썸네일 이미지파일 경로
디지털 포렌식에서도 알고 있으면 좋은 사용자의 이미지 캐시파일을 확인하고 분석할 수 있는 방법이 있습니다.
기본적으로 웹서핑이나 윈도우의 사진 및 동영상을 열람할 때 파일의 미리 보기 이미지 썸네일을 통해 어떤 파일인지 쉽게
파악하고 더 빠른 접근이 가능하기 때문에 우리가 사용한 썸네일 이미지들은 thumbs.db형태로 pc에 저장하게 됩니다.
원본 이미지 등의 파일을 삭제하더라도 썸네일파일은 삭제되지 않고 thumbs.db형태에 저장되게 됩니다.
%UserProfile%\AppData\Local\Microsoft\Windows\Explorer위의 경로에서 썸네일 파일을 확인할 수 있는데, 위 경로에서 Local 폴더아래에 Microsoft 폴더가 안 보이는 경우가 있습니다.
숨긴 폴더를 확인해 봐도 존재하지 않아서 어떻게 들어가나 했었는데 그냥 Local주소뒤에 \Microsoft를 입력하여 들어갈 수 있었습니다. 어쨌건 Windows\Explorer 폴더까지 이동해 주세요.
폴더에 들어가면 iconcache와 thumbcache가 다양한 이름들로 저장되어 있습니다.
Windows XP까지는 thumbs.db 파일이 숨김파일형태로 저장되고 있었지만 이후 운영체제부터는 thumbcache 뒤에 넘버링이 붙고 숨김파일이 아닌 일반 파일형태로 저장됩니다.
썸네일db Viewer 도구 설치
근데 위의 파일만 봐서는 db파일 안에 어떤 썸네일들이 있는지 알 수 없기 때문에 전용 viewer를 사용하여 확인해 보겠습니다.
OS버전에 따라서 다른데 XP이상 버전은 THUMBCACHE VIEWER 도구를 사용하여 확인할 수 있습니다.
XP버전은 THUMBS VIEWER 도구를 사용하여 확인할 수 있으며 웹페이지의 디자인이 똑같지만 XP이상 버전의 VIEWER와는 파일과 이름이 다르므로 잘 보고 다운로드하시면 됩니다. 이번 게시물에서는 XP이상의 운영체제내용만 다뤄보겠습니다.
페이지 좌측상단에서 본인의 운영체제 bit에 맞게 다운로드하여 줍니다.
저장된 썸네일 미리 보기 이미지 확인하기
프로그램을 실행하면 다음과 같은 화면이 나타납니다. "File - Open.." 메뉴를 통해 thumbcache 파일의 미리 보기 이미지들을 확인할 수 있습니다. 또한, 파일을 직접 프로그램에 드래그 앤 드롭하여도 미리보기 이미지를 확인할 수 있습니다.
iconcahe 파일의 경우 윈도우에서 사용하는 아이콘 이미지의 미리 보기 데이터들이 담겨 있습니다.
thumbcache파일을 viewer를 사용하여 열어보면 윈도우에서 사용된 미리 보기 이미지파일이 thumbcache 데이터베이스 파일에 담겨져 있습니다.
포렌식과정에서 특정 pc의 지원 데이터의 단서를 찾을 때 사용할 수 있으며 개인 pc에서 불필요한 데이터의 경우에는 db파일을 제거하여 썸네일 미리 보기 데이터를 삭제할 수 있습니다.
thumbcache.db파일 생성 안되게 하는 법
파일을 빠르게 찾고 싶을 때, 이미지 썸네일 파일은 매우 유용합니다. 파일을 다시 열 때마다 미리 보기 이미지를 통해 원하는 파일에 빠른 접근이 가능하게 됩니다.
그러나 기업이나 개인에게 중요한 파일을 처리한 뒤에는, 해당 파일을 삭제하더라도 썸네일 파일이 컴퓨터에 남아있을 수 있습니다. 이는 보안상 문제가 될 수 있는데, 이러한 경우 파일의 미리보기 이미지가 타인에게 노출되는 것을 원치 않을 수 있습니다.
이를 방지하기 위해, thumbcache.db 파일이 생성되지 않도록 설정하는 방법이 있습니다.
윈도우 실행창에 로컬 그룹 정책 편집기를 여는 명령어를 입력합니다.
사용자 구성 > 관리 템플릿 > Windows 구성 요소> 파일 탐색기로 이동합니다.
설정 항목 중에 '숨겨진 thumbs.db 파일에서 미리 보기 캐싱 끄기'를 더블클릭하여 정책 설정 편집페이지에 접근합니다.
'사용' 체크한 뒤 적용 버튼을 누른 뒤 확인버튼을 눌러서 설정을 마칩니다.
미리 보기 캐싱 기능을 사용하지 않도록 끄는 기능을 사용하도록 하겠다는 의미입니다.
마찬가지로 '미리 보기 그림 캐싱 사용 안 함'도 사용으로 변경후 적용해줍니다.
로컬 정책 편집기에서 변경한 사항은 적용을 하였음에도 시스템에 바로 반영되지는 않습니다.
pc를 재부팅하여 변경사항을 적용하거나 정책 업데이트 명령어를 통해서 변경사항을 적용할 수 있습니다.
업데이트 명령어를 통해 적용하는 방법을 보여드리자면 실행창을 열은 뒤 'gpupdate /force'명령을 입력하면 적용이 완료됩니다.
명령어를 입력하면 정책을 업데이트한 뒤 업데이트가 완료되면 cmd창이 닫히게 됩니다.
모든 설정이 완료되었고 마지막으로 주의할 점은 더 이상 썸네일 파일을 생성하지 않지만 기존에 생성되었던 썸네일파일이 자동으로 삭제되지는 않습니다. 기존의 썸네일 파일이 남아있다면 직접 수동으로 삭제하여야 합니다.