[썸네일 파일]
썸네일 파일이란 영화나 이미지 등을 모아놓은 폴더에서 볼 수 있는 파일로 기본적으로 숨김속성이어서 일반 PC에서는 좀처럼 보기 힘들다.(숨김 파일 보기가 체크되어 있다면 그렇지도 않다.)
썸네일 파일은 같은 폴더에 있는 이미지나 영화의 이미지를 미리 볼 수 있게 끔 하는 파일로 삭제된 이미지라도 썸네일을 통해 복구가 가능 해 포렌식적으로 조사해 볼 만한 파일이다.
컴퓨터를 잘 알지 못하는 일반인이라면 이미지를 지울때 썸네일 파일까지는 지우지 않기 때문에 만약 범죄에 관련된 이미지등이 지워졌다면 해당 폴더의 썸네일 파일을 분석하면 이미지를 얻을 수 있을 것이다.
썸네일 파일은 OS뿐만이 아니라 디지털 카메라등에도 있으며 핸드폰 카메라 사진 폴더에도 썸네일 파일이 존재한다.
파일의 구조는 딱히 볼게 없으며, 썸네일 파일에는 모든 이미지가 JPG 파일포맷이나, PNG 파일 포맷으로 들어가기 때문에 이 두 포맷의 시그니처만 알고 있다면 복원하는데 어려움은 없다.
아래는 안드로이드 기본 카메라 사진 폴더에서 썸네일 파일을 가져와 Hex Viewer 등으로 Open 한 것이다.

[그림 1 - 안드로이드 스마트폰 썸네일 파일]

JPEG의 경우 헤더 시그니처가 "FF D8" 이고 마지막 시그니처가 "FF D9" 이므로 중간 값들을 모두 복사해 새로운 파일로 만들어주면 jpg 파일을 뽑을 수 있다.

[그림 2 - 추출한 JPG 파일]

이번에는 PNG 파일 추출을 해보자.

[그림 3 - 안드로이드 스마트폰 썸네일 파일]

PNG의 헤더 시그니처는 "89 50 4E 47" 이고 마지막 시그니처는 "AE 42 60 82" 이다.

추출하면 다음과 같은 PNG 파일이 나온다.

 

[그림 4 - 추출한 PNG 파일]


썸네일 파일안에 이미지를 볼 수 있게 해주는 도구들도 물론 존재한다.

Thumbnail Database Viewer,  Thumbs.db Viewer 등의 도구들이 있으니 개인적으로 한번씩 테스트 해보면 도움이 될 것이다.

'[+] Forensic' 카테고리의 다른 글

하드디스크의 숨겨진 영역  (2) 2012.01.15
Web Browser  (0) 2012.01.13
썸네일(Thumbnail) 파일 분석  (2) 2012.01.12
프리/슈퍼패치 파일  (0) 2012.01.12
바로가기(LNK) 파일  (0) 2012.01.11
  1. 김연주 2012.01.26 18:25

    hex 를 이용해서 jpg 파일을 어떻게 뽑아준건지 궁금합니다!!!!!!!!!!!!!!!!

    • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2012.01.26 21:01 신고

      hex 에디터를 이용해서 헤더 시그니처와 풋 시그니처를 찾은 다음에 헤더 시그니처부터 풋 시그니처까지의 내용을 복사하셔서 새로운 바이너리 파일을 만드시면 되요.

      이 모든건 hex 에디터로 ^^

+ Recent posts