Bir çoğumuz Windows XP ile birlikte gelen ve bir dizin içinde yer alan fotoğrafları tam ekran görüntülemeden küçük boyutlarda ilgili fotoğrafların/resimlerin görüntülenmesi özelliğine uzun zamandır aşinayızdır. Bu özellik bize adli bilişim incelemelerinde de oldukça yardımcı olmaktadır. Özellikle analiz edilen bilgisayardaki silinmiş resim ve fotoğrafların tespit edilmesinde kritik rol oynayan bu özellik temelde Thumbs.db isimli bir dosyaya dayanır. Kullanıcı tarafından bir dizinin içeriğindeki fotoğraf/resim dosyalarının thumbnail formatında gösterilmesinin istenmesinin ardından bu fotoğraf/resimlere ait çok küçük boyutlarda kopyaları oluşturulur ve Thumbs.db isimli dosyaya kaydedilir. Windows XP işletim sisteminde Thumbs.db dosyası her bir dizin içinde sadece o dizinde yer alan resimleri saklamak için kullanılırken Windows 7 ile birlikte artık bütün thumbnail görüntüleri tek bir yerdeki Thumbs.db dosyasında tutulmaktadır.
Aşağıdaki ekran görüntüsünde bir Windows XP bilgisayarda içeriği thumbnail formatında gösterilen bir dizin ve “gizli” Thumbs.db dosyası gösterilmiştir.
Bu dosyanın içeriğini bir çok lisanslı adli bilişim yazılımı okuyabilmektedir. Örneğin aşağıdaki ekran görüntüsü EnCase Forensics uygulamasının 7 sürümü kullanılarak örnek bir Thumbs.db dosyasının analiz edilmesinden sonra elde edilmiştir. Uygulama ilgili dosyanın içindeki küçük boyutlu resimleri teker teker çıkartıp o resim dosyasına ilişkin detayları da sağlamaktadır ekran görüntüsünden görülebileceği üzere kullanıcı bu resimleri en son 19.11.2006 tarihinde saat 06:11’de thumbnail formatında görüntülemiştir. .
Thumbs.db dosyasını parse etmek için kullanılabilecek açık kaynak kodlu uygulamalara örnek olarak da Vinetto’yu verebiliriz. Bu uygulama kendisine girdi olarak verilen Thumbs.db dosyasını parse ederek içindeki resimleri ve bu resimlerin orjinal isimler ile, en son ne zaman güncellendikleri bilgisini çıktı olarak verir. Vinetto uygulamasını http://vinetto.sourceforge.net/ adresinden indirebilirsiniz. Bu uygulamanın örnek kullanımını aşağıdaki ekranda görebilirsiniz.
vinetto’yu –H parametresi ile çalıştırırsanız bu durumda size HTML formatında bir rapor sunarak daha kolay analiz etme ve raporlarınızda kullanma imkanı sunacaktır. Vinetto tarafındna üretilen örnek bir HTML raporu aşağıda gösterilmiştir.
Windows Vista/7 ile birlikte artık Thumbs.db dosyası kullanılmamaya başlandı. Bunun yerine her bir kullanıcı için kullanıcının profilinde yer alan ve tam yolu aşağıda gösterilen dizin altında yine aşağıdaki tabloda gösterilen isimlerdeki dosyalarda saklanmaktadır. Bu dosyalar kullanıcı resimleri thumbnail olarak yada slayt gösterisi olarak görüntülemek istediğinde oluşturulmaktadır. Bu dosyaların içinde herhangi bir tarih/zaman bilgisi saklanmamaktadır. Bunun yanında ilgili resim dosyalarının orjinal lokasyon bilgisinin bazı durumlarda bu dosyalarda saklandığını biliyoruz.
Bu dosyaların örnek bir Windows sistemi üzerinde ne şekilde yer aldığını göstermesi açısından aşağıdaki ekran görüntüsüne bakabilirsiniz.
Bu dosyaların içeriğini Thumbcache Viewer uygulaması ile görüntüleyebiliyoruz. Aşağıdaki ekran görüntüsünde örnek olarak seçilen bir Thumbcache dosyasının içeriği görüntülenmiştir. Listede yer alan kayıtlara tıklandığı zaman yan tarafta açılan ikinci pencerede ilgili resmin thumbnail hali gözükmektedir. Thumbcache Viewer uygulamasının son sürümüne https://code.google.com/p/thumbcache-viewer/ adresinden ulaşabilirsiniz. Aşağıda örnek bir kullanıma ilişkin örnek bir ekran görüntüsü yer almaktadır.
Daha önce değindiğimiz gibi bazı durumlarda ilgili resim dosyasının orjinal lokasyonunu tespit edebiliyoruz. Bunun için Thumbcache Viewer uygulamasında Tools->Map File Paths yolunu izlenerek aşağıda gösterilen ekranı açıyoruz ve Initial Scan Directory kısmında dizin karşılaştırma işleminin hangi dizinden itibaren yapılacağını belirtiyoruz ve Scan butonuna basarak işlemi başlatıyoruz. İşlem bittiğinde yine aşağıdaki şekilde gösterildiği gibi eşleştirilen dosya sayısını gösterir ekran ile karşılaşıyoruz. Bu işlemin ardından ilgili resimlerin orjinal lokasyonlarını gösterir şekilde liste yeniden düzenlenir.
