eCDFP (Module-6) (Window Forensics) (Part - 3 )

 Forensics Analysis လုပ်တဲ့အခါ  Computer ထဲကနေ Photo တွေ Recovery လုပ်တယ်။ အရင်ကဖျက်ထားတဲ့ Photo တွေရလာမယ်။ ဒါမျိုးက သိပ်ဆန်းတဲ့ ကိစ္စမဟုတ်။ ဖျက်ထားတဲ့ Photo တွေက Storage ထဲမှာ ကျန်နေသေးတဲ့အတွက် Recovery ကနေ Photo အပြင်ကျန်တဲ့ Data တွေပါရလာနိုင်ပါတယ်။ 

Photo တွေက Storage ထဲမှာလုံး၀ကိုမရှိတော့ရင် Recovery မရနိုင်လျင် ဘယ်လိုလုပ်မလဲ။ ?????

Computer အပြင် Phone တွေမှာလဲ Thumbnail File က ဓာတ်ပုံတွေကို ကြည့်တဲ့နေရာမှာ ပိုမြန်အောင် ရှိနေပြန်ပါတယ်။ Thumbnail File သာမရှိရင် User ကနေ ဓာတ်ပုံတွေကိုကြည့်တဲ့အခါ System ကနေ နောက်တစ်ခါ ပြန်ပြီး Loading လုပ်နေရတဲ့အတွက် Resources ပိုသုံးရပါတယ်။ Network အပိုင်းမှာရှိတဲ့ Caching စနစ်လိုပဲ Photo တွေကြည့်တဲ့အခါ ပိုမြန်အောင် Photo Cache အနေနဲ့ ရှိတဲ့ သဘောဖြစ်ပါတယ်။ အောက်မှာဖော်ပြထားတဲ့ပုံက ဖုန်းကနေ ဓာတ်ပုံရိုက်လိုက်တဲ့ အခါ Digital Camera Image (DCIM) Folder ထဲမှာ ရှိနေတဲ့ Thumbnail File တစ်ခုဖြစ်ပါတယ်။

FBI က 2008 ခုနှစ်လောက်ကနေစပြီး Thumbnail Or Thumbcache ကို  Analysis လုပ်ပြီး အရင်က ရှိခဲ့တဲ့ ဓာတ်ပုံတွေကို ရယူပါတယ်။ Thumbcache File တွေက ဘာလုပ်‌ပေးသလဲဆိုရင် Window Explore အလုပ်လုပ်တာပိုသွက်လာအောင် ဓာတ်ပုံတွေကို Size အသေးအနေနဲ့ Window Vista  အထိ Thumb.db ထဲမှာသိမ်းထားပါတယ်။ ဓာတ်ပုံရှိတဲ့ နေရာတိုင်းမှာ Thumb.db ကရှိပါတယ်။

Window Vista နောက်ပိုင်းမှာ Thumb.db ကဓာတ်ပုံရှိတဲ့ Location တိုင်းမှာမရှိတော့ပဲ "Thumbcache.db” အဖြစ်  

C:\Users\<username>\AppData\Local\Microsoft\Windows\Explorer အထဲမှာသွားပြီးသိမ်းထားပါတယ်။  နောက်ပိုင်း Window Version တွေမှာတော့ Photo တွေကို ကြည့်တဲ့အခါ View ကနေ ကိုယ်လိုချက်တဲ့ပုံစံ (Size) ရွေးချယ်ပြီးကြည့်နိုင်ပါတယ်။ ရွေးချယ်လိုက်တဲ့ View/Size အပေါ်မူတည်ပြီး Thumbcache Database File တွေကွဲသွားပါမယ်။ Thumbcache Database File တွေက Number တွေနဲ့ကွဲပြားသွားပြီး Number တွေက ကိုယ်ရွေးချယ်ပြီးကြည့်လိုက်တဲ့ thumbcache ရဲ့ Size Of View ပဲဖြစ်ပါတယ်။ 32,16 ဆိုတာတွေက Image Pixel Size တွေဖြစ်ပြီး Window 10/11 မှာ 16 Pixel – 2560 Pixel အထိရှိပါတယ်။ (Deleted Photo (1,2) ကို Deleted လုပ်ထားပြီးအောက်မှာ Thumbnail & File Path & Photo Version, File Size, MAC Time ကိုပြန်ကြည့်ပါမယ်။)

Example - thumbcache_16, thumbcache_32, thumbcache_2560

Thumbcache.db Location 

Thumbcache.db အား Thumbnail Viewer နဲ့အလွယ်တကူကြည့်နိုင်ပြီး။ Forensics Analysis လုပ်တဲ့နေရာမှာ အသုံးပြုနိုင်ပါတယ်။ တစ်ကယ်လို့ User က Photo တွေကိုပဲ Delete လုပ်ပြီး  Thumbcache ကိုမဖျက်ရင် ဖျက်ခဲ့တဲ့ Photo ရဲ့Thumbnail File တွေအပြင်။ Photo Version, File Size, MAC Time ကိုပါပြသပေးပါတယ်။ Network Share Information, Attached လုပ်ခဲ့တဲ့ Storage Device Information တွေကိုလဲ ပြသပေးပါတယ်။

How To Analysis ?

Open Source ဖြစ်တဲ့ thumbcacheviewer  ကိုအသုံးပြုထားပါတယ်။

Thumbcache.db ထဲမှာ Thumbnail File ရဲ့ မူလ Original Path မပါရှိတဲ့အတွက် Windows.edb  ကိုအသုံးပြုပြီး Original Path ကိုရှာဖွေပါမယ်။ Windows.edb  ရှိတဲ့နေရာက -

C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb

Extensible Storage Engine (ESE) database ဖြစ်တဲ့ Windows.edb ကို thumbcacheviewer နဲ့မသုံးခင် အောက်ပါအတိုင်း Repair ပြုလုပ်ပါမယ်။ Windows.edb ဆိုတာက Window Search အသုံးပြုတဲ့အခါမှာ ပိုမိုမြန်ဆန်အောင် File / Folder တွေရဲ့ Metadata/ Properties တွေကို သိမ်းဆည်းထားတာဖြစ်ပါတယ်။

Windows.edb ကို Repair ပြုလုပ်ပြီးရင် thumbcacheviewer နဲ့အောက်ပါအတိုင်းတွဲသုံးပြီး Thumbnail Original File Path တွေကိုသိနိုင်ပါတယ်။

(Deleted Photo -1 Thumbcache) 

(Deleted Photo -2 Thumbcache) 

(Deleted Photo - 2 Metadata)