소개[편집]

Windows Search Index Extractor는 Windows 데스크톱 검색 데이터베이스 파일인 windows.edb 파일을 파싱하여 정보를 추출할 수 있도록 개발된 도구이다. windows.edb 파일은 윈도우즈 인덱싱 검색 기능에 의해 파일명, 사용자 이름, 이메일 메시지, 이메일 주소, 문서, 스프레드 시트 정보, 파일 속성 등을 저장한다.
본 도구는 상용이며, Simple Carver Suite이라는 도구 세트를 구매하여 사용할 수 있다. Simple Carver Suite는 데이터 복구, 분석, 파일 뷰어 등 70가지 이상의 도구로 구성되어 있으며, Windows Search Index Extractor는 이 도구 세트에 속하는 도구 중 하나이다. 구매 정보는 ‘http://www.simplecarver.com/purchase.php’ 에서 확인할 수 있다.

사용법[편집]

[그림 1] Windows Search Index Extractor 실행 화면

[그림 1]는 본 제품의 실행 화면이다. ‘Export Folder’에서 추출 결과를 저장할 경로를 설정한다. ‘Process File’에서는 Windows.edb 파일을 입력한다. 입력될 Windows.edb 파일이 Dirty State일 경우에는 명령 프롬프트에서 esentutl 도구를 이용해 ‘esentutl /p Windows.edb(File name)’ Clean State로 복구한 후 입력한다. Windows.edb 파일이 어떤 상태인지 알기 위해서는 명령 프롬프트에서 ‘esentutl /mh Windows.edb(File name)’ 명령으로 확인한다.

도구 기능[편집]

본 도구는 Windows Search Index를 추출하는 도구이다. 기능 분석 결과, Windows.edb를 입력 했을 때 본 도구는 제대로 작동하지 않았다. Windows 8에서 실행했을 때에는 작동이 중지되며 종료된다. Windows 7에서는 실행했을 때에는 작동이 중지되지는 않았다. 하지만 유효한 .edb 파일이 아니라는 등의 여러 경고가 나타나며 작동되지 않았다.

제한사항[편집]

입력될 Windows.edb는 Clean State여야 한다고 Help에 명시되어 있다. 하지만 어떤 환경에서도 정상적인 작동을 하지 않았다.

수사 활용 방안[편집]

본 도구는 정상적인 작동을 하지 않으므로, 수사에 활용하는 것은 불가능할 것이다.