[썸네일 파일]
썸네일 파일이란 영화나 이미지 등을 모아놓은 폴더에서 볼 수 있는 파일로 기본적으로 숨김속성이어서 일반 PC에서는 좀처럼 보기 힘들다.(숨김 파일 보기가 체크되어 있다면 그렇지도 않다.)
썸네일 파일은 같은 폴더에 있는 이미지나 영화의 이미지를 미리 볼 수 있게 끔 하는 파일로 삭제된 이미지라도 썸네일을 통해 복구가 가능 해 포렌식적으로 조사해 볼 만한 파일이다.
컴퓨터를 잘 알지 못하는 일반인이라면 이미지를 지울때 썸네일 파일까지는 지우지 않기 때문에 만약 범죄에 관련된 이미지등이 지워졌다면 해당 폴더의 썸네일 파일을 분석하면 이미지를 얻을 수 있을 것이다.
썸네일 파일은 OS뿐만이 아니라 디지털 카메라등에도 있으며 핸드폰 카메라 사진 폴더에도 썸네일 파일이 존재한다.
파일의 구조는 딱히 볼게 없으며, 썸네일 파일에는 모든 이미지가 JPG 파일포맷이나, PNG 파일 포맷으로 들어가기 때문에 이 두 포맷의 시그니처만 알고 있다면 복원하는데 어려움은 없다.
아래는 안드로이드 기본 카메라 사진 폴더에서 썸네일 파일을 가져와 Hex Viewer 등으로 Open 한 것이다.
[그림 1 - 안드로이드 스마트폰 썸네일 파일]
JPEG의 경우 헤더 시그니처가 "FF D8" 이고 마지막 시그니처가 "FF D9" 이므로 중간 값들을 모두 복사해 새로운 파일로 만들어주면 jpg 파일을 뽑을 수 있다.
[그림 2 - 추출한 JPG 파일]
이번에는 PNG 파일 추출을 해보자.
[그림 3 - 안드로이드 스마트폰 썸네일 파일]
PNG의 헤더 시그니처는 "89 50 4E 47" 이고 마지막 시그니처는 "AE 42 60 82" 이다.
추출하면 다음과 같은 PNG 파일이 나온다.
[그림 4 - 추출한 PNG 파일]
썸네일 파일안에 이미지를 볼 수 있게 해주는 도구들도 물론 존재한다.
Thumbnail Database Viewer, Thumbs.db Viewer 등의 도구들이 있으니 개인적으로 한번씩 테스트 해보면 도움이 될 것이다.
'[+] Forensic' 카테고리의 다른 글
| 하드디스크의 숨겨진 영역 (2) | 2012.01.15 |
|---|---|
| Web Browser (0) | 2012.01.13 |
| 프리/슈퍼패치 파일 (0) | 2012.01.12 |
| 바로가기(LNK) 파일 (0) | 2012.01.11 |
