Thumbnail Or Thumbcache
Forensics Analysis လုပ်တဲ့အခါ Computer ထဲကနေ Photo တွေ Recovery လုပ်တယ်။ အရင်ကဖျက်ထားတဲ့ Photo တွေရလာမယ်။ ဒါမျိုးက သိပ်ဆန်းတဲ့ ကိစ္စမဟုတ်။ ဖျက်ထားတဲ့ Photo တွေက Storage ထဲမှာ ကျန်နေသေးတဲ့အတွက် Recovery ကနေ Photo အပြင်ကျန်တဲ့ Data တွေပါရလာနိုင်ပါတယ်။
Photo တွေက Storage ထဲမှာလုံး၀ကိုမရှိတော့ရင် ဘယ်လိုလုပ်မလဲ။ ?????
FBI က 2008 ခုနှစ်လောက်ကနေစပြီး Thumbnail Or Thumbcache ကို Analysis လုပ်ပြီး အရင်က ရှိခဲ့တဲ့ ဓာတ်ပုံတွေကို ရယူပါတယ်။ Thumbcache File တွေက ဘာလုပ်ပေးသလဲဆိုရင် Window Explore အလုပ်လုပ်တာပိုသွက်လာအောင် ဓာတ်ပုံတွေကို Size အသေးအနေနဲ့ Window Vista အထိ Thumb.db ထဲမှာသိမ်းထားပါတယ်။ ဓာတ်ပုံရှိတဲ့ နေရာတိုင်းမှာ Thumb.db ကရှိပါတယ်။ Window Vista နောက်ပိုင်းမှာ Thumb.db ကဓာတ်ပုံရှိတဲ့ Location တိုင်းမှာမရှိတော့ပဲ "Thumbcache.db” အဖြစ်
C:\Users\<username>\AppData\Local\Microsoft\Windows\Explorer အထဲမှာသွားပြီးသိမ်းထားပါတယ်။
Thumbcache.db ကို။ Thumbnail Viewer နဲ့အလွယ်တကူကြည့်နိုင်ပြီး။ Forensics Analysis လုပ်တဲ့နေရာမှာ အသုံးပြုနိုင်ပါတယ်။ အရင်ကရှိခဲ့တဲ့ ဓာတ်ပုံတွေရဲ့ Thumbnail File တွေအပြင်။ Network Share Information, Attached လုပ်ခဲ့တဲ့ Storage Device Information တွေကိုပါပြပေးပါတယ်။
Computer အပြင် Phone တွေမှာလဲ Thumbnail File က ဓာတ်ပုံတွေကို ကြည့်တဲ့နေရာမှာ ပိုမြန်အောင် ရှိနေပြန်ပါတယ်။ Thumbnail File သာမရှိရင် User ကနေ ဓာတ်ပုံတွေကိုကြည့်တဲ့အခါ System ကနေ နောက်တစ်ခါ ပြန်ပြီး Loading လုပ်နေရတဲ့အတွက် Resources ပိုသုံးရပါတယ်။ Network အပိုင်းမှာရှိတဲ့ Caching စနစ်လိုပဲ Photo တွေကြည့်တဲ့အခါ ပိုမြန်အောင် Photo Cache အနေနဲ့ ရှိတဲ့ သဘောဖြစ်ပါတယ်။
ဒုတိယပုံအရ ဖုန်းကနေ ဓာတ်ပုံရိုက်လိုက်တဲ့ အခါ Digital Camera Image (DCIM) Folder ထဲမှာ ရှိနေတဲ့ Thumbnail File တစ်ခုဖြစ်ပါတယ်။
Comments