ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • 썸네일 포렌식(Thumbnail Forensics)
      $ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 7. 7. 20:59

      썸네일(Thumbnail)은 큰 그래픽 이미지를 축소한 것으로 많은 양의 이미지를 빠르게 탐색하기 위한 것이다.

       

      썸네일은 다양한 응용프로그램에서 사용하고 있지만 사용자가 가장 쉽게 접할수 있는 썸네일은 윈도우 탐색기의 미리보기입니다.

       

      위의 사진이 윈도우 xp 탐색기의 미리보기 입니다.

       

      미리보기는 운영체제의 버전에 따라 조금씩 차이가 있지만 PDF, PPTX, DOCX, HTML, 그래픽 이미지 파일 등등을 지원합니다.

       

      윈도우에서는 썸네일을 생성 후에 데이터 베이스 형식으로 보관합니다.   

      db에 한번이라도 저장된 썸네일은 원본 사진 파일이 삭제가 되도 지워지지 않습니다.

      따라서 사용자가 썸네일을 직접 지우지 않는한 썸네일은 데이터 베이스에 계속해서 남아있습니다.

       

      썸네일은 운영체제의 버전에 따라서 크게 2가지로 나누어 집니다. 윈도우 XP 까지 사용된 "Thumbs.db" 파일과 Vista 이후부터 사용된 "Thumbcache_##.db"파일로 나누어 볼수 있습니다. 저는 현재 Window 10을 사용하기 때문에 썸네일의 형식이 Thumbcache_##.db로 되어있습니다.

       

       

      썸네일의 시작이였던 윈도우 2K(NTFS 에서) 에서는 ADS(Alternate Data Stream)에 썸네일을 저장 했지만  FAT32나 XP 이후로는 "Thumbs.db"를 사용했습니다.

       

       

      일단 Thumbs.db 파일에 대해서 한번 알아보겠습니다.

       

      윈도우 xp에서의 썸네일을 만들어야 하는데 우리가 해당 이미지나 파일을 미리보기하면 썸네일이 자동으로 생성이 됩니다.

      해당 파일은 다음번 미리보기를 할때 캐쉬 역할을 하는데 소량의 파일의 썸네일에는 뭐가 좋은지 모르겠으나 용량이 커지면 커질수록 성능의 차이가 크게 날것입니다.

      이런식으로 사용자가 클릭을 하기전에 내용을 확인할 수 있는 방법입니다.

       

      썸네일은 기본적으로 96x96 픽셀 크기로 생성이 되는데 XP에서 썸네일의 크기를 변경하고 싶다면 다음 레지스트리 키를 수정하면됩니다.

       

      아래 사진은 XP는 아니지만 해당 레지스트리 키에서 수정을하면됩니다.

       

      해당 레지스트리 키에서 ThumbnailSize 라는 DWORD 값을 생성한후에 데이터값에 0x20 ~ 0x64 사이의 값을 입력해서 썸네일을 확인해 보면 바뀌었다는 것을 알 수 있습니다.

       

      레지스트리 키 : HKEY_USERS\<USER SID>\Software\Microsoft\Windows\CurrentVersion\Explorer

       

      또한 Thumbs.db 파일은 사용자 눈에 보이지않기 때문에 폴더 보기 옵션에 들어가서 옵션을 설정해 야 합니다.

      폴더 옵션에서 보호된 운영체제 파일 숨기기 항목을 체크 해제를 해야 Thumbs.db 파일이 보이게 됩니다.

      Thumbs.db파일을 편집기로 확인해 보면 CDF(Compound Document Format)을 확인할 수 있습니다.

       

       CDF(Compound Document Format)는 나중에 다시 다루도록 하겠습니다.

       

      다음 사진은 Thumbs.db 파일을 SSView을 이용해서 열어보겠습니다.

       

      폴더에 들어있는 사진의 개수는 2개이지만 위에 보이는 파일의 개수는 3개 이다. 

      하나는 다음 사진을 보면 확인할 수 있습니다.

      이러한 파일이 하나 있었습니다.

       

      해당 파일은 상위폴더에서 미리보기를 할때 보여지는 이미지 썸네일이였습니다.

       

       

      이번에는 xp가 아닌 Vista 이후에 사용되오는 썸네일 파일을 한번 보겠습니다.

       

       

      해당 파일을 보면 16 32 48 96 256 768 등의 숫자들이 있는데 

      이에 대해서 설명해 보겠습니다.

       

      thumbcache_idx.db : 썸네일의 인덱스 정보

      thumbcache_sr.db : 알수 없음

      thumbcache_32.db : 32x32 픽셀보다 작은 썸네일이 저장되며 모두 BMP 형식

      thumbcache_96.db : 32x32 ~ 96x96 픽셀 사이의 썸네일이 저장되며 BMP 형식

      thumbcache_256.db : 96x96 ~ 256x256 픽셀 사이의 썸네일이 저장되며 JPEG or PNG 형식

      thumbcache_1024.db : 256x256 ~ 1024x1024 픽셀 사이의 썸네일이 저장되며 모두 JPEG 형식

       

      thumbcache_##.db 파일을 파일 헤더 시그니처를 보면 다음과 같이 CMMM으로 시작하는 시그니처를 확인할 수 있습니다. 

       

      0x00 ~ 0x03  4byte : "CMMM" Signature

      0x04 ~ 0x07  4byte : Size of Thumbnail Entry

      0x08 ~ 0x0F  8byte : Unique ID

      0x30 ~ 0x41  34byte : File Name

      0x42 ~  : Thumbnail Data

      '$ 포렌식 $ > $ 포렌식 기술적 이론 $' 카테고리의 다른 글

      디스크 분석을 위한 vmdk 변환 및 가상 이미지 부팅!  (0) 2019.09.18
      디렉터리 엔트리 분석 [Directory Entry Analysis]  (0) 2019.07.20
      MBR (Master Boot Record)  (0) 2019.06.24
      하드디스크(Hard Disk Drive, HDD) 구조와 작동 원리 및 각종 규격  (0) 2019.06.24
      FTK Imager을 이용해서 디스크 이미지 만들기  (3) 2019.06.13

      관련글 관련글 더보기

      댓글

    Designed by Tistory.

    티스토리툴바