ThumbnailCache & IconCache

썸네일(Thumbnail)

• '미리보기 파일'을 의미함
• Windows에서는 썸네일 사진들을 미리 생성하여 보관하고 있음
  • %UserProfile%\AppData\Local\Microsoft\Windows\Explorer
  • thumbachce_{크기}.db

​

IconCache

• windows 아이콘을 보여주기 위해서 가지고 있는 캐시
  • 공통의 아이콘을 사용 (일반적인 폴더, 파일)
  • 별도의 아이콘을 사용 (응용프로그램)

​

• windows에서는 아이콘 사진들을 별도의 공간에 모아서 보관함
  • %UserProfile%\AppData\Local\Microsoft\Windows\Explorer
  • iconcache_{}.db

​

포렌식적 의미

• ThumbnailCache
  • 분석 대상 pc에 해당 파일이 존재하였음을 나타냄
  • 해당 파일이 삭제되더라도 ThumbnailCache는 사라지지 않음
• IconCache
  • 분석 대상 pc에 존재했던 응용프로그램의 종류를 확인 가능
  • 외부저장매체 사용 흔적 파악
  • 안티포렌식 도구 사용 흔적, 악성코드 실행 흔적 파악
  • 해당 응용프로그램이 삭제되더라도 IconCache는 사라지지 않음

​

[실습]

• Thumbcahce Viewer - 도구
  • https://thumbcacheviewer.github.io/
• 참고
  • 해킹짹짹 뉴스레터, 썸네일 포렌식

​

도구를 다운로드하고,

%UserProfile%\AppData\Local\Microsoft\Windows\Explorer 경로로 이동해준다.

​

이동 후 파일크기가 큰 것을 아무거나 선택하여 도구에 드래그 앤 드롭해준다.

​

하나씩 클릭하며 내려가면 우측에 filename에 해당하는 썸네일/아이콘들의 사진을 확인할 수 있다.