eCDFP (Module-6) (Window Forensics) (Part - 7)

      Windows Search Indexer က Window မှာ File/Folder/Email/Program တို့ကို ရှာဖွေရာမှာ မြန်မြန်ဆန်ဆန်ရှာနိုင်ဖို့အတွက် Window Vista ကနေစပြီးပါဝင်လာပါတယ်။ Window Server တွေကလွဲရင် ကျန်တဲ့ အများအသုံးပြုတဲ့ Window တွေမှာ Default အနေနဲ့ Enabled ဖြစ်နေပါတယ်။ Window Server 2008-2022 အထိ Index လုပ်တဲ့ပုံစံက အတူတူပဲဖြစ်ပါတယ်။ Window Server တွေမှာတော့ Default Disable ဖြစ်ပါတယ်။

Window Search Index မလုပ်ရင် File, Folder / Program တွေကို ရှာတဲ့အခါ Computer မှာ Resource ပိုသုံးရတာတွေဖြစ်လာပါမယ်။ Index လုပ်မဲ့ File Type , File/Folder Location , Indexing Start & Stop လုပ်တာတွေကို Control Panel, Indexing Options မှာပြင်ဆင်နိုင်ပါတယ်။ C:\Users\UserName\  အောက်မှာရှိတဲ့ File, Folder တွေကတော့ Personal အတွက်အရေးကြီးတဲ့ File တွေအဖြစ်သတ်မှတ်တဲ့အတွက်  C:\Users\UserName\  ရဲ့ အောက်မှာရှိတဲ့ Downloads, Desktop, Pictures, Music, Videos စတဲ့ File / Folder တွေနဲ့ အဆိုပါ Folder အောက်မှာရှိတဲ့ Sub Folder နဲ့ File တွေကို Window မှာ Default အနေနဲ့  Indexing ပြုလုပ်ပါတယ်။

Window Indexing Options

 Windows Search Indexer ကနေ ဘယ်လိုအချက်အလက်တွေရရှိနိုင်မလဲဆိုရင် 

• File metadata (File Name, Location, File Owner, PC Name, MAC Time)
• Limited file contents
• User interaction with files and Open With Program
• URLs Accesse (IE, Edge)  

Windows Search Database Structure က ESE database structure ဖြစ်ပြီး Window 10 ESE database (Windows.edb) ရှိတဲ့နေရာက 

C:\ProgramData\Microsoft\Search\Data\Applications\Windows

Window  10 EDB With FTK Imager 

    

       Window 11 (Windows.db, Windows-gather.db ) (SQLite DB )  With FTK Imager 

Window 11 မှာတော့ ESE Database ကနေ SQLite DB အဖြစ်ပြောင်းလဲသွားပေမဲ့ File Content တွေကတော့ပြောင်းလဲခြင်းမရှိပါ Window 10 နဲ့အတူတူပဲဖြစ်ပါတယ်။ Windows.edb နဲ့ Windows.db ကို အောက်မှာဖော်ပြထားတဲ့ Open Source Tools တွေနဲ့ Analysis ပြုလုပ်နိုင်ပါတယ်။ GUI ထက် CLI Tools ဖြစ်ပြီး Windows.edb နဲ့ Windows.db နှစ်မျိူးလုံးကို Analysis ပြုလုပ်နိုင်တဲ့   sidr နဲ့ Example ရေးသားမှာဖြစ်ပါတယ်။

https://github.com/strozfriedberg/sidr

https://sqlitebrowser.org/

https://www.nirsoft.net/utils/ese_database_view.html

https://github.com/moaistory/WinSearchDBAnalyzer/releases/tag/1.0.0.6

Index Database တွေက Window 10, 11 မှာ ရှိတဲ့ File Location အတူတူပဲဖြစ်ပါတယ်။C:\ProgramData\Microsoft\Search\Data\Applications\Windows ကနေ FTK Imager နဲ့ Database တွေကို Export အရင်ဆုံးပြုလုပ်ပါမယ်။ sidr နဲ့ Analysis ပြုလုပ်တဲ့အခါမှာ Database Dirty ဖြစ်ရင် Window Built In Tools ဖြစ်တဲ့ esentutl နဲ့ Clean ပြုလုပ်ပါမယ်။ Output အနေနဲ့ အောက်ပါအတိုင်း File 3 ခုရလာမှာပါ။

Activity_History_Report

File_Report

Internet_History_Report  

Window 10 (Windows.edb) Analysis With SIDR

Window 11 (Windows.db) Analysis With SIDR

Database Cleaning With esentutl

Window Search Index Out Files

Activity_History_Report 

    Report မှာပါတဲ့ အချက်အလက်တွေကို ရှင်းလင်းအောင် ပုံနဲ့ Label ထိုးပြီးပြထား ပါတယ်။ 

Start Time and End Time က File ကို အဖွင့်အပိတ်လုပ်တဲ့အချိန်ကို ဆိုလိုတာဖြစ်ပါတယ်။ 

Activity_History_Report

File_Report 

File Report မှာတော့ Indexing ပြလုပ်ထားတဲ့ File List, File Location, MAC Time နဲ့ Auto Summary တို့ပါဝင်ပါတယ်။ Auto Summary ကတော့ Index File ရဲ့ အမျိုးအစားကို Content Text အနေနဲ့ဖော်ြပတာြဖစ်ပါတယ်။ အသုံးဝင်တဲ့အချက် ကတော့ File Name ချိန်းတဲ့အခါ Auto Summary မှာရှိနေတတ်ပါတယ်။ New Microsoft Word (2) ကနေ Xiaomi ဆိုပြီး Rename ပေးလိုက်တာကို Auto Summary မှာတွေ့ရမှဖြစ်ပါတယ်။

File_Report

Internet_History_Report  

Internet History Report ကတော့  IE, Edge Browser History တွေကို တွေ့နိုင်မှာဖြစ်ပါတယ်။ (Private Browsing နဲ့ပြုလုပ်တာမပါဝင်ပါ။) တစ်ကယ်လို့ User ကနေ Browsing History ကို (Clear) ဖျက်ထားခဲ့ရင် အခုနေရာမှာကြည့်နိုင်ပါတယ်။

Internet_History_Report

Windows Search Index က လူသိနည်းတဲ့ Window Forensics Artifacts တစ်ခုဖြစ်ပါတယ်။ User တစ်ယောက်က   Window မှာ Indexing ပြုလုပ်ထားတဲ့ အတိုင်းအတာ အပေါ်မူတည်ပြီး 

• Activity_History_Report
• File_Report
• Internet_History_Report  တွေကနေ Delete, Hide, Clear, Rename ပြုလုပ်ထားတာတွေကို Analysis ပြုလုပ် နိုင်မှာဖြစ်ပါတယ်။

Libraries &  Search Every Where  Analysis 

Libraries ကတော့ User အတွက် Image, Video, Document File တွေကို စုစည်းပေးတာဖြစ်ပါတယ်။ User အသုံးပြုတဲ့အပါ်မူတည်ပြီး Viber,  Cloud Download, Upload File တွေရှိနေတတ်ပါတယ်။ User ကနေ စိတ်ကြိက် File , Folder တွေကို Libraries ထဲကိုထည့်တာလဲရှိတတ်ပါတယ်။ 

C:\Users\User Name \AppData\Roaming\Microsoft\Windows\Libraries

C:\Users\User Name \AppData\Roaming\Microsoft\Windows\Libraries

User Customize Libraries 

 Search Every Where

Window 8.1 ကနေစပြီး Local Search တင်မကပဲ Internet မှာပါရှာနိုင်အောင် Search Every Where ကိုထည့်သွင်းလာပါတယ်။ Search လုပ်တာတွေက NTUSER.DATရဲ့ MRU List မှာမပေါ်ပဲ LNK File အနေနဲ့ သီခြားရှိနေပါတယ်။