Windows Artifact[5] - Thumbnail/IconCache

이번 포스팅에서는 썸네일과 아이콘 캐시에 대해서 알아보도록 하겠습니다.

----------------------------------------------------------------------------------------------------------------------------------------

썸네일과 아이콘 캐시는 윈도우 포렌식에 있어서 많은 정보를 제공해줍니다. 윈도우의 기본 기능인 미리보기 기능으로 해당 데이터를 파일에 저장하여 속도 향상에 도움을 줍니다. 미리보기 파일은 뜻하지 않게 증거분석에 많은 정보를 제공하게 됩니다. 사용자가 열어본 파일, 영상 등은 모두 파일의 썸네일 또는 아이콘 캐시에 저장 되기 때문입니다. 특히나 아이콘캐시의 경우 안티포렌식도구 사용 여부를 판별할 수 있으며, 외부 저장장치나 광학 장치의 사용흔적을 찾을 수 있습니다. 또한 프로그램을 삭제 하여도 아이콘 정보는 계속 유지됩니다.

1. 썸네일

▶윈도우 폴더 미리보기 기능에 사용

▶초기 방문시 썸네일을 저장해두고 재 방문 시 저장된 데이터를 보여줌 > 속도 향상

▶한번 저장된 썸네일은 원본이 지워져도 썸네일 파일은 잔존

▶Windows 7 이후 Thumbcache ##.db 로 관리

▶썸네일 지원 파일

   -JPEG,BMP,GIF,TIF,DOCX,PPTX,PDF,HTM 등

썸네일이 저장되는 경로는 아래와 같습니다.

[그림 1] 썸네일 저장 경로

해당 폴더에 저장되는 Thumcache 정보는 다음과 같습니다.

▶Thumbcache idx.db : 썸네일의 인덱스 정보

▶Thumbcache sr.db : 알수 없음

▶Thumbcache 32.db : 32x32 픽셀보다 작은 썸네일이 저장

▶Thumbcache 96.db : 32x32 ~ 96x96 픽셀이 저장

▶Thumbcache 256.db : 96x96 ~ 256x256 픽셀 사이의 썸네일이 저장

▶Thumbcache 1024.db：256x256 ~ 1024x2014 픽셀이 저장

썸네일을 분석하기 위해 Thumbs.db Viewer 도구를 사용하였습니다.

[그림 2] 썸네일 분석

  2. 아이콘 캐시

▶외부저장장치/광학드라이브 사용흔적 확인

▶안티 포렌식도구 사용흔적(아이콘)

▶악성코드흔적(아이콘 보유 시/애드웨어)

▶프로그램 사용흔적(프로그램을 삭제 하여도 Icon정보는 남음)

아이콘 캐시가 저장되는 경로는 아래와 같습니다.

[그림 3] 아이콘 캐시 저장 경로

아이콘 캐시를 분석하기 위해 IconCache Viewer 도구를 사용하였습니다.

[그림 4] 아이콘 캐시 분석

현재 아이콘 캐시분석 도구중에 무료로 배포되는 도구는 아이콘 모양까지는 나오지 않습니다. 하지만, 썸네일 분석에 사용한 도구

를 이용할 경우 아이콘 모양까지 모두 출력됩니다. 이는 상용버전과 무료 버전의 차이 이지만 무료버전일지라도 아이콘이 저장되

었던경로와 프로그램명이 나오기 때문에 분석에는 어려움이 없습니다.

지금까지 썸네일과 아이콘 캐시에 대해서 알아보았으며, 다음 포스팅에서는 이벤트 로그에 대해서 알아 보겠습니다.