Visualizando o conteúdo do Thumbs.db

AGRADEÇA AO AUTOR COMPARTILHE!

Continuando na linha forense, escrevo esse artigo importante sobre a preocupação quanto aos arquivos gerados pelo sistema operacional Windows e que o usuário nem sabe para que eles existem. Quanta informação é armazenada em nossos computadores e nem damos valor a esses arquivos tão “inofensivos”.

Em uma pasta contendo aquivos de imagens (OS Windows), se um dia você selecionou a forma de visualização “miniaturas”, com certeza encontrará um arquivo com o nome de Thumbs.db. A razão de existência desse arquivo é criar um cache das imagens em miniatura para agilizar o aparecimento das imagens pequenas na visualização dentro da própria pasta, no windows explorer.

Sem esse arquivo, quando você acessa, por exemplo, dentro da pasta “Meus Documentos” a pasta “Minhas Imagens”, caso tenha 100 arquivos de fotos e você selecionar a opção de visualização “miniaturas”, vai demorar um certo tempo para que o windows mostre a miniatura de todas as fotos. Ao final de abrir todas as fotos, será criado o arquivo Thumbs.db, com o cache das miniaturas. Quando entrar novamente nessa mesma pasta, e visualizar as miniaturas, as fotos já estarão carregadas (miniaturas), pois, foram lidas  diretamente do cache.

Mesmo se você apagar as fotos da pasta e manter o arquivo Thumbs.db no diretório, um perito poderá abrir esse arquivo em uma ferramenta forense, como por exemplo, o Thumbs.db Viewer e visualizar todas as fotos em miniatura, que um dia, estavam armazenadas dentro da pasta.

Muita das vezes, por não conseguir mais “visualizar” na tela as informações que antes existiam, acreditamos que os dados estarão indisponíveis para acesso. Grande engano! Esse pensamento é um prato cheio para o Perito Digital que, utilizando a técnica e o seu conhecimento, irá levantar evidências nos locais mais remotos e improváveis, pelo menos para os usuários comuns.

Portanto, estude cade vez mais, não pare de procurar conhecimento pelo fato de já ter aprendido muita coisa. Nós erramos quando acreditamos que não temos mais o que aprender. O sucesso é a busca eterna pelo conhecimento.

AGRADEÇA AO AUTOR COMPARTILHE!

Roney Medice

Mais artigos deste autor »

Coordenador de Segurança da Informação do Terminal Retroportuário, no Porto de Vitória, com mais de 22 anos de experiência na área. Consultor de Segurança da Informação do Grupo Otto Andrade. Membro Fundador do CSA - Cloud Security Alliance, Membro do Comitê ABNT/CB-21 em Segurança da Informação. Graduado em Ciência da Computação, Direito e MBA em Gestão de Segurança da Informação.


6 Comentários

Roney Médice
2

Rafael,

Na área da computação forense, muita informação é valiosa e vários técnicos de informática que se acham “experientes” não tem a menor ideia sobre o assunto.

Obrigado pela leitura do artigo.

Roney Médice
4

Marcelo,

Primeiro eu expliquei o que é o arquivo e demonstrei como visualizar o conteúdo através do programa o Thumbs.db Viewer. Pode ser que a maior parte do artigo seja sobre a explicação sobre o que é o thumbs.db.

Obrigado pelo retorno e colocarei o título mais próximo do conteúdo que contiver maior parte do texto.

Abraços,

Tiago
6

Muito interessante o artigo, continue assim trazendo novidades e nos estimulando na busca por mais conhecimento..
abraço

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">