디지털포렌식

[디지털포렌식] Thumbnail(썸네일), Icon Cache와 Thumbcache Viewer 리뷰

은동동동 2025. 2. 10. 10:26

오늘은 썸네일, 아이콘 캐시가 무엇인지, 그리고 이것을 분석하기 위한 Thumbcache Viewer를 리뷰해보도록 하겠습니다.

Thumbnail Cache (썸네일캐시)?

  • 문서, 이미지, 비디오 등의 썸네일을 모아놓은 캐시이다.
  • 썸네일에 대한 접근을 빠르게 하기 위한 목적이다.
  • 위치 : %UserProfile%\AppData\Local\Microsoft\Windows\Explorer\thumbcache_*.db

디지털 포렌식에서의 썸네일 캐시?

  1. 썸네일 캐시를 통해서 실제 파일이 존재했는지, 아니었는지 파악할 수 있습니다
    1. 썸네일 캐시는 자동적으로 저장되고, 파일이 삭제되었더라고 썸네일 캐시는 남아있기 때문에 포렌식에서 유용하게 사용할 수 있습니다.
    2. 썸네일 캐시는 Disk Cleanup을 할때 자동적으로 삭제됩니다.
  2. 썸네일 캐시를 통해 파일의 컨텐츠를 확인할 수 있습니다.
    1. 멀티미디어 파일에서 랜덤한 프레임이 썸네일로 캐시됩니다.
    2. 문서 파일에서는 파일의 첫번째 페이지가 썸네일로 캐시됩니다.
    3. 이러한 썸네일 파일들로 원 파일의 일부 내용을 알 수 있게 됩니다.

Icon Cache(아이콘캐시)?

  • 아이콘 이미지들을 모아놓은 캐시이다.
  • 아이콘에 대한 빠른 엑세스를 위한 목적이다
  • 위치 :
    • %UserProfile%\AppData\Local\IconCache.db : 아이콘을 가지고 있는 파일의 full path 저장
    • %UserProfile%\AppData\Local\Microsoft\Windows\Explorer\iconcache_*.db : 각 파일은 여러 BMP, PNG, JPG 파일등으로 구성되어있음

아이콘 캐싱 매커니즘

  • 실행 가능한 자원으로서의 아이콘
    • Windows default icon (file, folder, etc…)
    • %SystemRoot%\System32\shell32.dll
    • 3rd party icons stored in executables
  • 아이콘 캐시 DB의 작동
    • 윈도우 부팅할때, 아이콘 캐시 DB는 메모리로부터 로딩된다
    • 윈도우를 재시작 할때, 아이콘 캐시 DB는 업데이트 된다.
  • 아이콘 캐시의 지속성
    • 한번 저장되면, 아이콘 캐시는 관련 파일이 삭제되더라도 유지된다.

디지털 포렌식에서의 아이콘 캐시?

→ 고유 아이콘이 있는 애플리케이션의 흔적을 식별하는데 사용

    • Commercial / Free software
    • Anti-forensic tools
    • malware

썸네일 캐시와 아이콘 캐시에 대해서 알아봤으니 이를 분석하기 위한 툴 리뷰를 진행해보도록 하겠습니다.

ThumbCache Viewer

썸네일 캐시를 분석하기 위해서 사용하는 툴로, Windows Vista, Windows 7, 8, 8.1, 10, 11에 있는 Thumbcache_.db 및 IconCache_.db 데이터베이스 파일에서 썸네일 이미지를 추출할 수 있습니다.

https://thumbcacheviewer.github.io/

우선 KAPE를 통해 관련 정보를 수집해주겠습니다.

타겟 옵션은 ThumbCache로 설정해주시면 됩니다.

이렇게 추출하면 .db 파일이 생성되게 됩니다.

그리고 이 해당 .db 파일을 ThumbCache Viewer로 열어주면 됩니다.

뷰어를 실행한 모습입니다.

png나 jpg 파일이 많은 모습입니다.

해당 db 파일에는 제 컴퓨터로 저장한 여러 사진 파일의 썸네일이 담겨있다고 추론할 수 있습니다.

여러 파일중에 하나를 눌러보니 미리보기 기능도 지원하는 것을 확인할 수 있었습니다.

해당 사진은 예전에 과제했던 사진이네요

물론 해당 사진은 과제 후 삭제했었는데 아직 남아있어서 신기했습니다

사진 썸네일 뿐만 아니라 아이콘 캐시 등도 확인할 수 있는 모습입니다.

(Thumbcache Viewer allows you to extract thumbnail images from the thumbcache_.db and iconcache_.db database files.)

기존에 가지고 있던, 삭제되었던 파일의 썸네일, 아이콘 캐시등이 궁금할때 사용할 수 있는 유용한 툴이었습니다.

사진을 삭제해서 더이상 찾아볼 수 없는 경우, 이 캐시파일을 뒤져보다 보면 관련 정보를 찾아내볼 수 있겠네요!

'디지털포렌식' 카테고리의 다른 글

[디지털포렌식] Prefetch와WinPrefetchView, PECmd 리뷰  (0) 2025.02.10
[디지털포렌식] 웹브라우저 아티팩트와 BrowsingHistoryView, Hindsight 리뷰  (0) 2025.02.10
[디지털포렌식] Jumplist와 JumpList Explorer 리뷰  (0) 2025.02.10
[디지털포렌식] NTFS Log Tracker 리뷰  (0) 2025.02.10
[디지털포렌식] 스테가노그래피 (Steganography)  (0) 2025.02.10

'디지털포렌식'의 다른글

  • 현재글[디지털포렌식] Thumbnail(썸네일), Icon Cache와 Thumbcache Viewer 리뷰

관련글

티스토리툴바