/* 프로그램 실행 환경 : 윈도우 10 */
accessdata.com/product-download/ftk-imager-version-4-5
FTK Imager Version 4.5
AccessData provides digital forensics software solutions for law enforcement and government agencies, including the Forensic Toolkit (FTK) Product.
accessdata.com
www.itsamples.com/thumbnail-database-viewer.html
Thumbnail Database Viewer - IT Samples
Thumbnail Database Viewer enables you to view thumbnail cache, which is used by Windows to speed up the display of thumbnails in folders (thumbs.db, ehthumbs.db, thumbcache_*.db files). The cache stores all thumbnails created in a folder even if the origin
www.itsamples.com
* 썸네일(thumbnail) : .db
: 엄지손톱이라는 뜻으로, 사진 또는 그림을 엄지손톱 크기로 작게 표현한 것을 의미한다.
우리는 다운 받은 사진을 윈도우 탐색기의 미리보기를 통해 작게 볼 수 있다.
그것은 윈도우가 자체적으로 썸네일을 생성하고 데이터베이스에 저장해두기 때문이다.
사용자가 미리보기를 한 번이라도 했으면, 썸네일이 데이터베이스에 저장되어 있는 것이다.
사용자가 원본 파일을 삭제하더라도, 데이터베이스에 남은 썸네일까지 삭제되는 것은 아니다.
우리가 미리보기를 이용해서 생성된 썸네일이 저장되는 데이터베이스는 어디일까?
[root]/Users/uesr name/App Data/Local/Microsoft/Windows/Explorer
생성된 썸네일은 위의 경로에 저장된다.
썸네일을 분석하기 위해서 사용할 수 있는 프로그램이 많은데,
나는 그중 하나인 Thumbnail Database Viewer를 사용했다.
썸네일 포렌식에 대해서 더 알고 싶다면~ 아래의 블로그를 참고하자.
forensic-proof.com/archives/2092
썸네일 포렌식 분석 (Thumbnail Forensics) | FORENSIC-PROOF
forensic-proof.com
이번 문제는 우리의 추억들!
실수로 사진을 지웠는데, 그걸 복구하는 문제이다.
파일을 다운받자~용량이 커서 오래 걸림!
다운받은 파일을 압축 해제하고, AD1 파일이 있으니까 FTK Imager를 사용하러 가보자.
파일을 열면, 사용자의 PC 내부 파일이 쭉 뜬다.
실수로 파일을 지웠다고 하니까 이리저리 돌아다니면서 찾아보자.
그런데 생각보다 디렉토리가 너무 많아서 머리가 아팠다.
그래서 내가 다운받은 파일 중에 힌트가 없지 않을까 싶어서,
txt파일로 들어가봤다.
파일을 열면 이렇게 나온다.
FTK Imager로 생성된 파일인데, 포렌식 툴은 보고서 작성해주는 기능이 있다고 했다.
그 기능을 사용해서 추출한 파일인 것 같다. (아마도)
조금만 내리면, 우리가 보려고 했던 AD1 파일의 정보가 나온다.
커스텀 컨텐트 소스라고 적혀있으니까, 사용자가 추가한 파일이 아닐까싶다.
자세히 보면, 파티션 이름, 그리고 파일 경로처럼 보이는 것이 보인다(노란색)
그리고 그 파일 경로의 끝에는 파일명이 보인다(초록색)
그래서, 나는 이 txt 파일에 나와있는 경로를 위주로 찾아보기 시작했다.
이름에 있는 확장자는 jpg인데, 파일이 뜨지가 않는다. Type도 jpg가 아니라, $I30 INDX Entry다.
그래서 $I30 INDX Entry에 대해서 검색해보니까, NTFS 인덱스 구조에 대한 설명이 나왔다.
* NTFS
: 윈도우 파일시스템
NTFS 인덱스가 무엇이냐면,
파일시스템에서 데이터를 쉽게 찾을 수 있도록 순서대로 정렬한 것이다.
책의 맨 뒷장에 있는 인덱스(색인)를 보고 특정 정보를 쉽게 찾을 수 있는 것처럼,
파일 시스템이 사용하는 인덱스라고 보면 된다.
그런데 여기서 $I30 INDX Entry라고 뜨는 것은 다음의 이유와 같다.
파일이 삭제되어도 인덱스 엔트리는 삭제되지 않는다.
File -> Index Entry
이렇게 파일이 인덱스 엔트리를 포인터처럼 가리키고 있는데
만약 파일이 삭제되면, 파일 자리에 인덱스 엔트리가 들어간다!
그래서 파일이 없으니까 인덱스 엔트리가 파일의 자리에 들어가서 Type이 저렇게 뜨는 것 같다.
이건 내가 생각한 부분인데,
NTFS 인덱스 구조와 동작에 대해서 더 알고 싶으면 아래의 블로그를 참고하자.
NTFS 인덱스 구조와 동작
1. NTFS 인덱스 구조 NTFS에서는 인덱스란 파일시스템에서 특정 데이터(예를 들면 파일)를 빠르게 찾기위해서 정렬된 순서로 저장된 속성이나 데이터라고 할 수 있다. 이때 저장된 속성이나 데
horensic.tistory.com
찾았다!!!!!
NTFS 인덱스 구조에 대해서 알아보면서, 내가 발견한 youtube.jpg 파일이 삭제된 파일임을 알았다.
이제 썸네일을 찾으러 가보자!
FTK Imager로 아래의 경로에 들어가보자.
[root]/Users/uesr name/App Data/Local/Microsoft/Windows/Explorer
해당 경로로 들어가면, 파일이 쭉 있다.
썸네일의 확장자는 .db인데, 사이즈가 정말 다양하군
나는 저 많은 아이들 중에서 256이라고 적힌 파일을 Export했다.
Thumbnail Database Viewer로 보면 이렇게 뜬다요~
원래 왼쪽 디렉토리에 쭉 나오는데 개인정보 너무 많아서 가렸어용~
쭈우욱 내리다보면...항상 나를 얄밉게 낚는 귀여운 그림도 있고,
그 밑에는 플래그가 있는 사진이 나온다!!! 훗