thumbs.db

G

ghostdog

0
Mir geht die Sache nicht aus dem Kopf. Diese thumbs.db, die von WindowsXP standardmäßig in jeden Ordner (mit Bildern oder icons) erstellt werden und Daten über die miniaturdarstellung von bildern etc. in dem Ordner beinhalten, würd ich mir gerne mal im klartext ansehen. Ich vermute, dass diese Thumbs.db ganz interessant ist, wenn man sie mal "entschlüsselt" hat. Aber wie geht das? Eine dll oder exe entschlüssel ich ja mit einem Defacer wie ollydebug. Aber wie zum Teufel krieg ich die thumbs.db effektiv zu sehen?
 
Hi.
Besser spät als nie. :)

Ich hab da mal ein bischen gegooglet und folgendes ist bei rausgekommen:

Thumbs.db is a structured storage with an index stream named "Catalog" and numbered streams containing the thumbnails. This is on Windows XP. Win2K stores the data using NTFS native streams, instead of a thumbs.db file.

You can extract thumbnails by calling IShellFolder::GetUIObjectOf to obtain an IExtractImage interface for each item you're interested in. But unfortunately you don't get a free ride on the shell's thumbnail cache.

Thumbs.db is a OLE Storage object. It follows a OLE storage specification to store jpegs in a RGB format however it misses some information, so extracting individual jpegs would not solve the problem cause there is no viewer that can understand this format.
Zum Vergrößern anklicken....


Das Forensic Toolkit soll in der Lage sein die thumbs.db zu extrahieren: http://www.accessdata.com/Product04_Download.htm
Whitepaper: http://www.accessdata.com/files/whitepapers/tdb.pdf

Außerdem auch EnCase Forensic: http://www.guidancesoftware.com/products/v5_index.asp
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben