디지털포렌식

[디지털포렌식] Thumbnail Cache(썸네일 캐시), Icon Cache(아이콘 캐시)와 Thumbcache Viewer 사용법

junpal2 2024. 10. 12. 16:06

이번에는 Windows 아티팩트 중 썸네일 아티팩트인 Thumbnail Cache 썸네일 캐시와 분석 툴 중 하나인 Thumbcache Viewer 사용법에 대해 알아보자.

1. Thumbnail Cache란?

Windows에는 JPG, BMP, PNG, AVI, MP4, PDF, PPTX, DOCX 등 다양한 파일 형식의 썸네일이 저장되어 있다. 이러한 문서, 이미지 및 비디오의 썸네일을 위한 중앙 집중식 저장소를 썸네일 캐시라고 하며 이를 통해 탐색기에서 미리보기 기능을 제공하는 등 미리보기에 더 빠르게 엑세스 할 수 있다.

썸네일 캐시는 %UserProfile%\AppData\Local\Microsoft\Windows\Explorer 경로에 .db 확장자로 저장되어 있으며 각 파일들은 여러 개의 BMP, PNG 및 JPG 파일로 구성된다.

 

썸네일 캐시를 이용하면 현재 파일이 존재하는지, 혹은 파일의 내용들을 식별하는 데에 도움이 된다. 이미지, 비디오 및 문서들은 썸네일을 가지고 있고 파일들을 미리 볼 때 미리 보기가 자동으로 저장되기 때문이다. 또한 원본 파일이 삭제 되더라도 썸네일은 삭제되지 않으며 디스크 정리를 통해 썸네일을 자동으로 지울 수 있다. 여러 개의 미디어로 구성된 파일의 경우에는 파일 내에서 무작위 프레임이 썸네일로 캐시되는데, 문서 파일의 경우 파일의 첫 페이지가 썸네일로 캐시된다.

 

2. Icon Cache란?

아이콘 캐시는 썸네일 캐시와 비슷한 저장소로 아이콘 이미지를 위한 것이다. 컴퓨터에서 아이콘에 더 빠르게 액세스할 수 있도록 지원하는 기능을 수행한다. 아이콘 캐시는 아이콘이 존재하는 전체 경로 %UserProfile%\AppData\Local에 .db 확장자로 아이콘 파일, 실행 파일, LNK 파일이 저장되거나 %UserProfile%\AppData\Local\Microsoft\Windows\Explorer 경로에 .db 확장자로 저장되어 있다. 마찬가지로 각 파일들은 여러 개의 BMP, PNG 및 JPG 파일로 구성된다.

Windows 기본 아이콘(파일, 폴더 등)나 실행 파일에 저장된 타사 아이콘 같은 경우에는 실행 파일 리소스로서 이용된다. Windows 부팅 시 아이콘 캐시 DB가 메모리에 로드되고, Windows를 재시작하면 아이콘 캐시 DB가 업데이트 된다. 재부팅하기 전에는 새로 캐시된 이미지를 확인할 수 없으며 아이콘 캐시 DB가 삭제된 경우 재부팅 시 다시 생성된다. 저장된 아이콘 캐시는 썸네일 캐시와 마찬가지로 관련 파일이 삭제되더라도 삭제되지 않는다.

 

3. Thumbnail Cache / Icon Cache 분석

이러한 썸네일 캐시, 아이콘 캐시들을 분석하는 툴에는 Thumbcache Viewer, Iconcache Viewer 등이 있다. 이 중 Thumbcache Viewer의 사용법에 대해 알아볼 것이다.

https://thumbcacheviewer.github.io

 

Thumbcache Viewer - Extract thumbnail images from the thumbcache_*.db and iconcache_*.db database files.

Thumbcache Viewer Thumbcache Viewer allows you to extract thumbnail images from the thumbcache_*.db and iconcache_*.db database files found on Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 10, and Windows 11. The program comes in two flavors: a

thumbcacheviewer.github.io

Thumbcache Viewer는 위 링크에서 다운로드 받을 수 있다.

 

썸네일 캐시를 분석하기 앞서 kape를 이용해 썸네일 캐시를 추출해주었다. 꼭 추출하지 않더라도 이미 가지고 있는 캐시가 있다면 이를 이용해 간단하게 실습해볼 수 있다.

 

*간략한 kape 이용법은 아래 티스토리 참고

https://junpal2.tistory.com/4

 

[디지털 포렌식] 웹 아티팩트 분석 BrowsingHistoryView, Hindsight 사용법

앞서 Windows artifact 중 이벤트 로그와 프리페치 파일에 대해 알아보았는데, 사용자가 사파리, 크롬, 엣지, 파이어폭스 등의 웹 브라우저를 이용할 때에도 마찬가지로 Web artifact가 발생한다. 이러한

junpal2.tistory.com

 

Thumbcache Viewer을 실행시키면 빈 테이블이 뜨는데 File 버튼을 눌러 분석하고자 하는 캐시 db 파일을 불러와 열어주면 아래와 같이 db 파일들을 구성하고 있는 BMP, PNG, JPG 등의 파일 리스트가 나타난다.

위 리스트에서 파일 이름, 캐시 엔트리 오프셋, 캐시 엔트리 사이즈, 데이터 오프셋, 데이터 사이즈, 체크섬 등을 확인할 수 있으니 필요한 정보들이 있다면 가져다 쓰면 된다. 파일들을 클릭해보면 이미지 사진의 미리보기가 가능하기도 하다.

 

 

감사합니다!

 

 

*Windows 가상머신을 이용한 실습법입니다.