본문 바로가기
Forensics/윈도우 아티팩트

[Windows Forensic Artifacts - 8] Thumbnail & Icon cache

by sseddi 2023. 3. 12.
728x90

Thumbnail

미리보기 파일

그래픽 이미지를 축소한 것으로 많은 양의 이미지를 빠르게 탐색하기 위한 것

윈도우 폴더 미리보기 기능에 사용

초기 방문 시 썸네일을 캐시해두고 재방문 시 캐시된 데이터 보여줌 → 성능 향상

한번 저장된 썸네일은 원본 파일이 삭제되더라도 삭제되지 않음

  • 썸네일 지원 파일
    • JPEG, BMP, GIF, PDF, PPTX, DOCX등

정보

  • 경로
    • %UserProfile%\AppData\Local\Microsoft\Windows\Explorer
  • 파일명
    • thumbcache_{크기}.db

Icon cache

탐색기 아이콘

파일 형식에 따라 표현되는 다양한 아이콘

아이콘도 미리 캐시해둔 후 재방문 시 빠르게 로드

정보

  • 경로
    • %UserProfile%\AppData\Local\Microsoft\Windows\Explorer
  • 파일명
    • iconcache_{}.db

아이콘 캐시 시점

  • 폴더 내용 확인 시 로드되는 아이콘 캐시
  • 인터넷에서 다운로드 받을 경우, 폴더 내용을 확인하지 않더라도 캐시됨
  • 폴더 내용을 확인하지 않더라도 “수정 시간”을 기준으로 최근 2개의 아이템 캐시

아이콘 가져오기

  • 윈도우 기본 아이콘 → %SystemRoot%\system32\shell32.dll
  • 응용프로그램 아이콘 → 각 응용 프로그램 실행파일의 리소스 영역
  • 실행 파일 → 실행 파일의 리소스 영역

실습

Thumbcache Viewer

Thumbnail Cache

icon cache

포렌식적 의미

  • ThumbnailCache
    • 분석 대상 PC에 해당 파일이 존재하였음을 나타냄
    • 해당 파일이 삭제되더라도 ThumbnailCache는 사라지지 않음
  • IconCache
    • 분석 대상 PC에 존재했던 응용프로그램의 종류를 확인 가능
    • 외부저장매체 사용 흔적 파악
    • 안티포렌식 도구 사용 흔적, 악성코드 실행 흔적 파악
    • 해당 응용프로그램이 삭제되더라도 IconCache는 사라지지 않음

Thumbnail이랑 IconCache는 같은 경로에 저장

reference

기초부터 따라하는 디지털포렌식

https://github.com/proneer/Slides/blob/master/Windows/(FP)

728x90

댓글