Статья Форензика анализа Thumbs и Thumbcache в Windows

В ряде судебных дел и судебных расследований рассматриваются миниатюрные фотографии, содержащиеся в файлах операционной системы, такие как thumbcache и

Ссылка скрыта от гостей

.
В многих из этих случаев миниатюры это доказательства, дальнейший их анализ может найти дополнительную информацию, касающуюся миниатюры, например, возможность связать миниатюру с файлом изображения на носителе или найти информацию ведущую к исходному файлу, используемому для создания миниатюры, например полный путь и исходный файл имя.
Microsoft внедрила этот функционал с Windows 95 - сохранения уменьшенных изображений в файлах системных контейнеров, таких как Thumbs.db позже начиная с Windows Vista Thumbcache.db.
Эти системные файлы хранят такую информацию как:

• исходное имя файла
• даты и время
• копию уменьшенного изображения

В этом месте находятся многочисленные файлы кеш-файлов эскизов; Thumbcache_32.db, Thumbcache_96.db, Thumbcache_256.db и Thumbcache_1024.db. Они содержат JPG, BMP и PNG-файлы в различных соответствующих размерах пикселей; 32x32, 96x96, 256x256 и 1024x1024. Также каждая миниатюра хранит уникальный идентификационный номер для каждого связанного эскиза, ThumbnailcacheID. В папке с папкой folder location есть файл с именем 'thumbcache_idx.db' который является индексным файлом, содержащим ThumbnailcacheID для миниатюр и Windows FILETIME значение для него, когда был создан родительский файл

• Windows Vista

c:\Users\{user}\AppData\Local\Microsoft\Windows\Explorer\

c:\Users\{user}\AppData\Local\Microsoft\Windows\Explorer\

• Windows 7

c:\ProgramData\Microsoft\Search\Data\Applications\Windows\

c:\ProgramData\Microsoft\Search\Data\Applications\Windows\

• Windows 8,10

есть файлы IconCache.db в размерах 32, 96, 256, 1024, 16, 48 и WIDE, а также файлы, названные; Tilecache.dat, Default, StartView, Logo и Tickle в файле Explorer. В дополнение к Windows Desktop Search Windows.edb базы данных, есть файл базы данных ModernPhoto.edb, который является потенциальным ценным ресурсом, поскольку он включает JPEG миниатюры в файле. База данных Windows 8.dep для Windows 8 очень интересна.
c:\Users\{user}\AppData\Local\Microsoft\Windows\Explorer\

Рассмотрим программы, одна из первых

Ссылка скрыта от гостей

Python скрипт версия 2007 года,

Ссылка скрыта от гостей

2011 год её нужно еще и установить, но после можно скопировать папку с программой и использовать её как портабельную, и файлы уже должны быть изъяты из системы не заняты процессами системы.
Рассмотрим программы 2018 года

Ссылка скрыта от гостей

точнее его братика

Ссылка скрыта от гостей

так как у меня все системы случайно оказались очищены от данных файлов
мне удалось найти хоть что то для примера из старого архива

Thumbs Viewer

Пример: скрин куда скопирован файл Thumbs.db папка пустая

Thumbs.db

моя забытая но любимая программа 2011 года

Ссылка скрыта от гостей

[URL='http://www.itsamples.com/downloads/thumbnail-database-viewer.zip']Thumbnail Database Viewer[/URL]

Как видно в папке пусто, только один файл Thumbs.db и в программе вся информация которую он вскрыл.

P:S​

Продолжение: Форензика восстановления уменьшенных изображений thumbnamil из поврежденного файла с помощью WinHex