Thumbs.db

Definition

Bei der "Thumbs.db" handelt es sich um eine von Windows automatisch erzeugte Datei. In ihr sind verkleinerte Bilder der auf dem System - z.B. mittels Miniaturansicht des Explorers - betrachteten Bild- und Videodateien enthalten.

Nutzen

Die Inhalte der "Thumbs.db" (genannt "Thumbnails") werden erzeugt, um bei erneuter Betrachtung eine verkürzte Ladezeit zu erreichen. Bei der Leistung heutiger Computer ist dies jedoch als obsolet zu betrachten.

Speicherort

Die "Thumbs.db" wird in dem Verzeichnis angelegt und gespeichert, in dem die Bild- oder Videodateien betrachtet wurden. Unter Verwendung von Standard-Ordneroptionen ist sie nicht sichtbar. Soll sie angezeigt werden, so ist im Windows-Explorer in den Ordneroptionen das Feld „Ausgeblendete Dateien, Ordner und Laufwerke anzeigen“ zu aktivieren, sowie „Geschützte Systemdateien ausblenden“ zu deaktivieren.

Deaktivierung

Ab Windows 7 kann die automatische Erstellung der "Thumbs.db" über die Änderung der Registry-Hives "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" und "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer" unterbunden werden.

Forensische Bedeutung

Sind Miniaturansichten in der "Thumbs.db" vorzufinden, so lässt sich daraus auf ein Betrachten und somit auch auf einen Besitz der vorgefundenen, u.U. inkriminierten, Dateien schließen, auch wenn die Datei selbst gelöscht wurde. In den Metadaten der einzelnen Miniaturansichten ist jeweils nur das Datum des letzten schreibenden Zugriffs auf die Originaldatei hinterlegt. Es lassen sich keine Rückschlüsse auf Erstell-, Änderungs- oder Löschungsdatum der Originaldatei treffen.