[ThumbnailCache]
썸네일(Thumbnail)은 미리보기 파일을 의미한다. Windows에서는 썸네일 사진들을 미리 생성하여 보관하고 있다.
ThumbnailCache는 분석 대상 PC에 해당 파일이 존재하였음을 나타낸다. 해당 파일이 삭제되더라도 ThumbnailCache는 사라지지 않는다.
ThumbnailCache의 경로는 아래와 같다.
%UserProfile%\AppData\Local\Microsoft\Windows\Explorer
해당 경로에 들어가면 "thumbcache_{크기}.db" 형식의 ThumbnailCache를 확인할 수 있다.
[IconCache]
Windows 아이콘(Icon)을 보여주기 위해서 가지고 있는 캐시를 말한다. 일반적인 폴더나 파일은 공통의 아이콘을 사용하고, 응용 프로그램은 별도의 아이콘을 사용한다. Windows에서는 아이콘 사진들을 별도의 공간에 모아서 보관한다.
IconCache는 분석 대상 PC에 존재했던 응용프로그램의 종류를 확인할 수 있다. 외부 저장 매체 사용 흔적, 안티 포렌식 도구 사용 흔적, 악성코드 실행 흔적을 파악할 수 있다. 해당 응용프로그램이 삭제되더라도 IconCache는 사라지지 않는다.
IconCache의 경로는 아래와 같다.
%UserProfile%\AppData\Local\Microsoft\Windows\Explorer
해당 경로에 들어가면 "iconcache_{크기}.db" 형식의 IconCache를 확인할 수 있다.
[Practice]
ThumbnailCache와 IconCache을 분석하기 위해 Thumbcache Viewer를 다운로드한다.
https://thumbcacheviewer.github.io/
Thumbcache Viewer - Extract thumbnail images from the thumbcache_*.db and iconcache_*.db database files.
About Thumbcache Viewer allows you to extract thumbnail images from the thumbcache_*.db and iconcache_*.db database files found on Windows Vista, Windows 7, Windows 8, Windows 8.1, and Windows 10. The program comes in two flavors: a graphical user interfac
thumbcacheviewer.github.io
Thumbcache Viewer로 thumbcache_48을 열어보면 위와 같이 썸네일 데이터를 확인할 수 있다.
Thumbcache Viewer로 iconcache_48을 열어보면 아이콘 데이터를 확인할 수 있다.
'포렌식 > 기초부터 따라하는 디지털 포렌식' 카테고리의 다른 글
| Event Logs 개념 및 실습 (0) | 2022.07.29 |
|---|---|
| Windows Timeline 개념 및 실습 (0) | 2022.07.29 |
| 브라우저 아티팩트 개념 및 실습 (0) | 2022.07.28 |
| MUICache, AmCache, ShimCache 개념 및 실습 (0) | 2022.07.28 |
| Prefetch 개념 및 실습 (0) | 2022.07.28 |
