileformat.com/ko/email/edb/

 

 

 

 

https://hackhijack64.tistory.com/94

 

찾아보니 Winsearchdbanalyzer 툴을 이용하여 해결할 수 있다고 한다

https://github.com/moaistory/WinSearchDBAnalyzer

GitHub - moaistory/WinSearchDBAnalyzer: http://moaistory.blogspot.com/2018/10/winsearchdbanalyzer.html

 

여기서 다운로드 받았다

 

 

 

응용 프로그램이 어딨는지 한참 찼았다..... 여기에 있었음

 

 

아까 문제에서 다운로드 받은 파일을 open 해보겠다

 

file에서 타고타고 들어가서 flag.txt 파일이 존재하는 것을 찾음 

아니 근데 flag.txt는 찾았는데 플래그는 어딨다는건지 또 한참 찾았는데 ;;

 

 

 

화면 늘리니까 이제야 보임 .. ;;

 

 

DH{dO_y0u_kNOw_hOw_wINDOws_5eArcH_wOrK?}

 

 

<출제자 분의 풀이를 보고 다시 한번 정리해보겠다>

출제 의도: Windows Search의 전반적인 개념을 이해하고, windows.edb 가 파일 내용의 일부까지를 인덱싱하는가를 알고 있는가 (해당 기능 때문에 검색에서 파일 내용으로도 검색이 됩니다)

 

문제에서 주어지는 Windows.edb 파일은 ESE Database 구조

일반적으로 ESE database의 내용을 확인하기 위해서는 ESEDatabaseView라는 도구를 이용하지만, Windows Search 의 경우에는 해당 도구를 이용할 경우 컬럼이 너무 많아 원하는 값을 쉽게 가져오기 힘들다는 단점이 있습니다.

 

프로그램 내의 ALL 부분을 통해 전체 인덱싱된 파일 조회 가능

 

이와 다른 방식으로 유저의 바탕화면 내에서(C:\Users\hunjison\Desktop\flag.txt) 플래그 파일을 발견할 수도 있음

 

---

 

툴을 알면 풀기 쉬운 문제지만 모른다면 한참 헤맸을것이다...