Dreamhack - Windows Search(forensic) - writeup

0. 문제 지문

Do you know "Windows Search" with (windows + s) command?

Find the flag.txt!

 

Windows Search와 windows + s 커맨드를 아냐고 묻고 flag.txt을 찾으라고 하는 내용입니다.

 

1. 문제 풀이

windows.edb 파일

 

우선 Windows Search 란 윈도우 버튼을 눌렀을 때 나오는 검색화면을 지원하기 위해

운영체제에서 파일 시스템 전체를 인덱싱하는  기능입니다.

 

그렇다면 .edb 파일은 해당 데이터들을 모아둔 데이터들의 집합체 라고 생각해낼 수 있었습니다.

해당 파일을 열어주기 위해

WinSearchDBAnalyzer 도구를 이용해 다음과 같이 풀 수 있었습니다.

 

Desktop -> flag.txt 존재

 

플래그 값