Thumbcache
ThumbCache ThumbCache adalah fitur pada sistem operasi Windows (dimulai sejak Windows Vista) yang digunakan untuk menyimpan cache gambar thumbnail dari file agar tampilan Windows Explorer lebih cepat. Saat pengguna membuka folder dalam tampilan thumbnail, sistem tidak perlu memproses ulang file aslinya, melainkan cukup mengambil gambar kecil yang sudah tersimpan di database terpusat ini.
Note
Tips Akses: Berbeda dengan sistem lama (XP) yang menyimpan thumbs.db di setiap folder, sistem modern menyimpan ThumbCache secara terpusat di direktori profil pengguna. Gunakan tool forensik untuk mengekstraknya dari jalur: C:\Users\[Username]\AppData\Local\Microsoft\Windows\Explorer.
| Field | Value |
|---|---|
| Location / Path | |
| Format | Binary Database (.db) |
| OS Version | Windows Vista, 7, 8, 10, 11 |
| Key Files | thumbcache_*.db dan thumbcache_idx.db (Index) |
| Forensic Value | Membuktikan eksistensi file (terutama gambar/video) meskipun file asli telah dihapus dari disk. |
| Example |  |
Digital Forensics Value
Thumbnail cache adalah “harta karun” bagi investigator, terutama dalam kasus yang melibatkan konten ilegal atau penghapusan bukti. Investigator dapat:
- Pemulihan Bukti yang Dihapus: Meskipun pengguna telah menghapus file gambar atau video, thumbnail-nya sering kali tetap tersisa di dalam database cache.
- Identifikasi Metadata: Analisis ThumbCache menghasilkan informasi seperti metadata file asli, Cache ID, checksum header, tipe data, dan ukuran data.
- Bukti Pengetahuan (Knowledge): Menunjukkan bahwa file tersebut memang pernah ada di sistem dan pernah dilihat oleh pengguna melalui Windows Explorer.
Struktur & Ukuran ThumbCache
Windows menyimpan thumbnail dalam berbagai ukuran piksel untuk mendukung berbagai mode tampilan (Small, Medium, Large, Extra Large icons).
- Windows 7: Memiliki maksimal 4 ukuran utama (32x32, 96x96, 256x256, dan 1024x1024).
- Windows 10/11: Memiliki rentang lebih luas, mulai dari 16 piksel hingga 2560 piksel.
- Index File:
thumbcache_idx.dbberfungsi sebagai navigasi yang berisi pointers ke lokasi sub-rekaman di dalam file database utama.
Komponen Rekaman (Record)
Setiap entri di dalam file .db mengandung:
- Cache Record ID: Identitas unik rekaman.
- Data Type: Format file asal (JPEG, BMP, PDF, DOCX, dll).
- Data Checksum: Digunakan untuk validasi integritas data.
- Data Offset & Size: Lokasi dan ukuran gambar thumbnail di dalam database.
Prosedur Ekstraksi & Analisis
1. Ekstraksi dengan KAPE atau FTK Imager
Karena file ini berada di dalam profil pengguna, pastikan Anda mengambil seluruh isi folder Explorer untuk mendapatkan database dan indeksnya:
- Targetkan direktori:
AppData\Local\Microsoft\Windows\Explorer
- Ambil semua file dengan awalan
thumbcache_*.db.
2. Analisis Menggunakan ThumbCache Viewer
Gunakan tool khusus untuk melihat isi gambar di dalam database:
- Buka ThumbCache Viewer.
- Pilih
File>Opendan arahkan ke salah satu file database (contoh:thumbcache_1280.db).
- Tool akan menampilkan daftar gambar yang tersimpan beserta metadata aslinya.
Tools yang Direkomendasikan
| Tool | Deskripsi |
|---|---|
| ThumbCache Viewer | Tool GUI terbaik untuk mengekstrak dan melihat gambar dari file database. |
| Thumbs Viewer | Digunakan khusus untuk membedah file thumbs.db versi lama. |
| NirSoft ThumbNet | Tool alternatif untuk melihat riwayat thumbnail. |