Vista et ses thumbcaches

Je croule sous les expertises pédopornographiques.

J’ai quatre dossiers ouverts en parallèle!

Du jamais vu pour moi…

Pour ceux qui découvrent ce blog, je les invite à lire sur ce thème ce billet, celui-ci et celui-là.

Pour analyser un scellé, j’ai pris l’habitude de procéder d’abord à une prise d’image numérique du disque dur, pour ensuite étudier son contenu (celui de l’image, pas le disque dur original).

Pour étudier le contenu de l’image, je procède toujours à peu près de la même manière: je lâche mes chiens scripts à la recherche d’images sur l’ensemble du disque dur, et pendant que mes fidèles limiers explorent la totalité du disque dur (zone allouée et non-allouée), je flâne moi-même avec un explorateur de fichiers pour m’imprégner de la logique de son propriétaire.

Cette fois-ci ma flânerie me montrait une belle machine neuve sous Vista. Le PC a peu servi, ayant été acheté depuis peu. L’historique internet montre bien quelques sites, mais rien que de très banal: les grandes enseignes habituelles d’internet, et un peu de pornographie. Le tour préliminaire de la propriété me laisse penser que cette fois-ci je ne trouverai rien de criminel.

Je commence l’introduction de mon rapport en attendant les résultats de mes scripts de recherche. Je blogue un peu aussi.

Quelques heures plus tard, une douce voix un bip m’avertit que l’exécution des scripts est terminée.

Et là, surprise: tout un lot d’images pédophiles.

Mais où pouvaient bien se cacher ces images?

En zone allouée?

Des fichiers cachés?

Des fichiers effacés?

En zone non-allouée, pas même référencé dans la table des fichiers?

Dans des fichiers zippés?

Non.

Dans le fichier thumbcache_256.db…

Késako?

Lorsque vous visualisez le contenu d’un répertoire en mode d’affichage « Miniatures », une image réduite (une « miniature ») est placée sur la représentation de chaque fichier. Si votre fichier contient des images, vous pouvez ainsi en apercevoir une représentation réduite, ce qui vous permet de trouver rapidement la bonne image.

Sous Windows XP, tous les répertoires images explorés dans ce mode contiennent ensuite un fichier caché Thumbs.db

Ce fichier contient toutes les miniatures des fichiers du répertoire. Un régal pour toutes les analystes forensiques.

Pour Vista, Microsoft a modifié son système de mise en cache des vignettes. Plutôt que de créer un fichier caché Thumbs.db dans chaque répertoire, un groupe de fichiers thumbcache_*.db contient une réduction plus ou moins fine de chaque image stockée.

Dans cette affaire, le propriétaire de l’ordinateur avait particulièrement bien effacé la trace de ces activités criminelles.

Mais il n’avait pas pensé à effacer le fichier thumbcache_256.db de Vista, révélant ainsi sa petite collection de 300 images pédophiles particulièrement atroces.

Je ne suis pas un enquêteur.

Je ne suis pas un juge.

Je suis un simple informaticien au service de la justice.

Mais j’aimerai pourtant un jour y reconnaître l’un de ces visages pour pouvoir mettre la police sur les traces des ravisseurs.

Et parfois, c’est dur.

13 réflexions sur « Vista et ses thumbcaches »

  1. Dis, pour un type qui est plutot une brelle avec les shell (si quelqu’un peut me dire comment me debrouiller pour faire en sorte d’eviter qu’a chaque fois que j’ai un fichier avec un path qui contient des espaces me face exploser ma belle ligne de commande que j’ai preparer avec amour de m’exploser au visage, je suis preneur). Comment tu fais pour faire ce genre de « Script » ? Tu connaitrais pas un site ou quelque chose de suffisament basique pour s’initier au scriptage (et en general sur l’utilisatio des cli pour ceux qui n’ont connus que l’user friendly et le gui), parceque a chaque fois que je dois faire des operations sur plein de fichier a la fois, je sais que je pourrais me taper un simple fichier .bat ou autre qui ferait tout a ma place mais je dois me contenter de tout faire a la main.

    p.s. Sinon puis-je vous poser une question qui m’etait passer par l’esprit et a laquelle je n’ai eu aucune réponses satisfaisantes :
    firefox va-t-il effacer « proprement » son historique, ou va-t-il laisser plein de trace sur le disque dur.

    p.s.2 Lors de vos analyse du disque dur, est-ce que ca vous arrive en fouillant dans l’espace non alloues, de trouver parfois un disque « trop propre pour etre kosher ».

  2. N’est-ce pas vous rendre le travail un peu plus ardu que de réveler un détail technique comme celui-ci ? ça aiderait le pédophile pas trop au fait des techniques informatiques.

    Bon courage…

    • C'est clair !!!! C'est du grand n'importe quoi que de prévenir ces gens sur ce qu'ils doivent faire pour ne pas se faire prendre….

    • Dans ce cas, il faut arrêter d'expliquer aux gens comment vider la poubelle Windows (il y a beaucoup de choses intéressantes à récupérer), ou comment protéger sa vie privée avec TrueCrypt.
      Je trouve que c'est vous qui postez n'importe quoi !

  3. @esurnir:
    Personnellement je trouve que les ouvrages de la série « Pour les nuls » sont très bien faits. Seul leur titre me semble mauvais.
    Il me semble qu’un ouvrage du type « Linux pour les nuls » est un bon début, ensuite tous les sites de linuxiens abordent à un moment ou à un autre les scripts shell et les expressions régulières.

    Ceci dit, un bon programme C fait très bien l’affaire 🙂

    Concernant Firefox, c’est un outil très propre. Mais il suffit à l’expert de demander au FAI pour avoir tout l’historique de navigation…

    Il m’arrive très souvent de tomber sur un disque dur un peu trop propre à mon goût. C’est d’ailleurs à ce moment là que je commence à passer énormément de temps (non facturé) sur l’analyse pour être sur de ne pas passer à côté d’un serial killer technophile. En général, un disque propre, c’est quand même plutôt signe d’honnêteté.

    La vraie difficulté, c’est quand on à un disque très propre et quelques machines virtuelles, ou un fichier de 10Go crypté…

    @Bla bla
    Eternel débat: faut-il parler de sécurité (ou d’analyse inforensique) ouvertement pour partager ses connaissances, ou faut-il vivre caché de peur que se savoir soit mal utilisé.

    Pour ma part, en tant que chercheur, je pense complètement dans le premier sens.

    Un pédophile pas trop au fait des techniques informatiques ne saura même pas où trouver un fichier caché.

    Par contre, un expert débutant pourra plus rapidement confondre un criminel.

    C’est pour cela que vous trouvez très facilement, et sur des sites très officiels, par exemple tous les outils de crackage de mots de passe.

    En tant qu’administrateur réseau, cela me permet de tester la sécurité de mon réseau.

  4. Et pour du scriptage sous windows, vous avez une idee de bouquins que je pourrais lire a ce sujet ?

    Pour linux j’ai le tutorial pour slackware sur internet qui ressemble drollement a un parachutage au dessus de la somalie pour moi, mais je pense que je vais m’en sortir ^^.

  5. @esurnir : il faut entourer les noms de fichier ou de répertoire par des double quotes (guillemets) dans vos scripts. Sous Unix il y a plusieurs méthodes pour traiter le cas des espaces, bien qu’on évite fortement d’utiliser des espaces dans les noms de fichier (le « underscore » = « _ » est pourtant fait pour, quels idiots chez MS avec leur « Program Files »).

    @Zythom : si un jour j’ai une activité délictueuse avec mon ordinateur, je penserai à laisser plein d’images de pr0n histoire qu’il n’ait pas l’air trop propre 🙂

  6. @zythom : c’est vrai que c’est une guerre de clocher qui fleure bon le troll (enfin j’dis ça, j’ai jamais senti le dessous de bras d’un troll).

    Cependant, dans le cas qui nous occupe, on n’est plus dans une guerre de spécialiste… Je suppose que pour le pédophile moyen, l’ordinateur n’est qu’un moyen pratique de s’adonner à son vice. Et donc sa culture informatique est limitée. Cette info sera inutile pour le pédophile « éclairé en informatique » qui avait déjà l’habitude de virer les thumbs,mais pour l’autre… D’ailleurs, s’ils voulaient vraiment être discrets, ils utiliseraient d’autres moyens de surfer et de stocker tranquillement…

  7. En fait par trop propre je me disais « RIEN » dans la zone non allouer, le type n’a effacer aucun fichier, il n’aurait meme pas utiliser la corbeille windows et il n’y a pas de file wiper en vue, et les dates sur les fichiers montre que le disque est utiliser depuis plus d’un an. Ca vous est arriver ?

  8. « Mais il suffit à l’expert de demander au FAI pour avoir tout l’historique de navigation… »

    Ah bon !!! Depuis quand les FAI stockent ils les historiques de navigation de leurs abonnés ???

  9. @seb: Exact! Ma réponse était un peu rapide. Les FAI conservent l’historique des connexions, pas celle des contenus. Le mot « historique » concernant un navigateur est relatif aux contenus, et non pas aux connexions. C’est un lapsus de ma part.

    Sur le fond: les historiques de navigation (les contenus donc) ne sont pas difficiles à reconstituer lorsque l’on s’appuie sur des logiciels spécialisés… à condition qu’ils ne soient pas complètement effacés (ce qui est très rare). L’historique des connexions est aussi très intéressant car il permet de dater très précisément les actions faites sur l’ordinateur (en particulier par la mesure de la dérive de l’horloge du BIOS). Une action courante consiste à modifier la date de l’OS et/ou du BIOS pour antidater certaines actions. Cela introduit dans les différents fichiers systèmes des incohérences qu’il est toujours intéressant d’analyser.

Les commentaires sont fermés.