O arquivo Thumbs.db é criado quando você ativa a exibição das imagens em modo de miniatura, porém em um processo de Análise Forense explorar o conteúdo deste arquivo é indispensável para procurar evidências de um crime de pedofilia por exemplo.

Neste exemplo todas as imagens foram apagadas porém o arquivo Thumbs.db ainda existe, vale ressaltar que este arquivo fica oculto no sistema.

Para extrair o conteúdo do arquivo Thumbs.db vamos utilizar a ferramenta forense vinetto disponível no BackTrack, Kali e entre outras distribuições, neste caso usaremos o Kali

01 Passo

Utilizando o prograna FileZilla conecte no Kali e copie o arquivo Thumbs.db para a o Kali no diretório /root

02 Passo

Usando o comando ls -l liste o arquivo Thumbs,.db que foi copiado.

root@linux:~# ls -l

03 Passo

Execute o comando vinetto – -help para conhecer as opções que a ferramenta disponibiliza.

O vinetto também pode ser acessado no Kalu através do menu: Applications > Kali Linux > Forensics > Forensic Analysis Tools > vinetto

root@linux:~# vinetto – -help

-o : Informa o output (saída) ou local onde os arquivos serão colocados

-H : Informa que será criado um relatório no formato HTML

root@linux:~# vinetto -Ho /var/www/vinetto/ Thumbs.db

/var/www/vinetto : É o diretório que armazenará os arquivos extraídos.

04 Passo

Os arquivos foram extraídos para o diretório /var/www/vinetto/

05 Passo

Acesse o diretório /var/www/vinetto/ para listar os arquivos extraídos.

root@linux:~# cd /var/www/vinetto/

root@linux:/var/www/vinetto# cd /var/www/vinetto/

06 Passo

No Windows acesse o endereço http://<IP-DO-KALI>/vinetto para visualizar o relatório em HTML.

07 Passo

Novamente usando o programa FIleZilla copie os arquivos extraídos para a pasta Imagens no Windows.

08 Passo

Pronto! os arquivos foram recuperados com sucesso.

Como remover e não permitir a criação de arquivos thumbs.db

Muitos de vocês já foram fazer um ZIP ou copiar alguns arquivos e junto deles sempre tem um arquivo “oculto” chamado thumbs.db. Esse arquivinho é bem chato pois muitas vezes não pode ser removido pois está sendo usado pelo Windows.

Porque isso acontece? Simples. Toda vez que você visualiza imagens no windows em modo miniatura, o windows gera automaticamente esse arquivo para criar um “cache” das imagens e carregar a exibição mais rapidamente na próxima vez que você acessar o mesmo diretório. Bom, se você assim como eu não suporta mais a criação desses arquivos temporários, aí vai a dica do meu amigo Carcaça para poder desabilitar a criação deles.

São 3 passos bem simples:

1. Clique em iniciar > executar, escreva gpedit.msc e clique em OK (isso abrirá o Editor de diretivas do windows);
2. Agora vá em Configuração do usuário > Modelos Administrativos > Componentes do Windows > Windows Explorer e dê um duplo clique em Desativar o armazenamento em cache das miniaturas em thumbs.db ocultos;
3. Na janela que irá abrir, marque a opção Desabilitado e cliquem em OK.

Pronto, a partir de agora, esses arquivos thumbs.db indesejados não serão mais criados automaticamente.