Analisis forense de los ficheros Thumbs.db

Los ficheros Thumbs.db  son ficheros propios de los sistemas Microsoft Windows, empleados para almacenar información que tiene que ver con las imágenes y fotografías contenidas en un directorio.

Los sistemas Windows pueden almacenar información de las miniaturas de las imágenes de un directorio del sistema, así como sus metadatos asociados.

El objetivo de estos ficheros es acelerar la aparición de imágenes, ya que las imágenes más pequeñas no se recalculan cada vez que el usuario visualiza las miniaturas de una carpeta. Como consecuencia de lo anterior, si en un sistema Windows empleamos la opción “Mostrar archivos ocultos”, aparecerán con frecuencia ficheros Thumbs.db acompañando a las imágenes y fotografías que tengamos en un directorio, siempre que hayamos empleado la vista de miniaturas.

Técnicamente hablando, los ficheros Thumbs.db son OLE structured storage files, o si lo preferimos, ficheros OLE de almacenamiento estructurado.

Extracción de información

Vamos a coger un fichero Thumbs.db públicamente accesible, también necesitaremos un programa de análisis, en este caso, Vinetto, orientado al análisis forense de estos ficheros.

El resultado de la ejecución es el siguiente:

pepito@nas:~/thumbs$ vinetto Thumbs.db

Root Entry modify timestamp : Thu Mar 22 20:51:51 2007

——————————————————

0001 Thu Mar 22 16:53:30 2007 {A42CD7B6-E9B9-4D02-B7A6-288B71AD28BA}
0002 Fri Dec 29 20:38:00 2006 boton_panel-pln-on.gif
0003 Fri Dec 29 20:38:00 2006 _boton_panel-hab-off.gif
0004 Fri Dec 29 20:38:00 2006 _boton_panel-hab-on.gif
0005 Fri Dec 29 20:38:00 2006 boton_panel-det-off.gif
0006 Fri Dec 29 20:38:00 2006 boton_panel-det-on.gif
0007 Fri Dec 29 20:38:00 2006 boton_panel-fts-off.gif
0008 Fri Dec 29 20:38:00 2006 boton_panel-fts-on.gif
0009 Tue Jan 30 19:41:06 2007 boton_panel-hab-off.gif
0010 Tue Jan 30 19:43:30 2007 boton_panel-hab-on.gif
0011 Fri Dec 29 20:38:00 2006 boton_panel-itn-off.gif
0012 Fri Dec 29 20:38:00 2006 boton_panel-itn-on.gif
0013 Fri Dec 29 20:38:00 2006 boton_panel-pln-off.gif
0014 Thu Jan 18 13:41:22 2007 boton-detalles.gif
0015 Thu Jan 18 13:41:44 2007 boton-obtenga_su_presupuesto.gif
0016 Thu Jan 18 13:53:36 2007 boton-obtenga_su_presupuesto_personalizado.gif
0017 Wed Jan 17 18:29:38 2007 boton-seleccionar.gif
0018 Thu Feb 1 12:45:52 2007 boton-vea_su_presupuesto.gif
0019 Wed Feb 7 17:24:56 2007 encabezado.jpg
0020 Thu Mar 22 20:06:28 2007 telefono-callcenter.gif
0021 Fri Dec 29 20:38:00 2006 boton_panel-pub-off.gif
0022 Fri Dec 29 20:39:00 2006 boton_panel-pub-on.gif
0023 Fri Dec 29 20:38:00 2006 boton-aceptar.gif
0024 Fri Dec 29 20:38:00 2006 boton-buscar.gif
0025 Thu Mar 22 20:50:12 2007 telefono-encabezado.gif
0026 Thu Mar 22 20:18:18 2007 telefono-presupuesto.gif
0027 Fri Dec 29 20:39:00 2006 titulo-buscador.gif

Como podéis comprobar, el fichero contiene, para cada imagen existente en ese directorio, una relación de fechas y horas de última modificación, así como nombre de los ficheros que contenía el directorio en el momento de generar el archivo de caché de miniaturas.¿Para qué perder el tiempo analizando estos ficheros?

Como resulta fácil imaginar, el principal uso que se le puede dar a esta herramienta forense es tratar de demostrar la existencia de un fichero de imagen en un momento dado en un equipo que está siendo analizado. Aunque no genere pruebas irrefutables, ya que para eso haría falta que Thumbs.db contuviera hashes de los ficheros previsualizados, lo que ralentizaría el funcionamiento del equipo, pero puede resultar útil para establecer, en un proceso de investigación, un punto de partida: tener indicios sobre si un fichero con un nombre y una fecha de modificación determinada estuvo o no presente en un directorio en un momento determinado.

¿Puedo evitar la generación de ficheros Thumbs.db?

Sí. En el menú Herramientas de cualquier carpeta del sistema, seleccionamos Opciones de Carpeta, pestaña Ver y activamos la entrada “No alojar en caché las vistas en miniatura”.

Tengan en cuenta que la desactivación de esta función ralentiza la previsualización de miniaturas.

De un modo paralelo, obviamente, hay que eliminar los ficheros ya existentes.

Etiquetas: , , ,

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s


A %d blogueros les gusta esto: