Stefan Augustin
Bachelor Thesis, Hochschule Wismar, September 2023
Autor: Stefan Augustin
Titel: Forensische Analyse des Microsoft Windows Thumbnail Cache
Abstrakt
In der IT-Forensik dient der Microsoft Windows Thumbnail Cache als potentielle Quelle von Beweisen, die über Schuld oder Unschuld im Strafverfahren entscheiden kann. Ein genaues Verständnis über diese Beweisquelle ist bei der forensischen Arbeit also von großer Bedeutung. Diese Thesis verfolgt deshalb das Ziel einer vergleichenden Analyse der Mechanismen des Thumbnail Cache der Betriebssysteme Microsoft Windows 10 und Windows 11. Optionen zur Metadatengewinnung werden ebenso untersucht wie Manipulationsmöglichkeiten und deren forensischer Nachweis. Die praktische Umsetzung erfolgte mit Hilfe virtueller Maschinen, in denen der Aufbau und das Verhalten des Thumbnail Cache durch Experimente untersucht wurde. Die gewonnenen Erkenntnisse zeigen, dass die Einträge des Thumbnail Cache anhand bestimmter Regeln in den jeweiligen Datenbank- und Verwaltungsdateien erstellt werden. Es existieren nur wenige Quellen für Metadaten, die noch dazu Einschränkungen unterworfen sind. Versuche haben gezeigt, dass der Thumbnail Cache als ganzes deaktiviert und vorhandene Einträge beliebig manipuliert werden können. Ein forensischer Nachweis ist dabei nicht in jedem Fall möglich.
Abstract
In IT forensics, the Microsoft Windows thumbnail cache serves as a potential source of evidence that can determine guilt or innocence in criminal proceedings. An accurate understanding of this source of evidence is therefore of great importance in forensic work. This thesis therefore pursues the objective of a comparative analysis of the mechanisms of the thumbnail cache of the operating systems Microsoft Windows 10 and Windows 11. Sources for metadata acquisition are examined as well as ways of manipulation and their forensic detection. The practical implementation was carried out with virtual machines, in which the structure and behavior of the thumbnail cache was investigated by experiments. The findings show that the thumbnail cache entries are created according to certain rules in the respective databases and management files. There are only a few sources for metadata, which are also subject to restrictions. Tests have shown that the thumbnail cache can be deactivated as a whole and existing entries can be manipulated at will. Forensic proof is only partially possible.