Чем открывают файл с расширением DB – программы для распаковки
Файл DB – это файл базы данных, используемый на мобильных телефонах, например, под управлением Android и iOS. Он часто используется для хранения контактов и данных SMS, но может хранить любой тип информации. Файлы DB регулярно помещаются в структуру базы данных SQLite, но также могут быть зашифрованы, чтобы клиент не мог видеть информацию напрямую.
Расширение файла DB обычно демонстрирует, что данные внутри файла имеют структуру базы данных. Различные приложения могут использовать это расширение для хранения информации, такой как организационная схема, информация о сделке, запасах, список файлов и многое другое. Такие файлы базы данных могут быть созданы Microsoft Access, SQLite DB Engine, LibreOffice, Paradox – и это далеко не все. Более того, Windows использует файл Thumbs.DB, чтобы зарезервировать миниатюры файлов изображений.
В случае, если вам нужно открыть файл DB или конкретно Thumbs.DB, самый идеальный способ – использовать приложение Thumbs Viewer. Это приложение доступно для 32- и 64-разрядных настольных ОС Windows и может открывать Thumbs.DB, просматривать его содержание и миниатюры.
Чтобы открыть файл DB, созданный в SQLite, вы можете использовать либо самую последнюю версию SQLite, либо другие устройства. Например, DB Browser для SQLite может открыть файл DB, созданный SQLite, в понятном интерфейсе, где все таблицы и их содержание будут очевидны. Кроме того, он полезен для добавления новых файлов в базу данных SQLite, удаления или редактирования файлов.
Как открыть файл DB
Способ 1
Существует широкий спектр возможностей использования файлов DB, но они должны быть открыты / отредактированы / изменены с помощью собственного программного обеспечения. Очень важно понять, для чего нужен ваш файл DB, прежде чем выбирать, как его открыть.
Мобильный телефон, на котором хранятся файлы DB, скорее всего, использует их для хранения пользовательской информации, независимо от того, является ли она частью файлов самого приложения или отдельной информацией, хранящейся внутри приложения или рабочей системы.
Например, мгновенные сообщения на iPhone хранятся в файле SMS.db. Эти файлы DB могут быть зашифрованы и, как правило, их трудно открыть, или они могут полностью просмотрены и отредактированы в программе, такой как SQLite, если файл DB имеет формат базы данных SQLite.
Файлы базы данных, используемые различными приложениями, такими как Microsoft Access, LibreOffice и Design Compiler Graphical, могут иногда открываться в отдельной программе или, в зависимости от информации, переноситься в другое приложение, которое может использовать его по аналогичной схеме.
Skype хранит историю сообщений чата в файле базы данных с именем main.db, который можно перемещать между компьютерами для перемещения журнала сообщений, но, скорее всего, он не откроется непосредственно программой. Вместе с тем, у вас может быть возможность прочитать файл main.db в Skype с помощью программы записи в базу данных.
Способ 2
Как конвертировать файл DB
Файлы базы данных, используемые с MS Access и аналогичными проектами, обычно готовы для перехода на CSV, TXT и другой формат, основанный на контенте. Открыв файл в программе, которая его создала или использует, проверьте, есть ли выбор «Экспорт» или «Сохранить как», который даёт вам возможность изменить файл DB.
Если ваш файл DB не может быть открыт обычной программой, как большинство файлов приложений DB или закодированных файлов DB, в этот момент существует небольшая вероятность того, что доступен конвертер DB, который может изменить формат файла. Thumbs Viewer, упомянутый выше, может отправлять миниатюры из файла Thumbs.db и сохранять их в формате JPG.
Что такое файл Thumbs.db
Файлы Thumbs.db создаётся некоторыми версиями Windows, чтобы хранить зарезервированную копию представлений миниатюр изображений в конкретной папке, поэтому, когда вы открываете папку с изображениями, вы получаете возможность увидеть небольшую миниатюру, не открывая файл. Без файла Thumbs.db в Windows не было бы возможности визуализировать эти изображения для вас, а просто отображалась бы обычная иконка.
Стирание файла DB вынудит Windows восстанавливать эти миниатюры каждый раз, когда вы их запрашиваете, что, вероятно, не будет быстрой процедурой, если папка содержит огромное количество картинок или если у вас медленный компьютер.
В Windows нет средств просмотра файла Thumbs.db, но вам может повезти с Thumbs Viewer или Thumbs.db Explorer, которые могут извлекать изображения из файла DB.
Как отключить файл Thumbs.db
Файл Thumbs.db можно удалить обычным способом, но Windows продолжит создавать его для хранения миниатюр.
WhatsApp на ладони: где и как можно обнаружить криминалистические артефакты?
Хотите узнать, какие типы криминалистических артефактов WhatsApp существуют в различных операционных системах и где именно они могут быть обнаружены — тогда вам сюда. Этой статьей специалист Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов открывает серию публикаций о криминалистическом исследовании WhatsApp и о том, какие сведения можно получить при анализе устройства.
Сразу отметим, что в разных операционных системах хранятся различные типы артефактов WhatsApp, и если из одного устройства исследователь может извлечь определенные типы данных WhatsApp, это совсем не означает, что подобные типы данных можно извлечь из другого устройства. Например, если изымается системный блок под управлением ОС Windows, то на его дисках, вероятно, не будут обнаружены чаты WhatsApp (исключение составляют резервные копии iOS-устройств, которые могут быть обнаружены на этих же накопителях). При изъятии ноутбуков и мобильных устройств будут свои особенности. Поговорим об этом поподробнее.
Артефакты WhatsApp в Android-устройстве
Для того, чтобы извлечь артефакты WhatsApp из устройства под управлением ОС Android, исследователь должен иметь права суперпользователя (‘root’) на исследуемом устройстве или иметь возможность иным способом извлечь физический дамп памяти устройства, или его файловую систему (например, используя программные уязвимости конкретного мобильного устройства).
Файлы приложения располагаются в памяти телефона в разделе, в котором сохраняются данные пользователя. Как правило, этот раздел носит имя ‘userdata’. Подкаталоги и файлы программы располагаются по пути: ‘/data/data/com.whatsapp/’.
Основными файлами, которые содержат криминалистические артефакты WhatsApp в ОС Android являются базы данных ‘wa.db’ и ‘msgstore.db’.
В базе данных ‘wa.db’ содержится полный список контактов пользователя WhatsApp, включая номер телефона, отображаемое имя, временные метки и любую другую информацию, указанную при регистрации в WhatsApp. Файл ‘wa.db’ располагается по пути: ‘/data/data/com.whatsapp/databases/’ и имеет следующую структуру:
Наиболее интересными таблицами в базе данных ‘wa.db’ для исследователя являются:
Внешний вид таблицы:
| Имя поля | Значение |
|---|---|
| _id | порядковый номер записи (в SQL таблице) |
| jid | WhatsApp ID контакта, записывается в формате @s.whatsapp.net |
| is_whatsapp_user | содержит ‘1’ если контакту соответствует фактический пользователь WhatsApp, ‘0’ в ином случае |
| status | содержит текст, отображаемый в статусе контакта |
| status_timestamp | содержит временную метку в формате Unix Epoch Time (ms) |
| number | номер телефона, ассоциированный с контактом |
| raw_contact_id | порядковый номер контакта |
| display_name | отображаемое имя контакта |
| phone_type | тип телефона |
| phone_label | метка, ассоциированная с номером контакта |
| unseen_msg_count | количество сообщений которые были отправлены контактом но небыли прочитаны получателем |
| photo_ts | содержит временную метку в формате Unix Epoch Time |
| thumb_ts | содержит временную метку в формате Unix Epoch Time |
| photo_id_timestamp | содержит временную метку в формате Unix Epoch Time (ms) |
| given_name | значение поля совпадает с ‘display_name’ для каждого контакта |
| wa_name | имя контакта в WhatsApp (отображается имя, указанное в профиле контакта) |
| sort_name | имя контакта, используемое в операциях сортировки |
| nickname | ник контакта в WhatsApp (отображается ник, указанный в профиле контакта) |
| company | компания (отображается компания, указанная в профиле контакта) |
| title | обращение (госпожа/господин; отображается обращение, настроенное в профиле контакта) |
| offset | смещение |
Наиболее интересными таблицами в файле ‘msgstore.db’ для исследователя являются:
Внешний вид таблицы:
Внешний вид таблицы:
Внешний вид таблицы:
| Имя поля | Значение |
|---|---|
| _id | порядковый номер записи (в SQL таблице) |
| key_remote_jid | WhatsApp ID партнера по коммуникации |
| key_from_me | направление сообщения: ‘0’ – входящее, ‘1’ — исходящее |
| key_id | уникальный идентификатор сообщения |
| status | статус сообщения: ‘0’ – доставлено, ‘4’ – ждет на сервере, ‘5’ – получено по месту назначения, ‘6’ – контрольное сообщение, ‘13’ – сообщение открыто получателем (прочитано) |
| need_push | имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’ |
| data | текст сообщения (когда параметр ‘media_wa_type’ равен ‘0’) |
| timestamp | содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| media_url | содержит URL передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_mime_type | MIME-тип передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_wa_type | тип сообщения: ‘0’ – текст, ‘1’ – графический файл, ‘2’- аудио-файл, ‘3’ – видео- файл, ‘4’ – карточка контакта, ‘5’ — геоданные |
| media_size | размер передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_name | имя передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_caption | Содержит слова ‘audio’, ‘video’ для соответствующих значений параметра ‘media_wa_type’ (когда параметр ‘media_wa_type’ равен ‘1’, ‘3’) |
| media_hash | закодированный в формате base64 хэш передаваемого файла, рассчитанный по алгоритму HAS-256 (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_duration | продолжительность в секундах для медиафайла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| origin | имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’ |
| latitude | геоданные: широта (когда параметр ‘media_wa_type’ равен ‘5’) |
| longitude | геоданные: долгота (когда параметр ‘media_wa_type’ равен ‘5’) |
| thumb_image | служебная информация |
| remote_recource | ID отправителя (только для групповых чатов) |
| received_timestamp | время получения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘0’, ‘-1’ или иное значение) |
| send_timestamp | не используется, обычно имеет значение ‘-1’ |
| receipt_server_timestamp | время получения центральным сервером, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘1’, ‘-1’ или иное значение |
| receipt_device_timestamp | время получения сообщения другим абонентом, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘1’, ‘-1’ или иное значение |
| read_device_timestamp | время открытия (чтения) сообщения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| played_device_timestamp | время воспроизведения сообщения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| raw_data | миниатюра передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’ или ‘3’) |
| recipient_count | количество получателей (для широковещательных сообщений) |
| participant_hash | используется при передаче сообщений с геоданными |
| starred | не используется |
| quoted_row_id | неизвестно, обычно содержит значение ‘0’ |
| mentioned_jids | не используется |
| multicast_id | не используется |
| offset | смещение |
Внешний вид таблицы:
Также при исследовании WhatsApp в мобильном устройстве под управлением Android надо обращать внимание на следующие файлы:
Файлы, находящиеся в подкаталоге ‘Databases’:
Особенности хранения данных в некоторых моделях мобильных устройств
В некоторых моделях мобильных устройств под управлением ОС Android возможно хранение артефактов WhatsApp в ином месте. Это обусловлено изменением пространства хранения данных приложений системным программным обеспечением мобильного устройства. Так, например, в мобильных устройствах Xiaomi есть функция создания второго рабочего пространства («SecondSpace»). При активации данной функции происходит изменение месторасположения данных. Так, если в обычном мобильном устройстве под управлением ОС Android данные пользователя хранятся в каталоге ‘/data/user/0/’ (что является ссылкой на привычные ‘/data/data/’), то во втором рабочем пространстве данные приложений хранятся в каталоге ‘/data/user/10/’. То есть, на примере месторасположения файла ‘wa.db’:
Артефакты WhatsApp в iOS-устройстве
В отличие от Android ОС, в iOS данные приложения WhatsApp передаются в резервную копию (iTunes backup). Поэтому, извлечение данных этого приложения не требует извлечения файловой системы или создания физического дампа памяти исследуемого устройства. Большая часть значимой информации содержится в базе данных ‘ChatStorage.sqlite’, которая располагается по пути: ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/’ (в некоторых программах этот путь отображается как ‘AppDomainGroup-group.net.whatsapp.WhatsApp.shared’).
Наиболее информативными в базе данных ‘ChatStorage.sqlite’ являются таблицы ‘ZWAMESSAGE’ и ‘ZWAMEDIAITEM’.
Внешний вид таблицы ‘ZWAMESSAGE’:
| Имя поля | Значение |
|---|---|
| Z_PK | порядковый номер записи (в SQL таблице) |
| Z_ENT | идентификатор таблицы, имеет значение ‘9’ |
| Z_OPT | неизвестно, обычно содержит значения от ‘1’ до ‘6’ |
| ZCHILDMESSAGESDELIVEREDCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZCHILDMESSAGESPLAYEDCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZCHILDMESSAGESREADCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZDATAITEMVERSION | неизвестно, обычно содержит значение ‘3’, вероятно, является указателем текстового сообщения |
| ZDOCID | неизвестно |
| ZENCRETRYCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZFILTEREDRECIPIENTCOUNT | неизвестно, обычно содержит значения ‘0’, ‘2’, ‘256’ |
| ZISFROMME | направление сообщения: ‘0’ – входящее, ‘1’ — исходящее |
| ZMESSAGEERRORSTATUS | статус передачи сообщения. Если сообщение отправлено/получено, то имеет значение ‘0’ |
| ZMESSAGETYPE | тип передаваемого сообщения |
| ZSORT | неизвестно |
| ZSPOTLIGHSTATUS | неизвестно |
| ZSTARRED | неизвестно, не используется |
| ZCHATSESSION | неизвестно |
| ZGROUPMEMBER | неизвестно, не используется |
| ZLASTSESSION | неизвестно |
| ZMEDIAITEM | неизвестно |
| ZMESSAGEINFO | неизвестно |
| ZPARENTMESSAGE | неизвестно, не используется |
| ZMESSAGEDATE | временная отметка в формате OS X Epoch Time |
| ZSENTDATE | время отправки сообщения в формате OS X Epoch Time |
| ZFROMJID | WhatsApp ID отправителя |
| ZMEDIASECTIONID | содержит год и месяц отправки медиафайла |
| ZPHASH | неизвестно, не используется |
| ZPUSHPAME | имя контакта отправившего медиафайл в формате UTF-8 |
| ZSTANZID | уникальный идентификатор сообщения |
| ZTEXT | текст сообщения |
| ZTOJID | WhatsApp ID получателя |
| OFFSET | смещение |
Внешний вид таблицы ‘ZWAMEDIAITEM’:
Другими интересными таблицами базы данных ‘ChatStorage.sqlite’ являются:
Также нужно обращать внимание на следующие каталоги:
Артефакты WhatsApp в Windows
В каталоге ‘C:\Users\%User profile%\ AppData\Roaming\WhatsApp\’ находится несколько подкаталогов:
Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.
Подкаталог ‘databases’ содержит файл ‘Databases.db’, но этот файл не содержит никакой информации о чатах или контактах.
Наиболее интересными с криминалистической точки зрения являются файлы, находящиеся в каталоге ‘Cache’. В основном это файлы с именами ‘f_*******’ (где * — число от 0 до 9), содержащие зашифрованные мультимедиа-файлы и документы, но среди них встречаются и незашифрованные файлы. Особый интерес представляют файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’, находящиеся в этом же подкаталоге. Файлы ‘data_0’, ‘data_1’, ‘data_3’ содержат внешние ссылки на передаваемые зашифрованные мультимедиа-файлы и документы.
Также файл ‘data_3’ может содержать графические файлы.
Файл ‘data_2’ содержит аватары контактов (могут быть восстановлены поиском по заголовкам файлов).
Аватары, содержащиеся в файле ‘data_2’:
Таким образом, в памяти компьютера нельзя найти сами чаты, но можно найти:
Артефакты WhatsApp в MacOS
В MacOS можно найти типы артефактов WhatsApp, подобные тем, которые имеются в ОС Windows.
Файлы программы находятся каталогах:
В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\Cache\’ находятся файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’ и файлы с именами ‘f_*******’ (где * — число от 0 до 9). Информация о том, какие сведения содержат эти файлы, описана в разделе «Артефакты WhatsApp в Windows».
В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\IndexedDB\’ могут содержаться мультимедийные файлы (файлы не имеют расширений).
Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.
В следующих статьях этой серии:
В Group-IB знают о киберпреступности всё, но рассказывают самое интересное.
Остросюжетный Telegram-канал (https://t.me/Group_IB) об информационной безопасности, хакерах и кибератаках, хактивистах и интернет-пиратах. Расследования нашумевших киберпреступлений по шагам, практические кейсы с применением технологий Group-IB и, конечно, рекомендации, как не стать жертвой в интернете.
YouTube-канал Group-IB
Фотолента Group-IB в Instagram www.instagram.com/group_ib
Короткие новости в Twitter twitter.com/GroupIB
Компания Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре.
Среди множества скрытых файлов, которые генерируются ОС Windows, выделяются объекты Thumbs.db. Давайте узнаем, какие функции они выполняют, и что с ним нужно делать пользователю.
Объекты Thumbs.db нельзя увидеть в обычном режиме работы Windows, так как данные файлы по умолчанию являются скрытыми. В ранних версиях Виндовс они располагаются практически в любом каталоге, где имеются картинки. В современных версиях для хранения файлов данного типа существует отдельная директория в каждом профиле. Давайте разберемся, с чем это связано и для чего эти объекты нужны. Не представляют ли они опасность для системы?
Описание
Благодаря данной технологии ОС не нужно каждый раз сжимать изображения для формирования миниатюр, тем самым расходуя ресурсы системы. Теперь для этих нужд компьютер будет обращаться к элементу, в котором уже расположены миниатюры картинок.
Несмотря на то, что файл имеет расширение db (атрибут базы данных), но, по сути, он является COM-хранилищем.
Как увидеть Thumbs.db
Где расположен Thumbs.db
Но, чтобы увидеть объекты Thumbs.db, нужно сначала выяснить, в какой именно директории они расположены.
В ОС до Windows Vista они располагались в той же папке, где находились соответствующие картинки. Таким образом, практически в каждом каталоге, в котором имелись картинки, находился свой Thumbs.db. Но в ОС, начиная с Виндовс Виста, под хранение кэшированных изображений была выделена отдельная директория для каждой учетной записи. Она располагается по следующему адресу:
Для перехода вместо значения «наименование_профиля» следует подставить конкретное имя пользователя системы. В данной директории находятся файлы группы thumbcache_xxxx.db. Они и являются аналогами объектов Thumbs.db, которые в ранних версиях ОС размещались во всех папках, где имелись картинки.
В то же время, если на компьютере была ранее установлена Windows XP, в папках могли остаться Thumbs.db, даже если сейчас вы используете более современную версию ОС.
Удаление Thumbs.db
Если вы переживаете, что Thumbs.db имеют вирусное происхождение из-за того, что в некоторых операционных системах находятся во многих папках, то волноваться нет причин. Как мы выяснили, в подавляющем большинстве случаев это типичный системный файл.
Но, в то же время кэшированные миниатюры представляют некоторую опасность для вашей конфиденциальности. Дело в том, что даже после удаления самих изображений с жесткого диска их эскизы будут продолжать храниться в данном объекте. Таким образом, с помощью специального ПО сохраняется возможность узнать, какие же фотографии ранее хранились на компьютере.
Кроме того, названные элементы, хотя имеют и относительно небольшой размер, но в то же время занимают определенный объем на винчестере. Как мы помним, они могут хранить в себе информацию и об удаленных объектах. Таким образом, для обеспечения функции быстрого предпросмотра указанные данные уже не нужны, но, тем не менее, они продолжают занимать место на винчестере. Поэтому рекомендуется периодически чистить ПК от указанного вида файлов, даже если вам нечего скрывать.
Способ 1: ручное удаление
Теперь давайте выясним, как именно можно удалить файлы Thumbs.db. Прежде всего, можно применить обычное ручное удаление.
Способ 2: удаление с помощью CCleaner
Способ 3: Thumbnail Database Cleaner
Кроме того, существует специальные утилиты, предназначенные для удаления кэшированных миниатюр. Они узкоспециализированные, но в то же время позволяют более точно произвести настройку удаления ненужных элементов. В число таких приложений входит Thumbnail Database Cleaner.
Способ удаления с применением программы Thumbnail Database Cleaner является более продвинутым, чем при использовании CCleaner, так как позволяет производить более глубокий поиск кэшированных миниатюр (в том числе остаточных элементов от Windows XP), а также предоставляет возможность выбора удаляемых элементов.
Способ 4: встроенные инструменты Виндовс
Удаление эскизов картинок автоматически можно также произвести при помощи встроенных инструментов Виндовс.
Недостаток данного способа тот же, что и при использовании CCleaner. Если вы используете Windows Vista и более поздние версии, то система думает, что кэшированные миниатюры могут находиться только в строго установленной директории. Поэтому в отличных от Windows XP остаточные объекты удалить таким способом нельзя.
Отключение кэширования эскизов
Некоторые пользователи, которые желают обеспечить максимальную конфиденциальность, не удовлетворяются обычной чисткой системы, но хотят полностью выключить возможность кэширования эскизов картинок. Посмотрим, как это можно сделать на разных версиях Виндовс.
Способ 1: Windows XP
Прежде всего, вкратце рассмотрим данную процедуру на Windows XP.
Теперь новые кэшированные миниатюры формироваться в системе не будут.
Способ 2: современные версии Windows
В тех версиях Виндовс, которые выпускались после Windows XP, отключить кэширование эскизов несколько сложнее. Рассмотрим эту процедуру на примере Windows 7. В других современных версиях системы алгоритм отключения аналогичный. Прежде всего, следует отметить, что перед тем, как выполнять нижеописанную процедуру, нужно обладать административными правами. Поэтому, если вы в данный момент находитесь в системе не под учетной записью администратора, то нужно выйти из нее и снова зайти, но уже под указанным профилем.
Просмотр содержимого Thumbs.db
Теперь мы подошли к вопросу, как просмотреть содержимое Thumbs.db. Сразу нужно сказать, что встроенными инструментами системы сделать это невозможно. Придется применять стороннее ПО.
Способ 1: Thumbnail Database Viewer
Такой программой, которая позволит просмотреть нам данные из Thumbs.db, является Thumbnail Database Viewer. Данное приложение того же производителя что и Thumbnail Database Cleaner, и тоже не требует инсталляции.
Способ 2: Thumbcache Viewer
Ещё одной программой, с помощью которой можно осуществить просмотр интересующих нас объектов, является Thumbcache Viewer. Правда, в отличие от предыдущего приложения, он может открывать не все кэшированные изображения, а только объекты типа thumbcache_xxxx.db, то есть, созданные в ОС, начиная с Виндовс Виста.
Как видим, сами по себе кэшированные миниатюры опасность не несут, а наоборот способствуют более быстрой работе системы. Но они могут быть использованы злоумышленниками для получения информации об удаленных изображениях. Поэтому, если вы переживаете насчет конфиденциальности, то лучше периодически очищать компьютер от кэшированных объектов или вообще отключить возможность кэширования.
Очистку системы от названных объектов можно производить как встроенными инструментами, так и при помощи специализированных приложений. Лучше всего с данной задачей справляется Thumbnail Database Cleaner. Кроме того, есть несколько программ, которые позволяют просмотреть содержимое кэшированных эскизов.
Для удаления файла Thumbs.db необходимо отключить кэширование эскизов изображений. Способ, который будет рассматриваться подходит исключительно для версий Windows 7: “Профессиональная” (Professional), “Корпоративная” (Corporate) и “Максимальная” (Ultimate). Способ отключения кэширования в версиях Windows 7: “Начальная” (Starter), “Домашняя базовая” (Home Basic) и “Домашняя расширенная” (Home Premium) описан ниже.
Итак. Начала необходимо открыть “Редактор локальной групповой политики”. Для этого открываем “Пуск” и в поиск пишем “gpedit.msc” после чего нажимаем “Enter”.
В открывшемся окне “Редактор локальной групповой политики” переходим по следующему пути:
“Административные шаблоны”>>>“Компоненты Windows”>>>“Проводник Windows”
Затем в правой стороне находим строчку “Отключить кэширование эскизов в скрытых файлах thumbs.db” и кликаем по ней двойным щелчком. (Обратите внимание, на то, что пункт “Проводник Windows” выделен. Т.е., если справа ничего не появилось, нажмите на “Проводник Windows” слева.)
Во вновь появившемся окне выбрать “Включить” и нажать “OK”. И на этом всё. Но это только для версий Windows 7: “Профессиональная” (Professional), “Корпоративная” (Corporate) и “Максимальная” (Ultimate).
А как же быть в версиях Windows 7: “Начальная” (Starter), “Домашняя базовая” (Home Basic) и “Домашняя расширенная” (Home Premium).
Для отключения кэширования эскизов изображений в этих версиях необходимо воспользоваться “Редактором реестра”. Как запустить “Редактор реестра”?.
И переходим в следующий раздел:
В том случае, если в разделе “Policies” нет раздела “Explorer”, просто его создайте.
Для этого необходимо нажать правой кнопкой мыши на разделе “Policies” из выпадающего списка “Создать” выбрать пункт “Раздел”.
Задайте имя “Explorer” и нажмите “Enter” для применения.
Затем выберите раздел “Explorer” нажмите “Правка”>>>”Создать”>>>”Параметр DWORD (32 бита)”.
Задайте имя для нового параметра “NoThumbnailCache” и нажмите “Enter”.
Правой кнопкой мыши по параметру “NoThumbnailCache”, выбрать “Изменить”.
В открывшемся окне установить значение “1” и нажать “ОК”.
Я скажу почему. С помощью этого маленького файла можно узнать много чего интересного о владельце, на компьютере которого он находится, а точнее находятся во множественном числе файлы thumbs.db. Потому что эти файлы, как грязь на ботинках, в какую комнату (папку с изображениями или видеофайлами) не зайдешь, везде оставишь свой след.
Сегодня, для тех кто хочет защитить личную конфиденциальную информацию, я расскажу как удалять и не оставлять эти следы, а для тех, кто ищет эту самую информацию, как ее найти.
В этой статье вы найдете все касаемо файла thumbs.db. Вы узнаете, что за файл thumbs.db, как его найти, открыть и чем просмотреть, как отключить в различных версиях операционной системы Windows и как удалить его.
Что такое thumbs.db
Сразу успокою некоторых не сильно разбирающихся в компьютерах — это не вирус! Файл thumbs.db — это системный файл, создаваемый операционной системой Windows. В нем автоматически генерируется эскизы изображений, их еще называют миниатюры или превью файлы (от англ. слова Preview)
Как найти кэш миниатюр
В старых версиях Windows данный файл находится в самих папках по соседству с изображениями и видеофайлами. Для каждой отдельной папки с медиафайлами создается отдельный файл кэша миниатюр. В версиях Windows 10, 8, 8.1, и 7 все эти файлы лежат в одной системной папке, которая находится здесь:
Эта папка, по умолчанию скрыта. В статье « » мы писали как отобразить и открыть такие папки.
В некоторых ситуациях на старых версиях Windows пользователь даже не знает о существовании этого файла в папке с медиафайлами, так как он его просто не видит. Для того чтобы увидеть файл миниатюр надо активировать эту функцию. Как это сделать вы можете узнать по ссылке выше.
Зачем удалять thumbs.db
Представим ситуацию. Вы собираетесь отправить некоторые ваши фотографии вашим друзьям или деловым партнерам. Заходите в папку с файлами где находятся изображения, которые вы хотите отправить, но среди этих изображений есть такие, которые по той или иной причине вы отправлять не желаете, это могут быть конфиденциальные изображения документов вашей фирмы или личные, приватные семейные фотографии. Теперь вы переносите все лишние фотографии в другую отдельную папку, а эту папку архивируете и посылаете адресату.
А дальше все очень просто. Человек получает архив с изображениями среди которых находится тот самый кэш, в котором сохранились миниатюры всех изображений. Всех, и тех которые вы на своем компьютере перенесли в другую папку, и которых в этой папке уже давно нет, т.е. которыми вы не хотели делится. И как вы понимаете этот чудо файл можно открыть и просмотреть то, что вы не желали показывать. Все это конечно касается старых версий Windows, но в новой винде тоже есть свой гемор.
Вариантов в данной ситуации два: или вообще отключить создание файлов кэша миниатюр, или по мере надобности удалять. Пока поговорим про удаление thumbs.db, а потом в этой же статье я расскажу про отключение и другие фишки.
Как удалить thumbs.db
На самом деле удалить отдельный файл или несколько можно и вручную. Все хорошо, но в реальной жизни не всегда вспомнишь, где какие медиафайлы находятся и для каких Windows уже создала кэш миниатюр. Если вы на последней Виндовс, то удалить отдельный файл можно вручную. В противном случае лучше использовать специальные программы которые найдут все файлы эскизов. Вот вам несколько возможных способов удаления файлов эскизов:
Удаление thumbs.db с помощью Thumbnail Database Cleaner
Основная функция программы — поиск и удаление thumbs.db файлов.
Принцип работы, такой. Скачиваете и запускаете программу.
После запуска приложения выбираем нужный раздел жесткого диска и нажимаем на сканирование.
После завершения программа отобразит все найденные файлы. Вы можете удалить определенные файлы отметив их все сразу выделив кнопочкой «Check All» в нижнем левом углу или по отдельности. После этого нажимаем на кнопку «Clean» и все файлы миниатюр с выбранных жестких дисков удаляются.
Удобная программа для удаления файлов thumbs.db. Программа не умеет просматривать содержимое найденных файлов, это пожалуй единственный ее недостаток.
Удаление thumbs.db с помощью Thumbs Remover
Также для поиска и удаления файлов thumbs.db можно воспользоваться программой Thumbs Remover.
Скачать бесплатно Thumbs Remover вы можете с сайта разработчика по этой прямой ссылке.
Принцип работы такой же как и в предыдущей программе. Скачиваем, сканируем, выделяем и удаляем.
Thumbs Remover
Короче, если не подружитесь с предыдущим софтом, пробуйте этот. Лично мне больше нравится первая программа.
Удаление thumbs.db с помощью CCleaner
Стоит вспомнить и популярный чистильщик CCleaner, который также может найти и удалить thumbs.db файлы.
CCleaner
Он не такой удобный как предыдущие два, но на крайний случай сойдет.
Удаление thumbs.db с помощью Windows
А этот спартанский способ подойдет тем, кто по каким-то причинам не хочет устанавливать на компьютер никаких дополнительных программ.
Нажимаем правой кнопкой мышки по необходимому разделу жесткого диска и в выпадающем меню выбираем пункт «Свойства»
После того как появится окно. На первой вкладке «Общие» нажимаем на кнопку «Очистка диска».
Удаление файлов миниатюр с помощью Windows
Отмечаем галочкой необходимые поля, в нашем случае поле «Эскизы» и нажимаем «Ок»
Удаление файлов миниатюр с помощью Windows
Кстати, кто еще не в курсе, для очистки и ускорения операционной системы рекомендуется иногда проделывать эту операцию.
Теперь я расскажу как отключить функцию создания файла миниатюр.
В выпадающем меню «Инструменты» заходим в «Настройки папки».
В появившемся окне переходим на вкладку «Просмотр» и отмечаем галочкой поля «Не создавать файл эскизов».
В поисковой строке Windows пишем «gpedit.msc» и запускаем приложение.
В появившемся окне перейдем в «Кoнфигурация пользователя > Aдминистративные шаблоны > Кoмпоненты Windows > Провoдник». (В Windows 7 последняя папка «Проводник» может называться «Проводник Windows»).
Двойной клик на параметре «Отключить кэширование эскизов изображений» и отмечаем «Включено».
Программ для просмотра файла thumbs.db есть не мало, но я вас познакомлю с лучшими на мой взгляд и желательно бесплатными.
Просмотр thumbs.db с помощью Thumbcache Viewer
Thumbcache Viewer — просмотрщик файла миниатюр. Кроме просмотра изображений он также может их сохранять. Он не имеет столько функций как например ThumbsPlus но зато в отличие от него он полностью бесплатный.
Итак. Скачаем, разархивируем, запускаем. Нажимаем на «File» > «Open» и указываем путь к файлу миниатюр на жестком диске.
Thumbcache Viewer
После того как файл эскизов загружен, отмечаем необходимое изображение и сохраняем его кнопкой «Save» или «Save All» если надо сохранить все фотографии.
Теперь вы знаете что делать, если не удаляется thumbs db файл, знаете как отключить создание thumbs db и знаете как его просмотреть. Кстати, то что мы сегодня с вами делали в последний главе называется или компьютерная криминалистическая экспертиза. Узнать больше о форензике вы можете у нас на сайте используя форму поиска.
Возникает резонный вопрос: что это за файл?
Не пугайтесь, Thumbs.db – это не вирус, это автоматически создаваемый операционной системой файл базы данных изображений (кэш эскизов изображений, содержащихся в папке).
Если файлы Thumbs.db «мозолят» вам глаза, вы можете смело удалять их: несмотря на запугивающее предупреждение, это не нарушит работу операционной системы.
Как отключить кэширование эскизов изображений (создание файлов Thumbs.db ):
– нажмите Пуск –> Панель управления –> Свойства папки ;
– в окне Свойства папки откройте вкладку Вид ;
– в разделе Дополнительные параметры установите флажок Не кэшировать эскизы –> OK ;
Можно отключить кэширование эскизов изображений прямым редактированием :
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK ;
На любом компьютере под управлением операционной системой Windows XP, всегда есть скрытые файлы Thumbs db. Эти файлы иногда мешают в работе с фотографиями и их надо удалять. О том, как удалить скрытые файлы Thumbs db из операционной системы без возможных проблем, пойдет речь в этой главе.
Для того чтобы удалить скрытые файлы Thumbs db, нужно сначала их найти, но сделать это не так просто. Проблема состоит в том, что файлы Thumbs db хранятся в скрытом виде и размещаются в сотнях папок по всему жесткому диску компьютера.
Быстро найти все скрытые файлы Thumbs db можно с помощью функции «Поиск», о чем написано в главе «Поиск фалов Thumbs db». После того как они будут найдены их нужно оценить на возможность удаления и только после этого удалять.
Сразу после нахождения всех скрытых файлов Thumbs db можно узнать их общий объем, который они занимают на жестоком диске компьютера. Это полезно знать при чистке и оптимизации жесткого диска компьютера.
Сначала в окне поиска нужно выделить все найденные файлы. Это удобнее сделать при помощи комбинации кнопок «Ctrl» + «A». После этого нужно щелкнуть правой кнопкой мыши по выделению и в контекстном меню выбрать пункт «Свойства» (рис.1).
Но перед подсчетом размера найденных файлов, сначала нужно проанализировать имена этих файлов, бегло просмотрев весь список. Надпись thumbs.db может быть частью имен файлов или папок, которые не имеют отношения к файлам Thumbs db.
Если среди выделенных файлов Thumbs db имеются папки или файлы, в именах которых надпись «thumbs.db » является только частью имени, с них нужно снять выделение. Для этого нужно щелкнуть по ним левой кнопкой мыши, удерживая при этом клавишу «Ctrl».
В том случаи, когда найденных файлов Thumbs db много, подсчет их суммарного размера нужно начинать осуществлять при помощи контекстного меню сразу после поиска, пока они загружены в оперативную память компьютера (рис.2).
Если отложить подсчет найденных файлов и сначала, например, запустить какую-либо большую программу, часть информации из оперативной памяти будет вытеснена. После этого подсчет уже будет выполнен только для тех файлов Thumbs db, которые остались в оперативной памяти компьютера, и поиск файлов придется повторять.
Для того чтобы быстрого переместиться в папку с любым из найденных файлов, нужно щелкнуть по нему правой кнопкой мыши и в открывшемся контекстном меню выбрать пункт «Открыть содержащую объект папку» (рис.3).
Найденные файлы можно удалять, переместившись в папку их размещения, но удобнее это делать непосредственно из окна поиска. Так же как и при их подсчете, файлы нужно удалять сразу, пока они загружены в оперативную память компьютера.
Удалять найденные файлы с жесткого диска компьютера можно выборочно или все сразу, применяя для этого обычные манипуляции по удалению файлов, а вот удалять найденные файлы с внешних носителей, возможно только по одному.
Удаление выделенных скрытых файлов Thumbs db нужно начинать с просмотра названия папок, из которых они будут удаляться. Они видны во второй колонке окна поиска. Если есть сомнения в удалении какого-либо файла нужно снять с него выделение, щелкнув по нему левой кнопкой мыши и удерживая при этом на клавиатуре кнопку «Ctrl».
После удаления всех найденных файлов Thumbs db, желательно отключить кэширование эскизов для того, чтобы файлы Thumbs db больше на этом компьютере не создавались. О том, как это сделать, о самих файлах Thumbs db и о работе с ними, написано в следующих главах этой статьи.
