电子数据取证过程中,删除数据恢复当属让办案人员头疼的一大难点,包括恢复涉案聊天记录、文件、音视频、图片/照片等等。
根据数据类型的不同,想要直接恢复数据,其难度也不同。因而间接挖掘删除数据线索的方法,也成为了另一种有效的“恢复手段”。
此前,航哥与大家分享过微信取证过程中的数据恢复关键技巧,本文航哥就再以电脑中的图片文件为例,与大家分享:利用电脑中一些“删不掉”的文件,“恢复”图片文件。
许多小伙伴应该都遇到过这种情况:电脑里面有一些文件想删却删不掉,而且还会一直提示“文件正在使用”的弹窗。就算好不容易删除了,不就后它又会“重生”,让人误以为电脑是不是中了什么病毒。
而其中有一种典型文件类型就是Windows系统中的thumbs.db文件。
01
Windows系统中的Thumbs.db文件
简单来说,thumbs.db就是Windows电脑中的缩略图数据库文件,当机主通过“缩略图查看”方式查看图片文件时,系统就会自动生成一个thumbs.db的文件,这样能够有效提升图片的显示刷新效率。
一般情况下,thumbs.db文件都是隐藏的,不容易被发现。
而从Windows Vista开始,整个文件系统的预览缩略图均集中存储在一个位置:
%user%AppDataLocalMicrosoftWindowsExplorer
系统可以不用进入文件的文件夹位置以访问该文件的缩略图缓存。
02
macOS中的.DS_Store文件
与thumbs.db文件相似,macOS系统中也有一类“被隐藏”、“删除可重生”的特殊文件,它就是.DS_Store文件。
它是macOS操作系统中用于存储文件夹的自定义属性的隐藏文件,如图标位置、视图设置、背景图像等。使用“访达”查看文件夹,它就会自动创建。
03
thumbs.db与.DS_Store的取证应用
像thumbs.db和.DS_Store这两个在普通人眼中“删不掉”的无用文件,在取证人眼里却是“喜闻乐见”的,在一些特定场景下,它们也可以给案件侦查带来重要突破。
通过解析thumbs.db,办案人员能够深度挖掘被删除的图片文件线索,实现“删除图片数据的恢复”需求。
而通过解析.DS_Store文件也可以辅助办案人员了解目标电脑中被删除的文件信息,辅助案件深挖拓线。
基于对上述两种文件类型的实战解析需要,平航介质取证分析软件CS6100也实现了自动解析和专用解析项直观展示。
CS6100 解析缩略图文件
CS6100可对目标计算机镜像或磁盘进行分析,自动探查其中thumbs.db以及.DS_Store文件痕迹,并实现快速解析。
对于目标计算机中已被删除的图片以及文件信息的提取挖掘,起到间接恢复效果,辅助挖掘案件隐藏线索。
同时对于获取到的图片缩略图数据,CS6100也支持导出另存为图片文件。
CS6100 导出缩略图文件
相关功能已上线
产品试用、技术支持等需求
可请联系区域销售
原文始发于微信公众号(平航科技):介质取证-“删不掉”的文件也能恢复数据
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论