Очень важной задачей правоохранительных органов на современном этапе является задача по выявлению и раскрытию преступлений, связанных с изготовленим и распространением детской порнографии в сети Internet. При этом основным следственным деяствием является процесс поиска и отображения удаленных фотографий интимного содержания на компьютере потерпевшего и подозреваемого [1].
При записи данных на компьютер файловая система осуществляет размещение информации на магнитном диске не большими порциями, кластерами. Номера кластеров, которые заняты тем или иным файлом, а так же номера свободных кластеров хранит таблица размещения файлов. При удалении файла в его имени и в таблице устанавливается соответствующая метка, которая указывает, что кластеры этого файла являются свободными для записи новых файлов, но сами данные в этих кластерах остаются без изменения и могут быть легко восстановлены, пока эта область фактически не будет перезаписана. Когда файл удаляется при помощи специальной программы-шредера, которая многократно перезаписывает содержимое кластеров файла случайными данными, то восстановить удаленный файл нельзя.
Обратим внимание на некоторые особенности операционной системы Windows при работе с изображениями. Речь идет о файле Thumbs.db [2]. Thumbs.db является системным элементом, в котором хранятся кэшированные эскизы картинок для предварительного просмотра следующих форматов: PNG, JPEG, HTML, PDF, TIFF, BMP и GIF. Эскиз генерируется при первом просмотре пользователем изображения в файл, который по своей структуре соответствует формату JPEG независимо от формата исходника. В дальнейшем этот файл (Thumbs.db) операционная система использует для реализации функции просмотра миниатюр изображений при помощи Проводника. Благодаря данной технологии ОС не нужно каждый раз сжимать изображения для формирования миниатюр, тем самым расходуя вычислителные ресурсы системы. Теперь для этих нужд компьютер будет обращаться к элементу, в котором уже расположены миниатюры картинок.
Объекты Thumbs.db нельзя увидеть в обычном режиме работы Windows, так как данные файлы по умолчанию являются скрытыми. В ранних версиях Windows они располагаются практически в любом каталоге, где имеются картинки. В современных версиях для хранения файлов данного типа существует отдельная директория в каждом профиле.
Если безвозратно удалить какое либо изображение с диска (из корзины), то эскиз удаленной картинки по прежнему останется на месте в файле базы данных Thumbs.db. Таким образом с помощью специального программного обеспечения (ПО) сохраняется возможность узнать, какие же фотографии ранее хранились на компьютере.
Чтобы увидеть файл Thumbs.db (рис.1) надо включить отображение скрытых файлов:ПапкаСервисСвойства папокВидОбласть «Дополнительные параметры»Переключатель «Показывать скрытые файлы и папки»Убрать флажок «Скрывать защищенные системные файлы». Как видим, в Windows XP объекты Thumbs.db располагаются в той же папке, где находились соответствующие картинки.
Вернемся к нашему рис.1 и безвозратно удалим из папки изображение 3.jpg.JPG. Теперь попробуем просмотреть файл Thumbs.db. Сразу нужно сказать, что встроенными инструментами операционной системы сделать это невозможно. Придется применять стороннее ПО. Такой программой, которая позволит просмотреть нам данные из Thumbs.db, является Thumbnail Database Viewer, которая находится в свободном доступе в Internet и не требует инсталляции. Программа просмотра запускается из архива Thumbnail Database Viewer.zip (рис.2).
С помощью навигационной области слева (рис.2). перейдите к тому каталогу, в котором находятся интересующие вас эскизы. Произведите его выделение и щелкните «Search». После завершения поиска в специальном поле слева внизу отображаются адреса всех найденных в указанной директории объектов Thumbs.db. Для того, чтобы посмотреть, какие картинки в себе содержит конкретный объект, просто выделяем его. В правой части окна программы отобразятся все картинки, эскизы которых он хранит, в том числе и эскиз удаленного файла 3.jpg.JPG.
Начиная с Windows Виста, под хранение кэшированных изображений была выделена отдельная директория для каждой учетной записи.
Она располагается по следующему адресу: C:Usersнаименование_профиляAppDataLocalMicrosoftWindowsExplorer. Как и в предыдущем примере в отдельной папке создадим два изображения (рис.3), а затем одно из них удалим безвозвратно (с красной меткой).
Для просмотра дириктори кэшированных изображений нашей учетной записи используем программу Thumbcache Viewer с открытым доступом в сети Internet. Из скаченного архива запускаем файл Thumbcache_ viewer.exe и в появившемся окне последовательно нажимаем пункты «File» и «Open» (рис.4). После этого выделяем объект thumbcache_ 256 (рис.5) и жмем кнопку «Открыть». Открывается список изображений (рис.6), которые содержит конкретный объект эскизов. Изображения, которые редактировались последними, расположены в самом низу списка. Для просмотра изображения достаточно просто выделить его наименование в перечне и оно отобразится в дополнительном окошке. Следует особо отметить, что даже при удалении нашей папки Эскизы2 целиком, эскизы изображений все равно сохраняются в списке изображений. Эта технология принципиально отличается от технологии в Windows XP, в которой при удалении папки увидеть эскизы изображений нельзя.
Литература:
1. Федотов Н.Н. Форензика – компьютерная криминалистика – М.: Юридический Мир, 2007. – 432 с.
2. Тютюшев М. Файл эскизов thumbs.db. [Електронний ресурс]. — Режим доступа: https://lumpics.ru/what-is-the-file-thumbs-db/.
|
Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License
Знайшли помилку? Виділіть помилковий текст і натисніть Ctrl + Enter
