728x90
Thumbnail
미리보기 파일
그래픽 이미지를 축소한 것으로 많은 양의 이미지를 빠르게 탐색하기 위한 것
윈도우 폴더 미리보기 기능에 사용
초기 방문 시 썸네일을 캐시해두고 재방문 시 캐시된 데이터 보여줌 → 성능 향상
한번 저장된 썸네일은 원본 파일이 삭제되더라도 삭제되지 않음
- 썸네일 지원 파일
- JPEG, BMP, GIF, PDF, PPTX, DOCX등
정보
- 경로
- %UserProfile%\AppData\Local\Microsoft\Windows\Explorer
- 파일명
- thumbcache_{크기}.db
Icon cache
탐색기 아이콘
파일 형식에 따라 표현되는 다양한 아이콘
아이콘도 미리 캐시해둔 후 재방문 시 빠르게 로드
정보
- 경로
- %UserProfile%\AppData\Local\Microsoft\Windows\Explorer
- 파일명
- iconcache_{}.db
아이콘 캐시 시점
- 폴더 내용 확인 시 로드되는 아이콘 캐시
- 인터넷에서 다운로드 받을 경우, 폴더 내용을 확인하지 않더라도 캐시됨
- 폴더 내용을 확인하지 않더라도 “수정 시간”을 기준으로 최근 2개의 아이템 캐시
아이콘 가져오기
- 윈도우 기본 아이콘 → %SystemRoot%\system32\shell32.dll
- 응용프로그램 아이콘 → 각 응용 프로그램 실행파일의 리소스 영역
- 실행 파일 → 실행 파일의 리소스 영역
실습
Thumbcache Viewer
Thumbnail Cache
icon cache
포렌식적 의미
- ThumbnailCache
- 분석 대상 PC에 해당 파일이 존재하였음을 나타냄
- 해당 파일이 삭제되더라도 ThumbnailCache는 사라지지 않음
- IconCache
- 분석 대상 PC에 존재했던 응용프로그램의 종류를 확인 가능
- 외부저장매체 사용 흔적 파악
- 안티포렌식 도구 사용 흔적, 악성코드 실행 흔적 파악
- 해당 응용프로그램이 삭제되더라도 IconCache는 사라지지 않음
Thumbnail이랑 IconCache는 같은 경로에 저장
reference
728x90
'Forensics > 윈도우 아티팩트' 카테고리의 다른 글
[Windows Forensic Artifacts - 9] Windows Timeline (1) | 2023.03.12 |
---|---|
[Windows Forensic Artifacts - 7] 웹 아티팩트 (0) | 2023.03.12 |
[Windows Forensic Artifacts - 6] AmCache & ShimCache (0) | 2023.03.12 |
[Windows Forensic Artifacts - 5] MUICache (0) | 2023.03.12 |
[Windows Forensic Artifacts - 4] Jumplist (0) | 2023.01.10 |
댓글