c# open pdf adobe reader : Delete page on pdf SDK software project winforms windows .net UWP THUMBS%20DB%20FILES%20FORENSIC%20ISSUES0-part1404

Page 1 
Thumbs.db – Definition
A thumbnail view is commonly known to be a miniature picture 
that represents a larger graphic.  Thumbnails are used in FTK and 
FTK Imager to present large numbers of graphics to the user in a 
small amount of space.  The investigator can review the images to 
locate files of interest.   
The Microsoft Windows operating system also has the ability to generate thumbnail views of files and 
display them to the user.  Starting with Windows ME, the user can select View > Thumbnails from the 
Windows Explorer drop down menu.  This will display the graphics in that particular folder as thumbnails 
instead of the details or icon views normally selected (see Figure 1).
The thumbnail viewer is particularly handy for users with large amounts of graphics.  Thumbnails 
make it is easier to sort through large numbers of files by viewing small depictions of the photos instead 
of the standard arcane names often used, especially in the realm of digital cameras. 
Thumbnails also speed up the processing of graphics hence the reason they were created in the Mi-
crosoft operating systems.  Aside from these advantages, the downside of thumbnails is that when ac-
cessed, a hidden system file is created in the folder the files are stored in.  These system files aren’t visi-
ble to the common user and as such can take up successively more drive space.  This may be bad for 
the user, but good for the forensic investigator.  This system file is called a thumbs.db and is actually a 
database of the miniature images that exist in the folder from which they were initiated.   
THUMBS DB FILES 
FORENSIC ISSUES
Dustin Hurlbut 
Figure 1 - Thumbs.db and Thumbnail Views in Windows Explorer 
Delete page on pdf - remove PDF pages in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
Provides Users with Mature Document Manipulating Function for Deleting PDF Pages
delete a page from a pdf acrobat; delete pdf pages acrobat
Delete page on pdf - VB.NET PDF Page Delete Library: remove PDF pages in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
Visual Basic Sample Codes to Delete PDF Document Page in .NET
delete page from pdf preview; delete pages pdf
Page 2 
Figure 2 - Thumbs.db Variations 
System 
Windows ME 
Windows 2000 
Windows XP 
Windows 2003 
Drive 
Yes 
Yes 
No 
No 
Filename 
Yes 
Yes 
Yes 
Yes 
Path 
Yes 
Yes 
No 
No 
Figure 3 - Turning Off Thumbnails 
Operating System Issues
Windows stores the following formats 
as  thumbnails:   JPEG,  BMP,  GIF,  and 
HTM.    Each  thumbnail  created  in  a 
folder is represented in this database as 
a small JPEG file, regardless of the file’s 
original format.  Each folder with initiated 
thumbnail views will have thumbs.db file. 
The early versions of thumbs.db files as they appeared in Windows ME and Windows 2000 con-
tained not only the thumbnail image of the parent file, but also the filename, drive letter, and path to that 
image.  Later versions, Windows XP and Windows 2003, store the image and its filename but not the 
path.  See Figure 2 for variations in these operating systems.   
It is important to note that in Windows 2000 when it is located in an NTFS formatted drive, will create 
the thumbnails as an Alternate Data Stream (ADS) rather then create a separate thumbs.db file.  This 
ADS information is actually part of the original graphic file so no alternative thumbs.db file is necessary 
and will not appear in the folder.  The thumbs.db file in Windows 2000 will only appear when the folder is 
in a FAT formatted environment.  Alternate Data Streams cannot exist in a FAT system. 
An interesting aspect of thumbs.db files is that when a graphic is viewed and an entry made for it in 
the database, it is maintained indefinitely by the operating system.  If the file is deleted, the image will 
remain unless the thumbs.db file or the entire folder are deleted.   
Thumbnails are turned on by default so the thumbs.db file will be created anytime the user chooses 
to view them.  The user can turn this feature off in XP (see Figure 3) by selecting Tools > Folder Op-
tions, select the View Tab and then check the “Do not cache thumbnails” box.  This will turn off the crea-
tion of thumbs.db files.  With this feature disabled, thumbnails will still be visible if selected, but they will 
not be saved in a thumbs.db file.  They will be kept in memory until the system is turned off.  They can 
also be turned off using the Registry in Windows XP by selecting a value of 1 in the following key: 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\DisableThumbnailCache. 
In  2000,  the 
following key enables them individually by file type: 
HKEY_CLASSES_ROOT\<FileType>\ShellEx\, 
followed by the 
default setting of: 
7376D660-C583-11D0-A3A5-00C04FD706EC 
where <filetype> is the particular file extension. 
C# PDF File & Page Process Library SDK for C#.net, ASP.NET, MVC
C# File: Merge PDF; C# File: Split PDF; C# Page: Insert PDF pages; C# Page: Delete PDF pages; C# Read: PDF Text Extract; C# Read: PDF
copy pages from pdf to another pdf; delete page from pdf file online
C# PDF Page Insert Library: insert pages into PDF file in C#.net
page processing functions, such as how to merge PDF document files by C# code, how to rotate PDF document page, how to delete PDF page using C# .NET, how to
delete blank page in pdf online; cut pages out of pdf online
Page 3 
Figure 4 - Thumbs DB Icon Views 
If  a  file  does  not  fit 
the type of graphic Win-
dows  will  display  as  a 
thumbnail,  it  will  display 
an  appropriate  icon  in-
stead.   For  example,  in 
Figure 4, you will see a 
text document icon for a 
text file, Word icon for a 
Word  document,  or  an 
Excel icon for a spread-
sheet. Windows will also 
display the first slide of a 
PowerPoint thumbnail in 
place  of  an  icon  and 
other application icons in 
many cases.  There are 
programs  out  there  that 
can  display  other  types 
of graphic thumbnails in 
the  Windows  environ-
ment. 
Figure 5 - Viewing Thumbs.db Files in FTK 
Viewing Thumbs.db Files in FTK
FTK will display thumbs.db database records as well as the miniature graphics generated in each.  If 
you click on the thumbs.db file (see Figure 5), you will see an HTML representation of the record infor-
mation such as filename and modified time (and path information if created in Windows ME or 2000).  
Often, this can lead the investigator to look for supporting information such as removable media, .LNK 
files, or other artifacts that may support the existence of suspect evidence. 
VB.NET PDF Page Insert Library: insert pages into PDF file in vb.
PDF: Insert PDF Page. VB.NET PDF - How to Insert a New Page to PDF in VB.NET. Easy to Use VB.NET APIs to Add a New Blank Page to PDF Document in VB.NET Program.
delete blank pages in pdf files; delete pages from pdf preview
C# PDF remove image library: remove, delete images from PDF in C#.
C# File: Merge PDF; C# File: Split PDF; C# Page: Insert PDF pages; C# Page: Delete PDF pages; C# Read: PDF Text Extract; C# Read: PDF
delete pages from pdf acrobat; delete pages from a pdf
Page 4 
FTK stores thumbs.db files in the Archive container.  Since each thumbs.db file in every folder bears 
the same name, it is helpful to create a custom column setting for viewing the thumbs.db’s that has the 
path setting visible.  This allows you to sort quickly through different files and their respective locations. 
Figure 6 - Viewing Thumbnails in FTK’s Explore Tab 
Figure 7 - Viewing Thumbnails in FTK’s Graphics Tab 
To view the actual thumbnail graphic in FTK, select the thumbs.db file of interest in the Explore tab 
and then select the desired graphic below in the File List pane (See Figure 6).  All graphic thumbnails 
are stored in the Graphics tab as seen in Figure 7.  From here, you can view all the miniatures stored in 
a specific thumbs.db file or you can view all the graphics in the case.   
VB.NET PDF delete text library: delete, remove text from PDF file
VB.NET: Delete a Character in PDF Page. It demonstrates how to delete a character in the first page of sample PDF file with the location of (123F, 187F).
delete page pdf online; delete blank pages in pdf files
VB.NET PDF remove image library: remove, delete images from PDF in
C# File: Split PDF; C# Page: Insert PDF pages; C# Page: Delete PDF pages; C# Read: PDF Text Extract; Delete image objects in selected PDF page in ASPX webpage.
copy pages from pdf into new pdf; delete blank page in pdf
Page 5 
Forensic Issues - Thumbs.db Files
There are a number of forensic issues associated with Thumbs.db files.  Most importantly, thumbs.db 
files will contain an image of every graphic in the folder if the user viewed them as thumbnails.  This may 
be unknown to the user as they are hidden system files.  Each time files are added to the folder, new 
records and miniature graphics will be created in the thumbs.db. 
As an example, a suspect in a child pornography case could easily have hundreds of graphics stored 
in their system in thumbs.db files.  Once created, they maintain information on each of the individual 
files.  If graphics files are deleted from the folder, the thumbs.db file will retain them.  So, a suspect who  
has deleted evidence of photos prior to seizure of the computer, may still have thumbnail images of the 
graphics stored in the thumbs.db files.  These graphics will remain, even if the folder is renamed or they 
may be located in unallocated space as deleted files.  This can be potentially important evidence, espe-
cially in light of a suspect who denies those types of files were on their system. 
A real world example of the forensic utility of thumbs.db files in this instance is demonstrated by a 
recent case examination by Forensic Examiner Tanja Giacovelli of Alste Technologies in Germany.  She 
was investigating an allegation of child pornography on a suspect’s computer.  The suspect denied hav-
ing child porn on his system and indeed, there were no full size images on the fixed media.  However, 
there were thumbs.db files left on the computer that contained apparent suspect material. 
The suspect also had several CDs which did contain child pornography.  Inadvertently, he had copied 
existing thumbs.db files over to CD from his folders along with the actual graphics.  Using FTK, FTK 
Imager, and the Known File Filter, Tanja compared hashes of the thumbnails in the thumbs.db archives 
from the main computer with the thumbnails found in the thumbs.db files on the CDs and discovered 
exact matches.  Thus she was able to show the thumbs.db files located on the suspect’s system were 
the same as those on the CDs allowing her to deduce that the full sized graphics on the CDs were in-
deed on the suspect’s computer at one time. 
Figure 8 - FTK View of Hashed Duplicate Thumbs.db Items 
C# PDF delete text Library: delete, remove text from PDF file in
C#.NET Sample Code: Delete Text from Specified PDF Page. The following demo code will show how to delete text in specified PDF page. // Open a document.
delete page from pdf file; delete page in pdf preview
C# PDF metadata Library: add, remove, update PDF metadata in C#.
Allow C# Developers to Read, Add, Edit, Update and Delete PDF Metadata in .NET Project. Remove and delete metadata from PDF file.
delete pages in pdf reader; delete page in pdf document
Page 6 
The example in Figure 8 demonstrates comparing hashes of duplicate thumbnails in a case.  These 
thumbnails were created and then hashed by FTK.  They were subsequently copied, recreated, and 
hashed again producing the duplicates.  This can be valuable information in a graphics case to show 
possession or distribution by a suspect.  This example simulates locating thumbnail graphics on a sys-
tem along with duplicates on other media. 
If encryption is an issue with a case, a JPEG, GIF, BMP or PowerPoint file that is encrypted with the 
Microsoft Encrypting File System (EFS) can be visible if it is saved in a thumbs.db file.  The actual file 
will continue to be encrypted but the miniature will not.  In the case of a PowerPoint file, the first slide of 
the series will be displayed in an unencrypted form.  This security flaw was recognized by Microsoft and 
fixed in subsequent releases. 
Another interesting aspect of the thumbs.db miniatures is that each of the created thumbnails will 
bear a JFIF (JPEG) header regardless of the original file’s extension.  This will result in FTK finding bad 
extensions for each of the thumbs that is not a JPEG file.  In Figure 9, any .bmp files that are stored as 
thumbnails will have JFIF headers and will be classified in the FTK Bad Extension’s container.   
Figure 9 - Thumbs.db Bad Extensions in FTK 
It isn’t uncommon to find hundreds of files in the Bad Extension container.  While this used to be a 
low tech method of hiding graphics from older style viewers that read files by extension rather then 
header, It isn’t commonly used anymore.  Seeing the bad extensions can lead to questions about why 
someone would change a .JPG to a .BMP until realizing they are from the thumbnail viewer in Windows. 
An Exercise in Hashing Thumbnails
This exercise will duplicate the circumstance cited early of the investigation by Tanja Giacovelli.  We’ll 
presuppose we have a suspect who claims to have no child pornography on his system but does have 
thumbs.db files that appear to have incriminating graphics in them.  This exercise will give you experi-
ence in creating and viewing thumbs.db files as well as creating a hash set for comparative purposes.  
This exercise will only work in Windows XP (and on Windows 2000 if the media is formatted in FAT).  
Creating the Files - Create a folder on your desktop called “Suspect Graphics”.  Place four or five 
graphics in this folder.  You can use photos, internet graphics, or sample graphics found in My Docu-
ments > My Pictures if you have them. 
Page 7 
Creating the Thumbnails - Navigate to this folder in Windows Explorer and Select View > Thumb-
nails.  This will create the thumbs.db file and display the graphics as thumbnails.  See Figure 10 for 
these preliminary steps. 
Figure 10 - Creating Sample Thumbnails and a Thumbs.db 
If you don’t see the thumbs.db file on your system, first make sure you have show hidden files and 
folders selected in your Windows Explorer Options Tab.  Go to Windows Explorer, select Tools > Folder 
Options, select the View tab and check the “Show hidden files and folders” option as well as unselecting 
“Hide extensions for known file types” and unselecting “Hide protected operating system files”.  If you 
still don’t see it, you may have a Windows 2000 operating system working on an NTFS drive in which 
case you will not have a thumbs.db but rather Alternate Data Streams handling the thumbnails. 
Simulating the Suspect Moving the Graphics - Now we will simulate the suspect moving the 
graphics to removable media off the computer system.  As in Tanja’s example, the suspect inadvertently 
moved the thumbs.db files as well as the actual graphics to a CD.  Start by creating a second folder on 
the Desktop named “Moved Suspect Graphics”.  Then copy the graphics and the existing thumbs.db file 
to this new folder.   
Figure 11 - Copying the Files from the Suspect System to a Simulated Removable Media 
Copying Graphics Files 
and the Thumbs.db 
Page 8 
Next, delete the files from the Suspect Graphics folder taking care not to delete the thumbs.db file.  
We have now duplicated what the suspect did.  He copied the files to CD along with the thumbs.db and 
then deleted the graphics files from the original location leaving the thumbs.db file behind.  Remember, 
the thumbs.db file is a protected system hidden file.  If the suspect didn’t have his Explorer set to view 
such files he would not see it to delete it. 
Hashing the Thumbnails - Now we have the Suspect Graphics folder containing only a thumbs.db 
file.  This thumbs.db file will contain miniature images of the original graphics we deleted.  We will hash 
these items and add them to the hash library to compare to the copied thumbnails in the Moved Suspect 
Graphics folder.  
Step 1 - Open FTK and select “Go directly to working in program”. 
Step 2 - Select File > Add Evidence, select Next, and deselect all processes to perform 
except MD5 Hash finishing with Next. 
Step 3 - Select Add Evidence, Contents of a Folder and continue. 
Step 4 - Navigate to the Suspect Graphics folder on the Desktop, select OK, and Next, 
and Next again to bring in the folder to FTK. 
Figure 12 - Adding Suspect Graphics Folder to FTK 
Page 9 
Next, we’ll create the hash set of the original thumbs.db by using the FTK command of Copy Special.  
This will create the hash set we need to export to our custom hash database. 
Step 1 - Select the Overview tab and then select the Total File Items container button. 
Step 2 - In the File List Pane at the bottom, highlight all the graphics and the thumbs.db 
file, right click and select Copy Special. 
Step 3 - In the Copy Special dialog box, select “Unselect All”. 
Step 4 - Place a checkmark next to the File Name column and the MD5 Hash column (near 
the bottom).   
Step 5 - Select a copy destination of “File” and browse to the Desktop naming it Suspect 
Graphics Hashes. 
Step 6 - Select the Copy button to send the hash list to the file on the Desktop. 
Figure 13 - Creating Hash Sets in FTK with Copy Special 
Page 10 
We  now  have a hash  list of the thumbnails that existed  in  the  thumbs.db  file as  well as  of the 
thumbs.db itself.  Now, we want to compare them to what is in the Moved Suspect Graphics folder we 
created.   However, we have another step to take before leaving the current FTK session.  We need to 
place those hashes we want to compare into the hash library.   
Step 1 - Go to the Tools menu in FTK and select Import KFF Hashes. 
Step 2 - Browse to the file Suspect Graphics Hashes.CSV and select Open. 
Step 3 - Name the hash set Suspect Graphics Hashes and set them to Alert. 
Step 4 - You will receive a dialog box stating the number of new hashes you added to the 
library. 
NOTE:  If you wish to create a custom hash library for this exercise instead of 
using the standard AccessData KFF library, you can download the “empty.hdb” file 
from the AccessData website and use it instead.  Just make sure you change the 
pointer to that library from the default in the Tools > Options menu in FTK.  
 empty.hdb is located at the bottom of the downloads web page 
Figure 14 - Importing New Hashes into FTK 
Documents you may be interested
Documents you may be interested