[Dreamhack] Windows Search #729

Do you know "Windows Search" with (windows + s) command?

Find the flag.txt!

 

---

Windows.edb 파일이 주어집니다.

윈도우 8/10/11 운영체제에서는 파일 검색 속도를 빠르게 하기 위해 파일들을 인덱싱해놓는다.

인덱싱된 파일들은 모두 Windows.edb라는 데이터 파일에 저장된다.

 

윈도우 11에서도 검색 기능을 위해 인덱싱을 하긴 하지만 저장 방식이 다르다.

이전까지는 Windows.edb에만 저장했지만 윈11부터는 Windows-gather.db와 Windows.db 파일에 나뉘어 저장된다.

윈도우11의 db 파일 분석을 위한 CLI 프로그램이 따로 있다.

 

추출 경로: C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb

숨겨진 파일 보이기 설정을 해야 찾을 수 있다.

 

윈도우는 파일 이름만 인덱싱하는 것이 아니라 생성 날짜, 수정 날짜 그리고 파일 내용 등의 메타 데이터를 전부 인덱싱한다.

때문에 빠른 윈도우 검색이 제공될 수 있다.

사용자가 접속했던 URL 또는 파일 이동 내역 등도 저장되어 확인할 수 있다.

 

윈도우가 인덱싱할 수 있는 파일 형식은 이 링크에서 확인할 수 있다.

 

WinSearchDBAnalyzer 프로그램을 사용하여 분석하였는데 여기서 더 많은 정보를 얻을 수 있다.

 

---

WinSearchDBAnalyzer를 사용해서 flag 파일을 찾을 수 있다.

툴을 사용하지 않는 풀이는 잘 모르겠다.

아마 윈도우 검색 기능을 이해하고 툴을 찾아 사용하는 것이 의도인 것 같긴 하다.