јналитика

»спользование централизованных баз данных эскизов дл€ исследовани€ зашифрованных данных

24 марта, 2009

¬ данной статье будут рассмотрены особенности баз данных эскизов в Windows Vista и в среде GNOME (Linux) при работе с зашифрованными файловыми системами.

¬ведение

Ёскизы (англ. thumbnails) Ч уменьшенные изображени€, дающие приблизительное представление об их оригиналах.

¬ Windows ME/2000/XP/2003 эскизы хранились в файлах Thumbs.db, которые находились в директори€х с графическими файлами; файлы Thumbs.db представл€ют собой структурированные OLE-контейнеры[1]. Ќачина€ с Windows Vista эскизы хран€тс€ централизованно дл€ каждого пользовател€, при этом формат контейнеров претерпел значительные изменени€.

јналогична€ централизованна€ система хранени€ эскизов присутствует во множестве окружений рабочего стола дл€ Unix-like систем (например, GNOME и KDE).

¬ данной статье будут рассмотрены особенности баз данных эскизов в Windows Vista и в среде GNOME (Linux) при работе с зашифрованными файловыми системами.

Ѕазы данных эскизов в Windows Vista

ќтображение эскизов в Windows Explorer

—труктура

¬ Windows Vista база данных эскизов хранитс€ в следующей директории: \Users\<им€ пользовател€>\AppData\Local\Microsoft\Windows\Explorer

ƒиректори€ содержит следующие файлы:

thumbcache_idx.db (индекс базы данных)

thumbcache_NN.db, где ЂNNї обозначает максимальный размер (в пиксел€х) большей стороны содержащихс€ в файле эскизов (например, thumbcache_96.db)

thumbcache_sr.db

‘айл Ђthumbcache_idx.dbї €вл€етс€ индексом всей базы данных Ч в нем хранитс€ информаци€ о соответствии эскизов в файлах Ђthumbcache_NN.dbї с уникальными идентификаторами эскизов, а также врем€ модификации исходных файлов[2]. —игнатура заголовка: строка ЂIMMMї.

‘айлы Ђthumbcache_NN.dbї содержат в себе эскизы и начинаютс€ со строки ЂCMMMї. Ёскизы хран€тс€ в различных форматах, например, BMP и PNG, в Ђпачкахї (chunks) данных с целью исключени€ фрагментации. —тоит отметить, что в базе данных эскизов отсутствует €вна€ информаци€ о пут€х к файлам, которым соответствует тот или иной эскиз, вместо пути используетс€ специальный идентификатор (8 байт), который описывает исходный файл в системе. ƒанный идентификатор называетс€ ЂThumbnail Cache IDї (иногда ЂThumbnail Filenameї, ЂFile Referenceї, в данной работе будет использоватьс€ термин Ђим€ файла эскизаї); описание механизма генерации данного идентификатора в публичном доступе отсутствует.

‘айл

‘ормат эскизов

—одержимое эскизов

thumbcache_32.db

BMP

Ёскизы файлов и директорий

thumbcache_96.db

BMP

Ёскизы файлов и директорий

thumbcache_256.db

JPG, PNG

Ёскизы файлов (JPG) и директорий (PNG)

thumbcache_1024.db

JPG

Ёскизы файлов

ƒл€ определени€ исходного графического файла можно использовать им€ файла эксиза (предварительно преобразовав его из Unicode и представив в виде последовательности HEX), которое можно найти в базе данных Windows Search Indexer (файл Windows.edb, который, как правило, находитс€ в директории \ProgramData\Microsoft\Search\Data\Applications\Windows); стоит отметить, что данный метод позвол€ет найти исходные графические файлы только в проиндексированных директори€х.

»м€ файла эскиза можно найти в файлах Ђthumbcache_NN.dbї на некотором смещении назад от начала графических данных. ƒл€ автоматизации процесса можно использовать специализированные продукты, которые будут описаны ниже.

»м€ файла эскиза перед заголовком JPEG

 ќсобенности

ѕри копировании директории с базой данных эскизов на работающей системе средствами ќ— необходимо учитывать то, что в некоторых случа€х Windows может очистить содержимое базы данных до окончани€ процесса копировани€. ≈сли директори€ с базой данных эскизов защищена при помощи EFS, то ее содержимое будет очищено при первом же копировании!

¬ механизме генерации эскизов в Windows Vista были обнаружены следующие особенности:

1. Ёскизы генерируютс€ вне зависимости от того на каком носителе находитс€ файл (на локальном или на удаленном, на жестком диске или на CD и т.п.);

2. —уществующие эскизы не удал€ютс€ при удалении исходных файлов;

3. ƒл€ файлов, зашифрованных при помощи EFS, эскизы не сохран€ютс€;

3а. ≈сли директори€ с базой данных эскизов зашифрована при помощи EFS, то эскизы сохран€ютс€ и дл€ зашифрованных файлов;

4. —уществующие эскизы не удал€ютс€, если файлы шифруютс€ при помощи EFS.

ѕодобные особенности привод€т к следующему:

1. ¬озможность определени€ того, какие графические данные хранились на подключенных сменных носител€х;

2. ¬озможность просмотра эскизов графических файлов на некоторых зашифрованных разделах и контейнерах;

3. ¬озможность определени€ так называемых Ђскрытых контейнеровї.

ѕроведенные тесты показали, что следующие продукты позвол€ют Windows создавать эскизы графических файлов, расположенных на зашифрованных файловых системах (сам эскиз при этом хранитс€ на незашифрованном системном разделе):

- TrueCrypt 6.1a (был протестирован режим создани€ контейнеров в виде файлов, тесты были проведены как с обычными, так и со скрытыми контейнерами)

- BestCrypt v. 8 (был протестирован режим создани€ контейнеров в виде файлов, тесты были проведены как с обычными, так и со скрытыми контейнерами)

- PGP Desktop 9.9 (был протестирован режим создани€ контейнеров в виде файлов)

ћетодика проведени€ тестов описана ниже.

»звлечение эскизов

ƒл€ извлечени€ эскизов из базы данных можно использовать как специализированные продукты (например, DM Thumbs Ч www.dmthumbs.com или FTK Ч www.accessdata.com), так и программное обеспечение, предназначенное дл€ извлечени€ файлов по их внутренней структуре (этот процесс больше известен как Ђfile carvingї). ѕримеры таких программ: foremost (http://foremost.sf.net/) и hachoir-subfile (часть проекта Hachoir; http://hachoir.org/).

ѕрограммное обеспечение дл€ извлечени€ файлов по их внутренней структуре широко используетс€ в компьютерной криминалистике дл€ поиска данных на поврежденных и отформатированных носител€х, а также дл€ восстановлени€ удаленных файлов с некоторых Ђэкзотическихї файловых систем (например, XFS). Ќаиболее распространенный принцип работы подобных программ Ч поиск заголовка файла (англ. Ђheaderї) определенного формата (например, JPEG) с последующим копированием всех данных до достижени€ сигнатуры конца файла (англ. Ђfooterї).   сожалению, данный способ имеет определенные недостатки, например, невозможность восстановлени€ фрагментированных файлов. ќднако, существующего функционала вполне достаточно дл€ извлечени€ эскизов из файлов базы данных.[3]

Ѕазы данных эскизов в GNOME

 —труктура

¬ среде GNOME эскизы графических файлов хран€тс€ в домашней директории пользовател€ (~/.thumbnails/normal, где Ђ~ї обозначает домашнюю директорию текущего пользовател€, например, /home/pupkin).  аждый эскиз представл€ет собой графический файл формата PNG, в метаданные которого включена информаци€ служебного характера (путь к исходному изображению, размеры исходного изображени€ и т.п.).

 ќсобенности

Ёскизы генерируютс€ вне зависимости от точки монтировани€, что приводит к сохранению эскизов с примонтированных зашифрованных файловых систем и сменных носителей. — другой стороны, эскизы удал€ютс€ при удалении исходных файлов средствами GNOME.

ѕример эскиза, созданного дл€ графического файла на примонтированном контейнере TrueCrypt (метаданные были извлечены при помощи программы hachoir-metadata, котора€ €вл€етс€ частью проекта Hachoir; http://hachoir.org/):

$ hachoir-metadata ~/.thumbnails/normal/0d97afdc637ac86d75d13e72172dc77c.png

Metadata:

- Image width: 128 pixels

- Image height: 122 pixels

- Bits/pixel: 24

- Pixel format: RGB

- Compression rate: 1.6x

- Compression: deflate

- Producer: GNOME::ThumbnailFactory

- Comment: Thumb::Image::Width=779

- Comment: Thumb::Image::Height=744

- Comment: Thumb::URI=file:///media/truecrypt1/123.jpg

- Comment: Thumb::MTime=1216153400

- MIME type: image/png

- Endian: Big endian

ѕример эскиза, созданного дл€ графического файла на CD:

$ hachoir-metadata ~/.thumbnails/normal/f34c0ff3299e0a0b87a4a9a3a4d994ff.png

Metadata:

- Image width: 128 pixels

- Image height: 96 pixels

- Bits/pixel: 24

- Pixel format: RGB

- Compression rate: 1.5x

- Compression: deflate

- Producer: GNOME::ThumbnailFactory

- Comment: Thumb::Image::Width=3264

- Comment: Thumb::Image::Height=2448

- Comment: Thumb::URI=file:///media/%D0%BE%D0%BA%D1%82%2025%202006/P1010043.JPG

- Comment: Thumb::MTime=1161800029

- MIME type: image/png

- Endian: Big endian

ѕроцесс извлечени€ эскизов, сохраненных в Windows Vista

ќписанна€ ниже методика извлечени€ эскизов была использована при тестировании различных криптографических продуктов, предназначенных дл€ защиты данных на устройствах хранени€ информации (жесткие диски, CD и т.п.).

1. ¬ систему был скопирован заранее созданный контейнер, в котором содержатс€ графические данные. —копированный контейнер был подключен.

2. ѕодключенный контейнер (в виде локального диска) был открыт в Windows Explorer, который был настроен на отображение эскизов (по-умолчанию).

—одержимое контейнера (на фотографии Ч лунный модуль ———–)

3. Ѕыл подключен скрытый контейнер.

4. ѕодключенный скрытый контейнер был открыт в Windows Explorer.

—одержимое скрытого контейнера

5. —одержимое директории с базой данных эскизов было скопировано на переносной носитель и подключено к компьютеру с ќ— GNU/Linux (Helix).

6. ѕри помощи утилиты scalpel были извлечены все графические данные из базы данных с эскизами.

»звлеченные эскизы

7. —опоставление эскизов с исходными файлами.

ќтображение эскизов в FTK 1.81 (интересующие имена файлов эскизов подчеркнуты)

ƒл€ нахождени€ исходного файла дл€ эскиза с именем Ђ7ab75dd2c38546c4.jpgї был произведен поиск по базе данных ЂWindows.edbї шестнадцатиричного значени€ 7a b7 5d d2 c3 85 46 c4. –езультат поиска подчеркнут на нижнем рисунке красным цветом; путь к исходному файлу выделен.

–езультат поиска в HEX редакторе

ѕоиск через Windows PowerShell (7ab75dd2c38546c416 = 884263955317006509210)

»сходный файл дл€ эскиза с именем Ђa6a09993edfc2001.jpgї найден не был, т.к. директори€ с этим файлом не индексируетс€.

ƒальнейшие направлени€ исследований

- »сследование механизма генерации эскизов в следующих верси€х Windows;

- »зучение проблемы автоматического сопоставлени€ графических файлов и их эскизов.

—сылки

 

јвтор: —уханов ћаксим
ITDefence

(√олосов: 11, –ейтинг: 3.58)

или введите им€



—траницы: 1  2  
24-03-2009 08:56:30
—пасибо, что поведали о базах данных эскизов.
|
ќтветить —сылка
24-03-2009 10:34:00
я у себ€ в системе эскизы регул€рно чищу: со временем их становитс€ очень много. cd ~/.thumbnails/normal rm *
|
ќтветить —сылка
r14
24-03-2009 11:03:31
это всЄ, конечно, интересно, но какова практическа€ область применени€? самое "полезное", что сходу приходит в голову - вы€вление пользователей, хран€щих нежелательные приватные фотоизображени€ на зашифрованных разделах корпоративных компьютеров »ћ’ќ, было бы интереснее рассмотреть вопрос о случа€х, когда в файловой системе остаютс€ не удалЄнные временные файлы, содержащие результаты работы пользователей в приложени€х. из них можно почерпнуть больше информации, чем из превьюшек изображений )
|
ќтветить —сылка
24-03-2009 21:09:16
Ќе хватает подзаголовка "”влекательное путешествие по диску в поисках sensitive data, которых на нем быть не должно", или короче - "ќ сколько нам открытий чудных..."
|
ќтветить —сылка
26-03-2009 23:50:10
“аки занимательно, какой-никакой путь утечки инфы
|
ќтветить —сылка
—траницы: 1  2  


                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                               




ѕриглашаем на VII ћеждународную конференцию "BUSINESS INFORMATION SECURITY SUMMIT'2014"