• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Статья Форензика анализа Thumbs и Thumbcache в Windows

В ряде судебных дел и судебных расследований рассматриваются миниатюрные фотографии, содержащиеся в файлах операционной системы, такие как thumbcache и
Ссылка скрыта от гостей
.
В многих из этих случаев миниатюры это доказательства, дальнейший их анализ может найти дополнительную информацию, касающуюся миниатюры, например, возможность связать миниатюру с файлом изображения на носителе или найти информацию ведущую к исходному файлу, используемому для создания миниатюры, например полный путь и исходный файл имя.
Microsoft внедрила этот функционал с Windows 95 - сохранения уменьшенных изображений в файлах системных контейнеров, таких как Thumbs.db позже начиная с Windows Vista Thumbcache.db.
Эти системные файлы хранят такую информацию как:
  • исходное имя файла
  • даты и время
  • копию уменьшенного изображения
В этом месте находятся многочисленные файлы кеш-файлов эскизов; Thumbcache_32.db, Thumbcache_96.db, Thumbcache_256.db и Thumbcache_1024.db. Они содержат JPG, BMP и PNG-файлы в различных соответствующих размерах пикселей; 32x32, 96x96, 256x256 и 1024x1024. Также каждая миниатюра хранит уникальный идентификационный номер для каждого связанного эскиза, ThumbnailcacheID. В папке с папкой folder location есть файл с именем 'thumbcache_idx.db' который является индексным файлом, содержащим ThumbnailcacheID для миниатюр и Windows FILETIME значение для него, когда был создан родительский файл
  • Windows Vista
c:\Users\{user}\AppData\Local\Microsoft\Windows\Explorer\
статья Thumbs -1.jpg
  • Windows 7
c:\ProgramData\Microsoft\Search\Data\Applications\Windows\
статья Thumbs -2.jpg
  • Windows 8,10
есть файлы IconCache.db в размерах 32, 96, 256, 1024, 16, 48 и WIDE, а также файлы, названные; Tilecache.dat, Default, StartView, Logo и Tickle в файле Explorer. В дополнение к Windows Desktop Search Windows.edb базы данных, есть файл базы данных ModernPhoto.edb, который является потенциальным ценным ресурсом, поскольку он включает JPEG миниатюры в файле. База данных Windows 8.dep для Windows 8 очень интересна.
c:\Users\{user}\AppData\Local\Microsoft\Windows\Explorer\

Рассмотрим программы, одна из первых
Ссылка скрыта от гостей
Python скрипт версия 2007 года,
Ссылка скрыта от гостей
2011 год её нужно еще и установить, но после можно скопировать папку с программой и использовать её как портабельную, и файлы уже должны быть изъяты из системы не заняты процессами системы.
Рассмотрим программы 2018 года
Ссылка скрыта от гостей
точнее его братика
Ссылка скрыта от гостей

так как у меня все системы случайно оказались очищены от данных файлов :)
мне удалось найти хоть что то для примера из старого архива
статья Thumbs -3.jpg

Пример: скрин куда скопирован файл Thumbs.db папка пустая
статья Thumbs -4.jpg
моя забытая но любимая программа 2011 года
Ссылка скрыта от гостей

статья Thumbs -5.jpg
Как видно в папке пусто, только один файл Thumbs.db и в программе вся информация которую он вскрыл.
P:S​
Продолжение: Форензика восстановления уменьшенных изображений thumbnamil из поврежденного файла с помощью WinHex
 
Последнее редактирование:
  • Нравится
Реакции: Semen Semenov, u7u, Tihon49 и ещё 7
Нажмите, чтобы раскрыть...
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ