Thumbnail


썸네일이란 어떠한 파일이 존재할때, 그 파일의 미리보기를 나타내어주는 것으로 파일을 탐색할 때 알아보기 쉽게 나타내는 것으로 흔히 동영상이나 사진의 경우 작게 캡처가 되어 미리보기의 형태로 나타내어진다. 그로 인해 우리는 원하는 파일을 하나씩 모두 열어볼 필요가 없이 썸네일을 통하여 찾을 수가 있다. 모든 파일에서 지원하는 것은 아니며 운영체제 마다 차이가 있지만 JPEG, avi 등 같은 파일에서 흔히 쉽게 볼 수가 있다.

그래픽 이미지를 축소하였기에 많은 양의 이미지를 빠르게 탐색할 수 있게 해주며, 초기 방문시 썸네일을 캐시해두고 재방문시 캐시된 데이터를 보여줌으로 인하여 성능을 향상 시킨다.또한 한번 저장된 썸네일은 원본 파일이 삭제되더라도 삭제되지 않기에 어떠한 행위에 대하여 흔적을 지웠지만 썸네일 흔적을 지우지 않는다면 알아차릴 수가 있다.

썸네일의 저장 경로는 %UserProfile%\AppData\Local\Microsoft\Windows\Explorer 에 각 형태에 맞는 곳에 캐시의 형태로 저장이 된다. 미리보기를 한번이라도 했다면 썸네일이 형성이 되며, 이 썸네일의 경우 원본 파일이 삭제되더라도 따로 저장이 되어있다. XP 까지는 각 폴더에 해당 썸네일이 Thumbs.db에 존재(숨김파일형태)하고 있지만, 그 이후의 운영체제부터는 Thubmcache_**.db의 형태로 저장이 된다.


 Thumbcache_idx.db 

 썸네일의 인덱스 정보

 Thumbcache_sr.db 

 알 수 없음 

 Thumbcache_32.db 

 32x32 픽셀보다 작은 썸네일이 저장되며 모두 BMP 형식

 Thumbcache_96.db 

 32x32 ~ 96x96 픽셀 사이의 썸네일이 저장되며 BMP 형식 

 Thumbcache_256.db 

 96x96 ~ 256x256 픽셀 사이의 썸네일이 저장되며 JPEG or PNG 형식 

 Thumbcache_1024.db 

 256x256~1024x1024 픽셀 사이의 썸네일이 저장되며 모두 JPEG 형식 


Structure


thumbcache_##.db 파일은 헤더에 이어서 "CMMM"으로 시작하는 시그니처를 단위로 각각의 썸네일을 저장하고 있다. 다음은 각 썸네일의 엔트리 형식이다. 엔트리에 저장되는 Unique ID를 "thumbcache_##.db에서 검색해보면 해당 썸네일의 인덱싱 정보가 저장된 부분으로 이동한다.

0x00~0x03 

4Bytes 

 "CMMM" Signature 

0x04~0x07 

4Bytes 

 Size of Thumbnail Entry 

0x08~0x0F

8Bytes 

 Unique ID 

0x30~0x41 

34Bytes 

 File Name 

0x42 

 Thumbnail Data 



Analysis


썸네일 캐시를 분석하기 위하여 Thumbcache Viewer를 사용할 것이다. 이를 통하여 thumbcache_##.db 파일을 열어서 목록을 확인해보면 본인이 여지껏 봤었던 사진이나 문서, 동영상 등의 썸네일을 확인할 수가 있다. 하나 하나 확인을 해보면 예전에 봤었던 문서나 동영상의 썸네일도 존재해 뭔가 신기할 따름이다.



Conclusion


이러한 썸네일을 통하여 포렌식의 많은 면에서 사용이 가능하다. 그래픽이나 동영상, 문서같은 파일들이 존재했었는지의 여부를 파악할 수가 있으며 문서파일의 경우 첫 페이지가 썸네일이 되기 때문에 문서의 내용을 확인하여 저작권에 위배되는지 확인이 가능하다. 마지막으로는 이러한 썸네일을 통하여 음란물 등의 존재여부 또한 확인할 수가 있다.

추가적으로 썸네일이 삭제된 경우에는 데이터 복구나 카빙을 통하여 파일을 복구시켜서 삭제를 했더라도 어느정도의 희망을 가지고 확인해보는 것도 괜찮을 것같다고 생각한다. 이처럼 여러 방식들을 염두하고 분석을 해야할 것 같다.



Reference


http://forensic-proof.com/archives/2092


'Forensic > Theory' 카테고리의 다른 글

Steganography  (0) 2015.09.16
Icon Forensic ( ICON 분석)  (2) 2015.09.13
File Recovery  (2) 2015.09.12
File Signature  (0) 2015.09.12
Live Forensic 점검 항목  (0) 2015.09.11