@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Win10 と Thumbnail Cache

Windows 10 1709 環境の Thumbnail Cache ファイルをテストします。
サンプルの JPEG画像をPreview Paneで表示します。

f:id:hideakii:20180101105702p:plain

ユーザーのプロファイルフォルダ配下に、thumbcacheファイルが作成されている事を確認します。

C:\Users\forensics\AppData\Local\Microsoft\Windows\Explorer

f:id:hideakii:20180101105912p:plain

ファイルフォーマットについては「Windows Explorer Thumbnail Cache database format specification」と「read_thumbcache.h」を参考にしています。

thumbcache_768.dbをパースしてみます。

f:id:hideakii:20180101110610p:plain

2.1. File header

43 4D 4D 4D "CMMM" ⇒ The signature (magic identifier)
20 00 00 00 Version ⇒ ?(Windows 10)
05 00 00 00 Cache type ⇒ thumbcache_768.db?
00 00 00 00 Offset to first cache entry (Or the file header size)
18 00 00 00 Offset to first available cache entry ⇒ 24
18 78 0A 00 Number of cache entries

2.2. Cache entry

43 4D 4D 4D "CMMM" The signature (magic identifier)
06 E1 01 00 Cache entry size ⇒ 123,142
69 E2 89 B3 06 B1 66 EB Entry hash
20 00 00 00 00 00 00 00 File extension UTF-16 string with end-of-string character ⇒ filename_length? ⇒ 32
A7 E0 01 00 Identifier string size ⇒ Data Size?⇒ 123,047
DE 02 00 00 Padding size ⇒ width? ⇒ 734
80 02 00 00 Data size ⇒ height? ⇒ 640
00 00 00 00 Unknown (empty value)
E1 7A 3F 47 2B 6D EE 78 Data checksum Contains a CRC-64
64 55 95 7F FE 4F BD 1F ⇒ ? Header Checksum
6500620036003600620031003000360062003300380039006500320036003900 ⇒ e.b.6.6.b.1.0.6.b.3.8.9.e.2.6.9. ⇒ Identifier string ?

Thumbcache Viewer で可視化

f:id:hideakii:20180101113720p:plain

 Disk Cleanup

 Disk Cleanupツールを利用すると、 Thumbnail Cache ファイルが削除されます。

f:id:hideakii:20180101142327p:plain

 Disk Cleanupツールを実行すると、キャッシュファイルは ThumbCacheToDelete フォルダに移動されています。

f:id:hideakii:20180101142641p:plain

TMPファイル内には、キャッシュデータを確認できます。

f:id:hideakii:20180101142756p:plain

OSを再起動すると、ThumbCacheToDelete フォルダは削除されるようです。

下記図は、OS 再起動後 Orphan フォルダ配下に thmF9A.tmp ファイルが残っていた状態です。

f:id:hideakii:20180101143518p:plain

 

参考URL:

 

github.com

 

Thumbcache Viewer - Extract thumbnail images from the thumbcache_*.db and iconcache_*.db database files.

 

neosmart.net

Forensic Analysis of Windows Thumbcache files
https://pdfs.semanticscholar.org/97a4/a135acf7ef534992e18f643f577a6749cb3e.pdf

 

f:id:hideakii:20180101171003j:plain