Thumbnail Cache unter Windows

Aus IT-Forensik Wiki
Version vom 7. Juli 2024, 17:50 Uhr von St231861 (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „== Einleitung == Thumbnail Caches sind spezielle Dateien, die unter Windows erstellt und verwendet werden, um Vorschaubilder von Dateien, wie bspw. von Bildern oder Videos, im Windows Explorer schneller anzeigen zu können. Diese Caches beinhalten kleine Vorschauversionen von Dateien, den sogenannten Thumbnails, um diese nicht bei jedem Öffnen eines Ordners neu generieren zu müssen. Damit wird dem Benutzer eine Vorschau des Inhalts der Datei ermöglicht…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Einleitung

Thumbnail Caches sind spezielle Dateien, die unter Windows erstellt und verwendet werden, um Vorschaubilder von Dateien, wie bspw. von Bildern oder Videos, im Windows Explorer schneller anzeigen zu können. Diese Caches beinhalten kleine Vorschauversionen von Dateien, den sogenannten Thumbnails, um diese nicht bei jedem Öffnen eines Ordners neu generieren zu müssen. Damit wird dem Benutzer eine Vorschau des Inhalts der Datei ermöglicht, ohne diese öffnen zu müssen. Dies macht das Durchsuchen und Verwalten von Dateien erheblich effizienter.[1][2]

Erstellung

Der Thumbnail Cache besteht aus einer Sammlung von Vorschaubildern, die automatisch erstellt werden, wenn ein Benutzer auf einen Ordner zugreift, der unterstützte Dateien enthält. Gleichzeitig wird bei jedem Ordnerzugriff überprüft, ob die Vorschaubilder bereits im Cache vorhanden sind. Sollte dies zutreffen, werden diese direkt aus dem Cache geladen, andernfalls neu generiert und im Cache abgelegt. Bei der Erstellung eines Thumbnails wird diesem eine eindeutige acht Byte lange ThumbnailcacheID zugeordnet, die zugleich den Namen des Thumbnails darstellt.[3]

Speicherung und Dateiformate

Die Cache-Dateien werden in Abhängigkeit der verschiedenen Windows-Versionen in unterschiedlichen Verzeichnissen auf der lokalen Festplatte gespeichert. Seit Windows Vista befinden sich die Cache-Dateien zentralisiert im Verzeichnis "C:\Users\<Benutzername>\AppData\Local\Microsoft\Windows\Explorer" und werden als „thumbcache_*.db“ abgelegt, wobei die angegebene Zahl die Größe der gespeicherten Thumbnails in Pixeln angibt [1][2]. In früheren Windows-Versionen werden sie hingegen als versteckte Dateien mit dem Namen „thumbs.db“ im selben Dateipfad wie die Originaldateien gespeichert. Die Cache-Dateien sind in einer Datenbankstruktur organisiert und besitzen die Endung „*.db“ (Database File Format). Die Thumbnails selbst werden im Dateiformat JPEG (Joint Photographic Experts Group), BMP (Windows Bitmap) oder PNG (Portable Network Graphics) gespeichert.[4]

Abbildung 1 zeigt die Thumbnail Cache Dateien eines Windows 10 Benutzerkontos.

Abbildung 1: Thumbnail Cache Dateien eines Windows 10 Benutzerkontos

Abbildung 2 zeigt eine der verschiedenen Vorschaugrößen im Windows Explorer eines Windows 10 Betriebssystems. Wie zu erkennen, werden bei der Vorschauansicht Thumbnails der Bilddateien angezeigt.

Abbildung 2: Ansicht „Große Symbole“

Struktur und Inhalt

Die Struktur der Datenbank umfasst eine Tabelle für Thumbnails. Diese enthält neben den eigentlichen Bilddaten der Thumbnails einen Index, der schnelle Zugriffe und die Verknüpfung von Dateipfaden und anderer Metadaten mit den gespeicherten Thumbnails ermöglicht, sowie die Metadaten selbst. Metadaten enthalten bspw. Informationen wie den Dateinamen, den Pfad zur Originaldatei, die Zeit des letzten Zugriffs und die Größe der Datei. Wenn eine Datei geändert oder gelöscht wird, kann das Betriebssystem anhand der Metadaten erkennen, ob das dazugehörige Vorschaubild im Cache aktualisiert oder entfernt werden muss.[5][6]

Tabelle 1 zeigt einen Überblick über den Thumbnail Cache seit seiner Einführung. Zu jeder Windows-Version wird angegeben, ob es sich bei der jeweiligen Cache-Datei um die thumbs.db oder um die thumbcache_*.db Datenbank handelt. Weiterhin wird ein Überblick darüber geboten, wo der Thumbnail Cache in Windows gespeichert wird und welche Metadaten er enthält.

Tabelle 1: Thumbnail Cache in Windows

Bedeutung in der Digitalen Forensik

Inkriminierte Bilddateien werden häufig mit Verbrechen wie Sexualdelikten, Drogendelikten, Waffendelikten oder Insider-Bedrohungen in Verbindung gebracht. Der Thumbnail Cache wurde dabei in Gerichtsverhandlungen als Beweismittel genutzt. Im Fall „Vereinigte Staaten von Amerika gegen S. Room“ (2006) wurde der Begriff „Thumbnail“ in der Rechtsprechung wie folgt definiert: „Der Begriff Thumbnail, der sich von der Skizze eines Künstlers ableitet, bezieht sich auf ein kleines Bild einer Grafikdatei, das angezeigt wird, um deren Identifizierung zu erleichtern.“[1]

Bei der forensischen Untersuchung stehen den Ermittlern verschiedene Vorgehensweisen zur Verfügung. Zum einen kann mit Hilfe von Filtern innerhalb verschiedener forensischer Programme, wie z.B. EnCase oder X-Ways Forensics, eine rekursive Suche nach allen auf dem Betriebssystem gespeicherten Bilddateien durchgeführt werden. Zum anderen kann gezielt nach Bilddateien in einem bestimmten Benutzerverzeichnis gesucht werden, was einen guten Anhaltspunkt bei der Suche und Lokalisierung von inkriminierten Bilddateien bietet.

Da der Thumbnail Cache nutzerbezogen ist, hat jedes Windows Benutzerkonto seinen eigenen Cache. Gespeicherte Thumbnails stammen daher vermutlich von Dateien, die der Nutzer selbst verarbeitet hat und die wichtige Einblicke in das Verhalten eines Nutzers bieten. Viele Nutzer wissen nicht, dass der Thumbnail Cache existiert. Und da der Cache nicht automatisch aktualisiert wird, bleiben Thumbnails inkriminierter Dateien selbst dann erhalten, wenn die Originaldateien gelöscht wurden. Erst das manuelle Löschen des Thumbnail Caches oder die Verwendung der Windows Datenträgerbereinigung mit entsprechender Option entfernen diese.[7] Das komplette Unterbinden des Zwischenspeicherns von Thumbnails ist seit Windows 8 nicht mehr möglich [8].

Quellen

  1. 1,0 1,1 1,2 „Forensic Analysis of Windows Thumbcache Files“ https://ssrn.com/abstract=2429795 [zuletzt besucht am 07.07.2024]
  2. 2,0 2,1 „Windows thumbnail cache“ https://en.wikipedia.org/w/index.php?title=Windows_thumbnail_cache&oldid=945661331 [zuletzt besucht am 07.07.2024]
  3. „An Analysis of the Structure and Behaviour of the Windows 7 Operating System Thumbnail Cache“ https://www.researchgate.net/publication/262327134_An_analysis_of_the_structure_and_behaviour_of_the_Windows_7_operating_system_thumbnail_cache [zuletzt besucht am 07.07.2024]
  4. „Under My Thumbs – Revisiting Windows Thumb nail Databases and Some New Revelations About the Forensic Implications.“ http://computerforensics.parsonage.co.uk/downloads/UnderMyThumbs.pdf [zuletzt besucht am 07.07.2024]
  5. „Forming a Relationship be tween Artefacts identified in thumbnail caches and the remaining data on a storage device.“ https://www.researchgate.net/publication/262327215_Forming_a_Relationship_between_Artefacts_identified_in_thumbnai_caches_and_the_remaining_data_on_a_storage_device [zuletzt besucht am 07.07.2024]
  6. „Vorschaubild“ https://de.wikipedia.org/wiki/Vorschaubild [zuletzt besucht am 07.07.2024]
  7. „Windows Thumbnail Cache“ https://de.wikipedia.org/w/index.php?title=Windows_Thumbnail_Cache&oldid=193998229 [zuletzt besucht am 07.07.2024]
  8. „Thumbnail Preview will not disable for me in Windows 11“ https://answers.microsoft.com/enus/windows/forum/all/thumbnail-preview-will-not-disable-for-me-in/af5a8da4-ded4-4720-a861-ea6bd9fea399 [zuletzt besucht am 07.07.2024]
Abgerufen von „http://it-forensik.fiw.hs-wismar.de/index.php?title=Thumbnail_Cache_unter_Windows&oldid=3030