Local Cloud Storage

Gebruik Trickest om maklik te bou en werkvloei te outomatiseer wat deur die wêreld se mees gevorderde gemeenskap gereedskap aangedryf word. Kry Toegang Vandag:

OneDrive

In Windows kan jy die OneDrive-gids vind in \Users\<username>\AppData\Local\Microsoft\OneDrive. En binne logs\Personal is dit moontlik om die lêer SyncDiagnostics.log te vind wat interessante data bevat rakende die gesinkroniseerde lêers:

• Grootte in bytes

• Skeppingsdatum

• Wysigingsdatum

• Aantal lêers in die wolk

• Aantal lêers in die gids

• CID: Unieke ID van die OneDrive-gebruiker

• Verslaggenerasietyd

• Grootte van die HD van die OS

Sodra jy die CID gevind het, word dit aanbeveel om lêers te soek wat hierdie ID bevat. Jy mag dalk lêers met die naam: <CID>.ini en <CID>.dat vind wat interessante inligting kan bevat soos die name van lêers wat met OneDrive gesinkroniseer is.

Google Drive

In Windows kan jy die hoof Google Drive-gids vind in \Users\<username>\AppData\Local\Google\Drive\user_default Hierdie gids bevat 'n lêer genaamd Sync_log.log met inligting soos die e-posadres van die rekening, lêernames, tydstempels, MD5-hashes van die lêers, ens. Selfs verwyderde lêers verskyn in daardie loglêer met die ooreenstemmende MD5.

Die lêer Cloud_graph\Cloud_graph.db is 'n sqlite-databasis wat die tabel cloud_graph_entry bevat. In hierdie tabel kan jy die naam van die gesinkroniseerde lêers, gewysigde tyd, grootte, en die MD5 kontrole som van die lêers vind.

Die tabeldata van die databasis Sync_config.db bevat die e-posadres van die rekening, die pad van die gedeelde gidsen en die Google Drive weergawe.

Dropbox

Dropbox gebruik SQLite-databasisse om die lêers te bestuur. In hierdie Jy kan die databasisse in die gidsen vind:

• \Users\<username>\AppData\Local\Dropbox

• \Users\<username>\AppData\Local\Dropbox\Instance1

• \Users\<username>\AppData\Roaming\Dropbox

En die hoofdatabasisse is:

• Sigstore.dbx

• Filecache.dbx

• Deleted.dbx

• Config.dbx

Die ".dbx" uitbreiding beteken dat die databasisse versleuteld is. Dropbox gebruik DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)

Om beter te verstaan die versleuteling wat Dropbox gebruik, kan jy lees https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.

Tog, die hoofinligting is:

• Entropie: d114a55212655f74bd772e37e64aee9b

• Salt: 0D638C092E8B82FC452883F95F355B8E

• Algoritme: PBKDF2

• Herhalings: 1066

Afgesien van daardie inligting, om die databasisse te ontsleutel het jy steeds nodig:

• Die versleutelde DPAPI-sleutel: Jy kan dit in die register vind binne NTUSER.DAT\Software\Dropbox\ks\client (voer hierdie data as binêr uit)

• Die SYSTEM en SECURITY hives

• Die DPAPI meester sleutels: Wat in \Users\<username>\AppData\Roaming\Microsoft\Protect gevind kan word

• Die gebruikersnaam en wagwoord van die Windows-gebruiker

Dan kan jy die hulpmiddel DataProtectionDecryptor:

As alles volgens verwagting verloop, sal die hulpmiddel die primêre sleutel aandui wat jy moet gebruik om die oorspronklike een te herstel. Om die oorspronklike een te herstel, gebruik net hierdie cyber_chef resep en plaas die primêre sleutel as die "wagwoord" binne die resep.

Die resulterende hex is die finale sleutel wat gebruik word om die databasisse te versleutel wat ontsleuteld kan word met:

sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db

The config.dbx databasis bevat:

• E-pos: Die e-pos van die gebruiker

• usernamedisplayname: Die naam van die gebruiker

• dropbox_path: Pad waar die dropbox-gids geleë is

• Host_id: Hash wat gebruik word om aan die wolk te autentiseer. Dit kan slegs vanaf die web herroep word.

• Root_ns: Gebruiker identifiseerder

Die filecache.db databasis bevat inligting oor al die lêers en gidse wat met Dropbox gesinkroniseer is. Die tabel File_journal is die een met die meeste nuttige inligting:

• Server_path: Pad waar die lêer binne die bediener geleë is (hierdie pad word voorafgegaan deur die host_id van die kliënt).

• local_sjid: Weergawe van die lêer

• local_mtime: Wysigingsdatum

• local_ctime: Skeppingsdatum

Ander tabelle binne hierdie databasis bevat meer interessante inligting:

• block_cache: hash van al die lêers en gidse van Dropbox

• block_ref: Verbind die hash ID van die tabel block_cache met die lêer ID in die tabel file_journal

• mount_table: Deel gidse van dropbox

• deleted_fields: Dropbox verwyderde lêers

• date_added

Gebruik Trickest om maklik te bou en werkvloei te automate wat deur die wêreld se meest gevorderde gemeenskap gereedskap aangedryf word. Kry Toegang Vandag: