O arquivo Thumbs.db é criado quando você ativa a exibição das imagens em modo de miniatura, porém em um processo de Análise Forense explorar o conteúdo deste arquivo é indispensável para procurar evidências de um crime de pedofilia por exemplo.
Neste exemplo todas as imagens foram apagadas porém o arquivo Thumbs.db ainda existe, vale ressaltar que este arquivo fica oculto no sistema.
Para extrair o conteúdo do arquivo Thumbs.db vamos utilizar a ferramenta forense vinetto disponível no BackTrack, Kali Linux e entre outras distribuições, neste exemplo usaremos o Kali Linux.
Utilizando o prograna FileZilla conecte no Kali e copie o arquivo Thumbs.db para a o Kali no diretório /root.
Usando o comando ls -l liste o arquivo Thumbs.db que foi copiado.
Linuxls -l
Execute o comando vinetto –-help para conhecer as opções que a ferramenta disponibiliza.
O vinetto também pode ser acessado no Kali através do menu: Applications > Kali Linux > Forensics > Forensic Analysis Tools > vinetto.
Linuxvinetto –-help
-o : Informa o output (saída) ou local onde os arquivos serão colocados.
-H : Informa que será criado um relatório no formato HTML.
vinetto -Ho /var/www/vinetto/ Thumbs.db
/var/www/vinetto : É o diretório que armazenará os arquivos extraídos.
Os arquivos foram extraídos para o diretório /var/www/vinetto/.
Acesse o diretório /var/www/vinetto/ e listar os arquivos extraídos.
Linuxcd /var/www/vinetto/ ls
No Windows acesse o endereço http://IP-DO-KALI/vinetto para visualizar o relatório em HTML.
Novamente usando o programa FileZilla copie os arquivos extraídos para a pasta Imagens no Windows.
Pronto! os arquivos foram recuperados com sucesso.