O arquivo Thumbs.db é criado quando você ativa a exibição das imagens em modo de miniatura, porém em um processo de Análise Forense explorar o conteúdo deste arquivo é indispensável para procurar evidências de um crime de pedofilia por exemplo.

Neste exemplo todas as imagens foram apagadas porém o arquivo Thumbs.db ainda existe, vale ressaltar que este arquivo fica oculto no sistema.

Para extrair o conteúdo do arquivo Thumbs.db vamos utilizar a ferramenta forense vinetto disponível no BackTrack, Kali Linux e entre outras distribuições, neste exemplo usaremos o Kali Linux.

01 - Passo

Utilizando o prograna FileZilla conecte no Kali e copie o arquivo Thumbs.db para a o Kali no diretório /root.

02 - Passo

Usando o comando ls -l liste o arquivo Thumbs.db que foi copiado.

Linux
ls -l

03 - Passo

Execute o comando vinetto –-help para conhecer as opções que a ferramenta disponibiliza.

O vinetto também pode ser acessado no Kali através do menu: Applications > Kali Linux > Forensics > Forensic Analysis Tools > vinetto.

Linux
vinetto –-help

-o : Informa o output (saída) ou local onde os arquivos serão colocados.
-H : Informa que será criado um relatório no formato HTML.

Linux
vinetto -Ho /var/www/vinetto/ Thumbs.db

/var/www/vinetto : É o diretório que armazenará os arquivos extraídos.

Os arquivos foram extraídos para o diretório /var/www/vinetto/.

04 - Passo

Acesse o diretório /var/www/vinetto/ e listar os arquivos extraídos.

Linux
cd /var/www/vinetto/

ls

05 - Passo

No Windows acesse o endereço http://IP-DO-KALI/vinetto para visualizar o relatório em HTML.

06 - Passo

Novamente usando o programa FileZilla copie os arquivos extraídos para a pasta Imagens no Windows.

07 - Passo

Pronto! os arquivos foram recuperados com sucesso.

Vídeo

YouTube


  Autor

Marcos Henrique

 São Paulo/SP



  Ferramentas Forense

© 2020 - 100SECURITY

Contato