ComputerBase Menü
Aktuelles

Digital Forensic und das vollständige Deaktivierern von Thumbcashes?

RonnyDepp

RonnyDepp

Ensign
Registriert
Dez. 2023
Beiträge
129
Ich habe gerade in einem anderen Thread erfahren wo sich die Thumbnails aller Files befinden, die Windows so im Laufe der Zeit erstellt. Darin befinden sich die Thumbcache.db Files. Und die haben es in sich. Mit dem Thumbcache Viewer von github kann man eine Zeitreise beginnen und sich noch einmal ansehen wo man sich so herumgetrieben hat oder was man sich angesehen hat.

PC295 schrieb:
Die Thumbnails findest du im Explorer über:
Code: 
%LocalAppData%\Microsoft\Windows\Explorer
Thumbcache_*. db
Zum Vergrößern anklicken....

Weiß jemand wie man es dauerhaft unterbindet dass solche Thumbcache Images angelegt werden? Ich hab dazu nichts konkretes gefunden, bzw waren die Tipps nicht zielführend. Es werden nachwievor thumbcashes angelegt.

Ich hab mir den Thumbcachviewer runtergeladen und es ist ja erschreckend wie man da nachverfolgbar ist über die thumbcash.db Einträge. Da werden irgendwie ständig Screenshots angefertigt von dem was man so treibt. Das ist ja das ärgste Spionagetool überhaupt. Da kann man gelöscht und erased und geshreddert haben was man will, wenn man die thumbcache.db files nicht shreddert ist man ein offenenes Buch. Und manchmal lassen sich die *.db Einträge gar nicht shreddern oder löschen.
 
RonnyDepp schrieb:
Weiß jemand wie man es dauerhaft unterbindet dass solche Thumbcache Images angelegt werden?
Zum Vergrößern anklicken....
Das kannst du in den Gruppenrichtlinien und über die Registry deaktivieren:

GPO:

Benutzerkonfiguration -> Administrative Vorlagen -> Windows-Komponeten -> Datei-Explorer
-> Zwischenspeicherung von Miniaturansichten in versteckten thumbs. db-Dateien deaktivieren

Registry:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
-> DWORT-Wert (32-Bit) mit Namen DisableThumbnailCache anlegen und den Wert 1 setzen
 
  • Gefällt mir
Reaktionen: RonnyDepp, SPB, CPat und eine weitere Person
Tja, und damnächst gibts davon die aufgebohrte Version "Recall"...

Wäre gut zu wissen was du schon probiert hast, ansonsten würd ich halt sagen im Explorer immer alles auf "Details" oder "Listen"-Ansicht stellen?
Ergänzung ()

... oder was @PC295 schreibt :D
 
Naja Nachverfolgbar... - das sind Miniaturansichten die Windows schon seit Ewigkeiten anlegt um nicht jedes Mal ein Vorschaubild erzeugen zu müssen wenn du mit der Maus über ein Bild oder eine Video fährst. Spart Ressourcen und Zeit.

Steht auch unter https://thumbcacheviewer.github.io/ so beschrieben und sogar unten weiter im Text wie das unterbunden werden kann.
Ob man das sollte oder das was bringt kann ich nicht sagen - stören wirds kaum denke ich.

Wenn du eine Datenträgerbereinigung durchführst werden die Caches eh auch geleert.

Unter W11:
Einstellungen -> Speicher -> Temporäre Dateien -> Miniaturansichten
kannst du das auch manuell löschen/zurücksetzen.
 
  • Gefällt mir
Reaktionen: areiland
RonnyDepp schrieb:
Da werden irgendwie ständig Screenshots angefertigt von dem was man so treibt. Das ist ja das ärgste Spionagetool überhaupt.
Zum Vergrößern anklicken....

Nein, da werden keine Screenshots gefertigt "von dem, was man so treibt".
 
  • Gefällt mir
Reaktionen: areiland, BFF, Der_Dicke82 und eine weitere Person
Mitaru schrieb:
Nein, da werden keine Screenshots gefertigt "von dem, was man so treibt".
Zum Vergrößern anklicken....
Naja, vielelicht übertrieben formuliert von mir, aber ich habe gestern zB von einer alten externen Festplatte ein bestimmtes Urlaubsfoto für ein Fotobuch gesucht und musste da eine Menge Bilder durch klicken, Mit der ganz normalen Foto App von Win 11. Später im Thumbcash1280.db nachgesehen und das war so als ob jemand neben mir saß und mich beim Browsen durch die Bilder mit seinem Fotoapperat "begeleitet" hätte. Da waren ur viele Bilder in den Thumbnails die mein Suchen dokumentierten. So etwas will ich einfach nicht. Das ist abartiges Überwachen und ein schwerer Verstoß gegen meine Privatsphäre. Ich habe mittlerweile auch schon englischsprachige Foren entdeckt wo sich andere über den gleichen Missstand ärgern.

just_f schrieb:
Wenn du eine Datenträgerbereinigung durchführst werden die Caches eh auch geleert.

Unter W11:
Einstellungen -> Speicher -> Temporäre Dateien -> Miniaturansichten
kannst du das auch manuell löschen/zurücksetzen.
Zum Vergrößern anklicken....
Naja selbst wenn die geleert werden sind sie nicht richtig gelöscht, also sicher nicht so vernichtet als würde man sie mit der Gutmann Methode 35x erasen. Zweitens was immer man auch ein oder abstellt, zb EInstellungen im View-Menü vom Explorer die thumbcache.db wird immer wieder mit neuen Screenshots gefüttert. Das sind zt 1280x720 Ansichten von Dingen die ich am Bildschirm betrachte. Das sind keine Vorschaubilder oder Miniaturansichten mehr.

Ich werde das jetzt einmal mit den Grupperichtlinien und der Registry versuchen abzustellen, aber in einem anderen Forum hat schon jemand geschrieben dass dies bei ihm nichts half.
 
RonnyDepp schrieb:
Ich werde das jetzt einmal mit den Grupperichtlinien und der Registry versuchen abzustellen, aber in einem anderen Forum hat schon jemand geschrieben dass dies bei ihm nichts half.
Zum Vergrößern anklicken....
Doch, das funktioniert.
Es liegen zwar dann immernoch neue thumbnail-Dateien im Ordner, die sind aber leer.
(Siehst du anhand der Größe und du kannst es mit dem Thumbnail Viewer prüfen)
 
RonnyDepp schrieb:
Später im Thumbcash1280.db nachgesehen und das war so als ob jemand neben mir saß und mich beim Browsen durch die Bilder mit seinem Fotoapperat "begeleitet" hätte. Da waren ur viele Bilder in den Thumbnails die mein Suchen dokumentierten. So etwas will ich einfach nicht. Das ist abartiges Überwachen und ein schwerer Verstoß gegen meine Privatsphäre.
Zum Vergrößern anklicken....

Thumbnails dokumentieren nichts. Sie sind Miniaturansichten der Dateien, zu denen sie gehören. Bei einem Bild wird dir dann dieses verkleinert angezeigt anstatt des Dateisymbols. Dadurch wirst du aber nicht ausspioniert oder sonstwas. Und es passiert auch nur bei kompatiblen Dateiformaten. Bei einer .mp3 wird dir nichts angezeigt.

Damit Windows diese Miniaturansichten aber nicht jedes Mal beim Betrachten der Datei im Explorer erneut erstellen muss, wird diese halt in einer Datenbank gespeichert: die Thumbcache.db. Das ist aber kein Überwachen und auch kein Verstoß deiner Privatsphäre.

Und mal ganz ehrlich, Thumbnails gibt es schon seit Jahrzehnten und werden auch nur auf dem System gespeichert.
 
  • Gefällt mir
Reaktionen: LuxSkywalker und areiland
RonnyDepp schrieb:
mit der Gutmann Methode 35x erasen.
Zum Vergrößern anklicken....
Im ersten Post von mir verkniff ich mir einen Aluhut Kommentar, nun ist er raus - mit mir.
Alles Gute!
 
  • Gefällt mir
Reaktionen: areiland
RonnyDepp schrieb:
Ich werde das jetzt einmal mit den Grupperichtlinien und der Registry versuchen abzustellen, aber in einem anderen Forum hat schon jemand geschrieben dass dies bei ihm nichts half.
Zum Vergrößern anklicken....
Der Registrykey scheint nicht zu funktionieren (ist vielleicht noch aus Windows 10 zeiten), aber die GPO funktioniert gut. Wenn du auch keine thumbs.db im Verzeichnis haben willst gibt da auch die passende Einstellung. Allerdings generiert er die thumbs dann jedesmal on the fly.
Ergänzung ()

PS: Korrektur, der Registry key funktioniert. Allerdings nur für lokale Laufwerke :) Für Bilder auf Netzlaufwerken werden immer noch thumbs gecached. Das kann man dann aber per GPO abschalten.
 
Zuletzt bearbeitet:
RonnyDepp schrieb:
Ich hab mir den Thumbcachviewer runtergeladen und es ist ja erschreckend wie man da nachverfolgbar ist über die thumbcash.db Einträge.
Zum Vergrößern anklicken....
Ich frage mich, was "erschreckender" ist: die Thumbnails hier oder die Tatsache, dass viele Firmen mehr über einen wissen, als man selbst. Und das anhand dessen, was man sich so im Netzt anschaut oder irgendwo auch liked. Das ist her die Frage die ich mir hier stellen würde als die Panik über die Thumbnails. Passt irgendwie nicht zusammen.
 
oicfar schrieb:
Ich frage mich, was "erschreckender" ist: die Thumbnails hier oder die Tatsache, dass viele Firmen mehr über einen wissen, als man selbst. Und das anhand dessen, was man sich so im Netzt anschaut oder irgendwo auch liked. Das ist her die Frage die ich mir hier stellen würde als die Panik über die Thumbnails. Passt irgendwie nicht zusammen.
Zum Vergrößern anklicken....
Hm, ich like im Netz nichts, bin am PC mit keinem Google Account irgendwo eingeloggt, schreibe keine Kommentare auf YT und binauch in keinem Social Media Dinest eingeloggt. Ich verwende Noscript und UBlock Origin, lösche immer ALLE Cookies verwende immer häufiger Tails und Veracrypt.

Aber selbst wenn du am Windowsrechner alles löscht bzw hardcore Safe shredderst, kann man über die Thumbnail Cache DB sehen was du dir in den letzten Monaten so angeschaut hast.

Ich habe jetzt, nach oben empfohlenen Schritten, in den Gruppenlrichtlinien UND im Registry die Erstellung von thumbcaches verboten. Dennoch finde ich nach einem Neustart schon wieder ein Bilderorgie in den thumbcache1280.db meiner letzten Aktivitäten, also wo ich Fotoalben mit dem windowseigenen Bildbetrachter durchgegangen bin. Von allen Bildern gibt es 1280 Pixel "Thumbnails" Das ist ein absoluter Irrsinn! Ich werde jetzt Irfanview installieren und schauen ob auch über dieses Programm die Thumbcache DB angefüttert wird.

just_f schrieb:
Im ersten Post von mir verkniff ich mir einen Aluhut Kommentar, nun ist er raus - mit mir.
Alles Gute!
Zum Vergrößern anklicken....
Danke für deinen entbehrlichen sinnlosen Beitrag. Bei Leuten die in Ermangelung an konstruktiven Beiträgen und in überheblicher Manier den "Aluhut-Joker" ziehen, weiß man eh sofort alles. Auf solche Leute kann man getrost verzichten! Danke für deine Glückwünsche und Tschüss!


Mitaru schrieb:
Und mal ganz ehrlich, Thumbnails gibt es schon seit Jahrzehnten und werden auch nur auf dem System gespeichert.
Zum Vergrößern anklicken....
Ich glaube hier haben sich einige noch niemals den Explorer Ordner mit den "Thumbnail" caches angesehen. Ich auch erst vor 2-3 Tagen. Wir reden hier nicht von den kleinen 16x16 oder viellleicht 64x64 pixel Icons. Mit dem Thumbnailchache viewer kannst du die 1280 und 1920 großen "Icons/Thumbnails" betrachten und das sind schon fast Screenshots. das sind keine Thumbnails mehr im klassischen Sinne.
 
RonnyDepp schrieb:
macht Windoof scheinbar ein Logfile deiner Aktivitäten
Zum Vergrößern anklicken....
So ist es. Es wird fast jeder Klick protokolliert. In z.B. sog. Shellbags werden geöffnete Programme, Ordner und Dateien gespeichert. Auch in Logs, Journalen und anderen Datenbanken tauchen durchaus sensible Daten auf.

Anders als vielleicht bei Windows XP oder 7, werden ab Windows 10 viele solcher Informationen als Teil von Telemetriedaten mit an Microsoft übermittelt.
Das MS dabei keine Rücksicht auf möglicherweise sensible Daten nimmt, ist weitläufig bekannt.

Wenn du dir einen Überblick über jegliche Nutzungsspuren verschaffen willst, kannst du dir PrivaZer anschauen.

Klicke dort rechts auf "Detaillierter Scan" und deaktiviere während der Suche die Option "Reinigung starten".
Wenn du etwas automatisiert bereinigen lassen willst, solltest du es entsprechend konfigurieren.
Denn es kann auch u. a. Browserverläufe, Verlaufslisten im Startmenü, Jumplisten einschließlich angepinnter Einträge und andere Einträge die du vielleicht behalten möchtest, entfernen.
Die Nutzungsspuren werden übrigens sicher überschrieben und sind unwiederherstellbar.
 
  • Gefällt mir
Reaktionen: RonnyDepp
RonnyDepp schrieb:
Mit dem Thumbnailchache viewer kannst du die 1280 und 1920 großen "Icons/Thumbnails" betrachten und das sind schon fast Screenshots. das sind keine Thumbnails mehr im klassischen Sinne.
Zum Vergrößern anklicken....
Dafür sind es die Voransichten z.B. für die Foto Anzeige, die die Bilder recht gross schon in ihrer Übersicht darstellt, bevor Du den Ordner angesteuert und die einzelnen Bilder aufgerufen hast. Genau dafür ist der Thumbnailcache nämlich da, Voransichten in allen möglichen Grössen zu speichern, damit diese Voransichten nicht erst beim öffnen der entsprechenden Programme und Apps extrahiert werden müssen.

Und weil die Grössen dieser Cache-Dateien auch noch begrenzt sind, siehst Du nach einem Durchgang durch Deine Bilderordner völlig logisch vor allem Vorschauen der von Dir zuletzt besuchten Bilderordner, was Dir dann ganz klar als Diashow Deiner letzten Aktivitäten vorkommt.

Könnte man alles wissen und nachvollziehen, wenn man an diese Dinge logisch herangeht!
 
  • Gefällt mir
Reaktionen: RonnyDepp
RonnyDepp schrieb:
Ich habe jetzt, nach oben empfohlenen Schritten, in den Gruppenlrichtlinien UND im Registry die Erstellung von thumbcaches verboten. Dennoch finde ich nach einem Neustart schon wieder ein Bilderorgie in den thumbcache1280.db meiner letzten Aktivitäten, also wo ich Fotoalben mit dem windowseigenen Bildbetrachter durchgegangen bin. Von allen Bildern gibt es 1280 Pixel "Thumbnails" Das ist ein absoluter Irrsinn! Ich werde jetzt Irfanview installieren und schauen ob auch über dieses Programm die Thumbcache DB angefüttert wird.
Zum Vergrößern anklicken....
Schau mal hier https://it-forensik.fiw.hs-wismar.de/images/a/a5/BT_SAugustin.pdf rein. Im Kapitel zu Deaktivierung. Vielleicht hilft es weiter?
Ergänzung ()

Wenn ich bei mir das
1716713586743.png

lösche, dann sind die Dateien nach der Aktion leer. Works as expected!
1716713602677.png
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: RonnyDepp und SPB
Vielen Dank für die konstruktiven und inhaltlich sehr interessanten Beiträge. Ich werde mir das alles genau ansehen. Gestern habe ich dann noch Irfan View installiert und seit dem gibt es keine Thumbnails mehr in den Thumbcache.db Files. Irfan speichert scheinbar keine Thumbnails ab, was in Foren natürlich andere wieder stört. Mich freut es. ACDSee Photostudio Home hingegen legt in eigenen AppData Unterordnern sehr wohl wieder Thumbnails an.

PC295 schrieb:
Anders als vielleicht bei Windows XP oder 7, werden ab Windows 10 viele solcher Informationen als Teil von Telemetriedaten mit an Microsoft übermittelt.
Zum Vergrößern anklicken....
JA Wahnsinn. Von Win 10 hatte ich extra eine Enterpreis Edition weil man da Cortana und die Telemetrie komplett deaktivieren konnte. Hat zumindest der Typ von Thul Teim DE so erklärt. Von Win 11 habe ich allerdings nur die Pro Version. Da lässt sich die Telemetrie wahrscheinlich nur unzureichend über Tricks mit der host Datei deaktivieren.

Dazu ganz aktuell, die totale Überwachung von MS mit Recall:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

Ich werde jetzt Schritt für Schritt alles so weit wie möglich auf Linux Mint umstellen und für jeden Anwendungsfall einen eigenen Rechner installieren. Platz genug ist hier ja. Um eine Windowsmaschine werde ich aber wegen Forza Horizon nicht herum kommen. 😉
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz