Windows 搜尋索引 - Windows.EDB

A pouco tempo atrás, lí um interessante artigo que sugeria montar arquivos wiped a partir do index do Windows. É uma solução muito interessante, já que o serviço de indexação do Windows cataloga praticamente todos os arquivos e dados dos usuários.

O Windows Search Indexer, serviço do Windows que indexa os arquivos para otimizar a busca de informações no disco, cataloga estes dados em um arquivo chamado Windows.EDB. Este arquivo utiliza o padrão Esent database, o mesmo padrão utilizado nas últimas versões do Windows Live Messenger (e também no Exchange server). Maiores informações sobre este formato Esent aqui.

Tentei acessar o conteúdo dese arquivo Windows.EDB pelo EnCase e pelo FTK, mas sem sucessm em ambos. Encontrei na internet algumas ferramentas, mas a que mais me chamou a atenção foi o
EseDbViewer, que possui módulos específicos para arquivos no formato Windows Search Indexer e Windows Live Messenger, e também um generico para acessar qualquer arquivo neste formato Esent:


Ferramenta muito simples e objetiva, consegui visualizar muita informação interessante. Claro que não será fácil remontar um documento do Word por exemplo, mas dependendo da situação, pode ser extremamente útil...


轉自 http://forensics.luizrabelo.com.br/2011/05/ressuscitando-os-mortos-recuperando.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+BrazilForensicsBlog+%28brazil+forensics+blog%29

0 意見: