이번에는 Windows 아티팩트 중 썸네일 아티팩트인 Thumbnail Cache 썸네일 캐시와 분석 툴 중 하나인 Thumbcache Viewer 사용법에 대해 알아보자.
1. Thumbnail Cache란?
Windows에는 JPG, BMP, PNG, AVI, MP4, PDF, PPTX, DOCX 등 다양한 파일 형식의 썸네일이 저장되어 있다. 이러한 문서, 이미지 및 비디오의 썸네일을 위한 중앙 집중식 저장소를 썸네일 캐시라고 하며 이를 통해 탐색기에서 미리보기 기능을 제공하는 등 미리보기에 더 빠르게 엑세스 할 수 있다.
썸네일 캐시는 %UserProfile%\AppData\Local\Microsoft\Windows\Explorer 경로에 .db 확장자로 저장되어 있으며 각 파일들은 여러 개의 BMP, PNG 및 JPG 파일로 구성된다.
썸네일 캐시를 이용하면 현재 파일이 존재하는지, 혹은 파일의 내용들을 식별하는 데에 도움이 된다. 이미지, 비디오 및 문서들은 썸네일을 가지고 있고 파일들을 미리 볼 때 미리 보기가 자동으로 저장되기 때문이다. 또한 원본 파일이 삭제 되더라도 썸네일은 삭제되지 않으며 디스크 정리를 통해 썸네일을 자동으로 지울 수 있다. 여러 개의 미디어로 구성된 파일의 경우에는 파일 내에서 무작위 프레임이 썸네일로 캐시되는데, 문서 파일의 경우 파일의 첫 페이지가 썸네일로 캐시된다.
2. Icon Cache란?
아이콘 캐시는 썸네일 캐시와 비슷한 저장소로 아이콘 이미지를 위한 것이다. 컴퓨터에서 아이콘에 더 빠르게 액세스할 수 있도록 지원하는 기능을 수행한다. 아이콘 캐시는 아이콘이 존재하는 전체 경로 %UserProfile%\AppData\Local에 .db 확장자로 아이콘 파일, 실행 파일, LNK 파일이 저장되거나 %UserProfile%\AppData\Local\Microsoft\Windows\Explorer 경로에 .db 확장자로 저장되어 있다. 마찬가지로 각 파일들은 여러 개의 BMP, PNG 및 JPG 파일로 구성된다.
Windows 기본 아이콘(파일, 폴더 등)나 실행 파일에 저장된 타사 아이콘 같은 경우에는 실행 파일 리소스로서 이용된다. Windows 부팅 시 아이콘 캐시 DB가 메모리에 로드되고, Windows를 재시작하면 아이콘 캐시 DB가 업데이트 된다. 재부팅하기 전에는 새로 캐시된 이미지를 확인할 수 없으며 아이콘 캐시 DB가 삭제된 경우 재부팅 시 다시 생성된다. 저장된 아이콘 캐시는 썸네일 캐시와 마찬가지로 관련 파일이 삭제되더라도 삭제되지 않는다.
3. Thumbnail Cache / Icon Cache 분석
이러한 썸네일 캐시, 아이콘 캐시들을 분석하는 툴에는 Thumbcache Viewer, Iconcache Viewer 등이 있다. 이 중 Thumbcache Viewer의 사용법에 대해 알아볼 것이다.
https://thumbcacheviewer.github.io
Thumbcache Viewer는 위 링크에서 다운로드 받을 수 있다.
썸네일 캐시를 분석하기 앞서 kape를 이용해 썸네일 캐시를 추출해주었다. 꼭 추출하지 않더라도 이미 가지고 있는 캐시가 있다면 이를 이용해 간단하게 실습해볼 수 있다.
*간략한 kape 이용법은 아래 티스토리 참고
Thumbcache Viewer을 실행시키면 빈 테이블이 뜨는데 File 버튼을 눌러 분석하고자 하는 캐시 db 파일을 불러와 열어주면 아래와 같이 db 파일들을 구성하고 있는 BMP, PNG, JPG 등의 파일 리스트가 나타난다.
위 리스트에서 파일 이름, 캐시 엔트리 오프셋, 캐시 엔트리 사이즈, 데이터 오프셋, 데이터 사이즈, 체크섬 등을 확인할 수 있으니 필요한 정보들이 있다면 가져다 쓰면 된다. 파일들을 클릭해보면 이미지 사진의 미리보기가 가능하기도 하다.
감사합니다!
*Windows 가상머신을 이용한 실습법입니다.
'디지털포렌식' 카테고리의 다른 글
[디지털포렌식] NTFS Log Tracker 사용법 (0) | 2024.11.25 |
---|---|
[디지털포렌식] Jumplist(점프리스트)와 Jumplist Explorer 사용법 (4) | 2024.11.11 |
[디지털포렌식] 웹 아티팩트 분석 BrowsingHistoryView, Hindsight 사용법 (1) | 2024.10.12 |
[디지털포렌식] Windows Prefetch와 PECmd, WinPrefetchView 사용법 (4) | 2024.10.12 |
[디지털포렌식] Windows 이벤트 로그와 EvtxECmd 사용법 (0) | 2024.09.24 |