Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

domingo, 16 de noviembre de 2008

Extracción forense de información de archivos thumbs.db

Los sistemas Windows pueden almacenar información de las miniaturas de las imágenes de un directorio del sistema, así como sus metadatos asociados. El objetivo de estos ficheros es acelerar la aparición de imágenes, ya que las imágenes más pequeñas no se recalculan cada vez que el usuario visualiza las miniaturas de una carpeta. Como consecuencia de lo anterior, si en un sistema Windows empleamos la opción "Mostrar archivos ocultos", aparecerán con frecuencia ficheros Thumbs.db acompañando a las imágenes y fotografías que tengamos en un directorio, siempre que hayamos empleado la vista de miniaturas.

Técnicamente hablando, los ficheros Thumbs.db son OLE structured storage files, o si lo preferimos, ficheros OLE de almacenamiento estructurado, sobre los que podéis obtener más información en MSDN.

Extracción de información

Para nuestro experimento vamos a coger un fichero Thumbs.db públicamente accesible, por ejemplo, alguno de estos. También necesitaremos un programa de análisis, en este caso, Vinetto, orientado al análisis forense de estos ficheros.

El resultado de la ejecución es el siguiente:

sergio@nas:~/thumbs$ vinetto Thumbs.db

Root Entry modify timestamp : Thu Mar 22 20:51:51 2007

------------------------------------------------------

0001 Thu Mar 22 16:53:30 2007 {A42CD7B6-E9B9-4D02-B7A6-288B71AD28BA}
0002 Fri Dec 29 20:38:00 2006 boton_panel-pln-on.gif
0003 Fri Dec 29 20:38:00 2006 _boton_panel-hab-off.gif
0004 Fri Dec 29 20:38:00 2006 _boton_panel-hab-on.gif
0005 Fri Dec 29 20:38:00 2006 boton_panel-det-off.gif
0006 Fri Dec 29 20:38:00 2006 boton_panel-det-on.gif
0007 Fri Dec 29 20:38:00 2006 boton_panel-fts-off.gif
0008 Fri Dec 29 20:38:00 2006 boton_panel-fts-on.gif
0009 Tue Jan 30 19:41:06 2007 boton_panel-hab-off.gif
0010 Tue Jan 30 19:43:30 2007 boton_panel-hab-on.gif
0011 Fri Dec 29 20:38:00 2006 boton_panel-itn-off.gif
0012 Fri Dec 29 20:38:00 2006 boton_panel-itn-on.gif
0013 Fri Dec 29 20:38:00 2006 boton_panel-pln-off.gif
0014 Thu Jan 18 13:41:22 2007 boton-detalles.gif
0015 Thu Jan 18 13:41:44 2007 boton-obtenga_su_presupuesto.gif
0016 Thu Jan 18 13:53:36 2007 boton-obtenga_su_presupuesto_personalizado.gif
0017 Wed Jan 17 18:29:38 2007 boton-seleccionar.gif
0018 Thu Feb 1 12:45:52 2007 boton-vea_su_presupuesto.gif
0019 Wed Feb 7 17:24:56 2007 encabezado.jpg
0020 Thu Mar 22 20:06:28 2007 telefono-callcenter.gif
0021 Fri Dec 29 20:38:00 2006 boton_panel-pub-off.gif
0022 Fri Dec 29 20:39:00 2006 boton_panel-pub-on.gif
0023 Fri Dec 29 20:38:00 2006 boton-aceptar.gif
0024 Fri Dec 29 20:38:00 2006 boton-buscar.gif
0025 Thu Mar 22 20:50:12 2007 telefono-encabezado.gif
0026 Thu Mar 22 20:18:18 2007 telefono-presupuesto.gif
0027 Fri Dec 29 20:39:00 2006 titulo-buscador.gif
0028 Fri Dec 29 20:38:00 2006 boton-busqueda_avanzada-off.gif
0029 Fri Dec 29 20:38:00 2006 boton-busqueda_avanzada-on.gif
0030 Fri Dec 29 20:39:00 2006 titulo-inicio.gif
0031 Fri Dec 29 20:39:00 2006 titulo-promociones.gif

------------------------------------------------------

Como podéis comprobar, el fichero contiene, para cada imagen existente en ese directorio, una relación de fechas y horas de última modificación, así como nombre de los ficheros que contenía el directorio en el momento de generar el archivo de caché de miniaturas.

¿Para qué perder el tiempo analizando estos ficheros?

Como resulta fácil imaginar, el principal uso que se le puede dar a esta herramienta forense es tratar de demostrar la existencia de un fichero de imagen en un momento dado en un equipo que está siendo analizado. Aunque no genere pruebas irrefutables, ya que para eso haría falta que Thumbs.db contuviera hashes de los ficheros previsualizados, lo que ralentizaría el funcionamiento del equipo, puede resultar útil para establecer, en un proceso de investigación, un punto de partida: tener indicios sobre si un fichero con un nombre y una fecha de modificación determinada estuvo o no presente en un directorio en un momento determinado.

¿Puedo evitar la generación de ficheros Thumbs.db?

Sí. En el menú Herramientas de cualquier carpeta del sistema, seleccionamos Opciones de Carpeta, pestaña Ver y activamos la entrada “No alojar en caché las vistas en miniatura”. Nótese que la desactivación de esta función ralentiza la previsualización de miniaturas.

De un modo paralelo, obviamente, hay que eliminar los ficheros ya existentes.

Fuente: http://www.sahw.com

# pistus

0 comentarios:

Publicar un comentario en la entrada