안녕하세요. 도깬리 포렌식스 입니다.
오늘은 Thumbs.db와 Thumbcache에 대해 알아 봅시다. 날씨가 점점 추워지고 있어요. 코로나 조심하세요. !!!
Thumbs,db Files in XP/2000
사용자가 윈도우 탐색기에서 문서를 thumbnails 형태로 본 경우, 해당 디렉토리 안에 Thumb.db 라는 일종의 DB가 생성됩니다.
이 DB에는 JPG 포맷의 손톱크기(thumbnail-size)만한 작은 그래픽 파일이 원본의 확장자와 함께 저장됩니다.
사용자가 원본 파일을 삭제하여도, thumb.db 파일 안의 정보는 그대로 존재합니다.
Thumbs.db 파일은 기본적으로 시스템 파일이어서 일반 사용자에게는 보이지 않습니다.
Thumbcache
Windows 7에서는 Thumbnails를 중앙에 한 곳에 모아서 관리합니다.
User\<username>\AppData\Local\Microsoft\Windows\Explorer
4개의 thumbnail db가 존재합니다.
- Thumbcache_1024.db --> 아주 큰 아이콘으로 보기
- Thumbcache_256.db --> 큰 아이콘으로 보기
- Thumbcache_96.db --> 보통 아이콘으로 보기
- Thumbcache_32.db --> 작은 아이콘으로 보기
Thumbcache – Graphic View
그래픽 뷰에서 볼려면 thumbcache를 체크하고 별도의 처리를 해주어야 합니다.
Additional Analysis에서 아래의 항목을 체크합니다.
Expand Compound Files
- Windows thumbnails
Flag Bad Extensions
File Signature Analysis
Thumbcache_###.db의 헤더는 CMMM 입니다.
헤더 다음에는 각 레코드의 크기와, 파일의 크기, 그래픽 이미지 등 기타 정보가 확인됩니다.
파일명은 운영체제가 각 파일 개체에 부여한 GUID로 보여줍니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : AD Windows Forensics (Win7)
'FTK' 카테고리의 다른 글
| [FTK] 프리패치(Prefetch)와 슈퍼패치(Superfetch) (0) | 2022.10.31 |
|---|---|
| [FTK] 고아 파일(Orphan File) 분석과 복원 (0) | 2022.10.26 |
| [FTK] 윈도우 휴지통 분석 (2) (0) | 2022.10.24 |
| [FTK] 윈도우 휴지통 분석 (1) (0) | 2022.10.22 |
| [FTK] 윈도우 라이브러리와 홈그룹 등 (0) | 2022.10.20 |