Thumbs.db

Aus IT-Forensik Wiki
Version vom 7. Juli 2021, 17:14 Uhr von St202414 (Diskussion | Beiträge) (Die "Thumbs.db" beinhaltet Thumbnails und kann zum Nachweis von (vormals) vorhandenen Bild- bzw. Videodateien dienen.)

Definition

Bei der "Thumbs.db" handelt es sich um eine von Windows automatisch erzeugte Datei. In ihr sind Minuaturansichten der auf dem System - z.B. mittels Miniaturansicht des Explorers - betrachteten Bild- und Videodateien enthalten.

Nutzen

Die Inhalte der "Thumbs.db" (genannt "Thumbnails") wurden erzeugt, um bei erneuter Betrachtung eine verkürzte Ladezeit zu erreichen.

Speicherort

Sie wird in dem Verzeichnis angelegt und gespeichert, in dem die Bild- oder Videodateien betrachtet wurde. Für den Standartuser ist sie nicht sichtbar. Soll sie angezeigt werden, so ist im Windows-Explorer in den Ordneroptionen das Feld „Ausgeblendete Dateien, Ordner und Laufwerke anzeigen“ zu aktivieren, sowie „Geschützte Systemdateien ausblenden“ zu deaktivieren. ==

Deaktivierung

Ab Windows 7 kann die automatische Erstellung der "Thumbs.db" über die Änderung der Registry-Hives "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" und "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer" unterbunden werden.

Forensische Bedeutung

Sind Miniaturansichten in der "Thumbs.db" vorzufinden, so lässt sich daraus auf ein Betrachten und somit auch auf einen Besitz der vorgefundenen, u.U. inkriminierten, Dateien schließen, auch wenn die Datei selbst gelöscht wurde. In den Metadaten der einzelnen Miniaturansichten ist jeweils nur das Datum des letzten schreibenden Zugriffs auf die Originaldatei hinterlegt. Es lassen sich keine Rückschlüsse auf Erstell-, Änderungs- oder Löschungsdatum der Originaldatei treffen.

Abgerufen von „http://it-forensik.fiw.hs-wismar.de/index.php?title=Thumbs.db&oldid=1889