Windows 10 ver 1709 環境上における、ThumbnailCacheId とサムネイルキャッシュの関係を確認します。
キャッシュされているサムネイルデータをThumbcache Viewer を使い確認します。
thumbcache_768.db内には2件の画像がキャッシュされています。
C:\Users\forensics\AppData\Local\Microsoft\Windows\Explorer\thumbcache_768.db
eb66b106b389e269.jpg
9990cded46f057a1.jpg
キャッシュされている画像ファイルのメタデータは、Windows Searchのデータベースで確認できます。
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb
Windows.EDB
ESEDatabaseViewツールを利用し、Windows.edbファイルを開きます。
SystemIndex_PropertyStoreコンテナを参照します。
コンテナ内ではサムネイルキャッシュのファイル名部分を検索します。
例えば、9990cded46f057a1.jpg であれば検索するパターンは下記になります。
A1 57 F0 46 ED CD 90 99
4655-System_ThumbnailCacheId のカラムで一致するデータを確認できます。
ファイルパスなどを確認します。
上記では、9990cded46f057a1.jpg の元ファイル名などを確認できましたが、eb66b106b389e269.jpg については一致するレコードがコンテナ内に存在しません。
ファイル eb66b106b389e269.jpg は、C:\2018フォルダ配下にあり、このフォルダはインデックス対象となっていません。
C:\2018フォルダをインデックスの対象に追加します。
インデックスが完了しました。
一度OSを再起動した後、Windows.EDB ファイルの内容を確認します。
残念ながら、OSを再起動せずに最新のインデックス内容をWindows.edbへ反映する方法が分かりませんでした。
4655-System_ThumbnailCacheId のカラムでファイル eb66b106b389e269.jpg と一致する項目を確認できます。
キャッシュ画像の元ファイルがインデックスされている場合は、メタデータをWindows.edb から確認できます。
しかし、元ファイルがインデックスされていない場合は、どこで確認すればよいのでしょうか?
参考URL:
System.ThumbnailCacheId (Windows)
A unique value used as a key to cache thumbnails. The value changes when the name, volume, or data modified of an item changes.
