Text version: 1.00
Общие сведения об операционной системе Windows
 |
Работа в операционной системе Windows преимущественно происходит с использованием графического интерфейса пользователя (GUI), при этом в большом количестве используются визуальные подсказки в виде небольших изображений (иконок), позволяющие даже плохо подготовленному пользователю быстро определить ассоциированное с иконкой действие.
Файлы IconCache.db и ShellIconCache
По умолчанию в Windows используется стандартная оболочка, включающая в себя (в том числе) Рабочий стол и меню Пуск, позволяющие пользователю производить быстрый запуск приложений или открытие документов. Как на рабочем столе, так и в меню Пуск, с каждой программой или документом связана своя иконка. Изначально эти иконки берутся из ресурсов самих приложений или связанных с документами приложений, но пользователь имеет возможность сменить связанную иконку на любую другую. Сама операция извлечения иконки из ресурсов приложений достаточно ресурсоемкая и при большом количестве элементов на рабочем столе суммарное время их загрузки может быть достаточно большим и вызывать дискомфорт пользователя.
Для решения проблемы медленного отображения иконок разработчики ОС Windows добавили механизм кэширования иконок. В современных версиях ОС Windows все извлекаемые иконки сохраняются в файл IconCache.db, который сохраняется в директории %LOCAL_APPDATA%, и необходимо помнить, что ее месторасположение может зависеть от настроек и версии операционной системы. Так, например, в Windows XP путь может выглядеть как C:\Documents and Settings\%UserName%\Local Settings\Application Data\IconCache.db, а в Windows 7 как C:\Users\%UserName%\AppData\Local\IconCache.db. В ранних версиях ОС Windows для хранения иконок использовался файл ShellIconCache, который располагался в директории %WINDOWS%.
Особенности файлов IconCache.db и ShellIconCache
Файлы IconCache.db и ShellIconCache имеют атрибут "Скрытый" и не видны при обычных условиях, и для их обнаружения используемый файловый менеджер должен быть настроен на показ скрытых файлов.
Файлы записаны в проприетарном формате, и не доступны для просмотра обычными средствами. Они имеет следующую сигнатуру:
| Signature offset | Hex view of signature | Text view of signature |
| 0x0004 | \x57\x69\x6E\x34 | Win4 |
Помимо иконки в файлы записывается дополнительная метаинформация: имя файла (в последних версиях ОС Windows включая полный путь к файлу), из которого извлечена данная иконка и индекс иконки в файле.
Восстановление файлов IconCache.db и ShellIconCache
Вследствие сбоев в работе ОС Windows файл IconCache.db может быть поврежден. Об этом можно судить, например, по тому, что иконка приложения меняется на иконку какого-либо другого приложения, или иконка приложения становиться полностью черной. Если перезагрузка компьютера не решает данную проблему, то для восстановления корректного отображения иконок необходимо пересоздать файл IconCache.db. Сделать это можно несколькими способами.
Пересоздание кэша иконок путем изменения глубины цвета дисплея
Ниже приведена последовательность действий для ОС Windows XP SP3, для других версий ОС Windows последовательность действий или сами действия могут незначительно отличаться.
- Открыть Панель управления и в ней открыть аплет Экран. Также аплет Экран можно вызвать, щелкнув правой кнопкой мыши на свободном участке рабочего стола, и в появившемся контекстном меню выбрав пункт Свойства.
- В открывшемся окне Свойства: Экран выбрать вкладку Параметры.
- Изменить качество цветопередачи (глубину цвета) на другое значение. Например, изменить Самое высокое (32 бита) на Среднее (16 бит).
- Нажать кнопку Применить, а в появившемся диалоге нажать кнопку Да.
- Изменить качество цветопередачи (глубину цвета) на первоначальное значение.
- Нажать кнопку Применить, а в появившемся диалоге нажать кнопку Да.
Пересоздание кэша иконок путем изменения размера иконок
Ниже приведена последовательность действий для ОС Windows XP SP3, для других версий ОС Windows последовательность действий или сами действия могут незначительно отличаться.
- Открыть Панель управления и в ней открыть аплет Экран. Также аплет Экран можно вызвать, щелкнув правой кнопкой мыши на свободном участке рабочего стола, и в появившемся контекстном меню выбрав пункт Свойства.
- В открывшемся окне Свойства: Экран выбрать вкладку Оформление.
- На вкладке Оформление нажать на кнопку Дополнительно.
- В открывшемся окне Дополнительное оформление выбрать элемент Значек.
- Изменить числовое значение в соответствующем поле Размер.
- Нажать кнопку ОК
- В окне Свойства: Экран нажать кнопку Применить.
- В окне Свойства: Экран на вкладке Оформление повторно нажать на кнопку Дополнительно.
- В открывшемся окне Дополнительное оформление выбрать элемент Значек.
- Восстановить исходное числовое значение в соответствующем поле Размер.
- Нажать кнопку ОК.
- В окне Свойства: Экран нажать кнопку ОК.
Пересоздание кэша иконок путем удаления файлов кеша
- Удалить файл Iconcache.db или ShellIconCache в зависимости от используемой ОС Windows.
- Завершить все процессы с именем explorer.exe с помощью программы Task Manager, которую можно вызвать с помощью комбинации клавиш Ctrl+Shift+Esc.
- С помощью программы Task Manager запустить процесс explorer.exe или произвести перезагрузку.
После указанных действий кэш иконок будет пересоздан.
Настройки реестра, влияющие на файлы IconCache.db и ShellIconCache
| Раздел | Ключ | Тип | Описание |
| HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer | Max Cached Icons | REG_SZ | Определяет максимальное количество кэшированных иконок в файле IconCache.db или ShellIconCache. Допустимые значения: 100-4096. По умолчанию используется значение 500. |
Анализ файлов IconCache.db и ShellIconCache
Programs allow to view content of thumbnail cache files created by Windows (IconCache.db):
ThumbnailExpert
ThumbnailExpert is a unique application for forensic examination of thumbnail cache files created by different programs that deal with multimedia content. These programs include image viewers, video editors, file managers, software for mobile phones and many others. ThumbnailExpert is a fully automated application that does not require deep knowledge of examined files, their structure and location. The program can find and decode files on its own. Retrieved data can be exported or used to create a comprehensive report. ThumbnailExpert is an indispensible utility for complete and quality forensic examination.
| Forensic version: | Read more | Download demo | Buy now | |
| Professional version: | Read more | Download demo | Buy now | |
| Lite version: | Read more | Download demo | Buy now |
dec Windows Thumbnail Database Viewer
dec Windows Thumbnail Database Viewer is a forensic application designed to help users view and extract data from such files as Thumbs.db, thumbcache_idx.db, thumbcache_1024.db, thumbcache_256.db, thumbcache_96.db, thumbcache_32.db, IconCache.db, ShellIconCache. These files are created by the family of Microsoft Windows OS, including Windows 7. The program can also extract data from ehthumbs_vista.db, ehthumbs.db, Image.db, Video.db, TVThumb.db, created by different versions of Windows Media Center. The program searches for above mentioned files in a storage device, extracts thumbnails and related metadata from found files and creates a report on the content of found files. dec Windows Thumbnail Database Viewer can be used for forensic examination and recovery of lost images from copies.
| Read more | Download demo | Buy now |
decThumbsDBViewer
The plugin for Total Commander that allows users to view and extract content of thumbnail cache files created by Microsoft Windows (Thumbs.db, thumbcache_idx.db, thumbcache_1024.db, thumbcache_256.db, thumbcache_96.db, thumbcache_32.db, IconCache.db and ShellIconCache), Windows Media Center (ehthumbs_vista.db, ehthumbs.db, Image.db, Video.db and TVThumb.db) and Total Commander (tcthumbs.db and tcthumbs.idb). The plugin allows saving any thumbnail or all thumbnails simultaneously to the hard disk drive. It’s also possible to copy thumbnails to clipboard.
| Read more | Download demo | Buy now |
