Local Cloud Storage
Last updated
Last updated
Utilisez Trickest pour construire et automatiser facilement des flux de travail alimentés par les outils communautaires les plus avancés au monde. Accédez dès aujourd'hui :
Sous Windows, vous pouvez trouver le dossier OneDrive dans \Users\<username>\AppData\Local\Microsoft\OneDrive
. Et à l'intérieur de logs\Personal
, il est possible de trouver le fichier SyncDiagnostics.log
qui contient certaines données intéressantes concernant les fichiers synchronisés :
Taille en octets
Date de création
Date de modification
Nombre de fichiers dans le cloud
Nombre de fichiers dans le dossier
CID : Identifiant unique de l'utilisateur OneDrive
Heure de génération du rapport
Taille du disque dur du système d'exploitation
Une fois que vous avez trouvé le CID, il est recommandé de rechercher des fichiers contenant cet ID. Vous pourriez être en mesure de trouver des fichiers portant le nom : <CID>.ini et <CID>.dat qui peuvent contenir des informations intéressantes comme les noms des fichiers synchronisés avec OneDrive.
Sous Windows, vous pouvez trouver le dossier principal de Google Drive dans \Users\<username>\AppData\Local\Google\Drive\user_default
Ce dossier contient un fichier appelé Sync_log.log avec des informations telles que l'adresse e-mail du compte, les noms de fichiers, les horodatages, les hachages MD5 des fichiers, etc. Même les fichiers supprimés apparaissent dans ce fichier journal avec leur hachage MD5 correspondant.
Le fichier Cloud_graph\Cloud_graph.db
est une base de données sqlite qui contient la table cloud_graph_entry
. Dans cette table, vous pouvez trouver le nom des fichiers synchronisés, l'heure de modification, la taille et le hachage MD5 des fichiers.
Les données de la table de la base de données Sync_config.db
contiennent l'adresse e-mail du compte, le chemin des dossiers partagés et la version de Google Drive.
Dropbox utilise des bases de données SQLite pour gérer les fichiers. Dans ce cas, Vous pouvez trouver les bases de données dans les dossiers :
\Users\<username>\AppData\Local\Dropbox
\Users\<username>\AppData\Local\Dropbox\Instance1
\Users\<username>\AppData\Roaming\Dropbox
Et les principales bases de données sont :
Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx
L'extension ".dbx" signifie que les bases de données sont chiffrées. Dropbox utilise DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)
Pour mieux comprendre le chiffrement utilisé par Dropbox, vous pouvez lire https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.
Cependant, les principales informations sont :
Entropie : d114a55212655f74bd772e37e64aee9b
Sel : 0D638C092E8B82FC452883F95F355B8E
Algorithme : PBKDF2
Itérations : 1066
Outre ces informations, pour décrypter les bases de données, vous avez encore besoin de :
La clé DPAPI chiffrée : Vous pouvez la trouver dans le registre à l'intérieur de NTUSER.DAT\Software\Dropbox\ks\client
(exportez ces données en binaire)
Les ruches SYSTEM
et SECURITY
Les clés maîtresses DPAPI : Qui peuvent être trouvées dans \Users\<username>\AppData\Roaming\Microsoft\Protect
Le nom d'utilisateur et le mot de passe de l'utilisateur Windows
Ensuite, vous pouvez utiliser l'outil DataProtectionDecryptor:
Si tout se passe comme prévu, l'outil indiquera la clé principale dont vous avez besoin pour récupérer l'originale. Pour récupérer l'originale, utilisez simplement cette [recette cyber_chef](https://gchq.github.io/CyberChef/#recipe=Derive_PBKDF2_key(%7B'option':'Hex','string':'98FD6A76ECB87DE8DAB4623123402167'%7D,128,1066,'SHA1',%7B'option':'Hex','string':'0D638C092E8B82FC452883F95F355B8E'%7D) en mettant la clé principale comme "passphrase" à l'intérieur de la recette.
Le hex résultant est la clé finale utilisée pour chiffrer les bases de données qui peuvent être décryptées avec :
La base de données config.dbx
contient :
Email : L'email de l'utilisateur
usernamedisplayname : Le nom de l'utilisateur
dropbox_path : Chemin où se trouve le dossier Dropbox
Host_id : Hash utilisé pour s'authentifier sur le cloud. Cela ne peut être révoqué que depuis le web.
Root_ns : Identifiant de l'utilisateur
La base de données filecache.db
contient des informations sur tous les fichiers et dossiers synchronisés avec Dropbox. La table File_journal
est celle qui contient le plus d'informations utiles :
Server_path : Chemin où se trouve le fichier sur le serveur (ce chemin est précédé par l'host_id
du client).
local_sjid : Version du fichier
local_mtime : Date de modification
local_ctime : Date de création
D'autres tables à l'intérieur de cette base de données contiennent des informations plus intéressantes :
block_cache : Hash de tous les fichiers et dossiers de Dropbox
block_ref : Relie l'ID de hash de la table block_cache
avec l'ID de fichier dans la table file_journal
mount_table : Partage des dossiers de Dropbox
deleted_fields : Fichiers supprimés de Dropbox
date_added
Utilisez Trickest pour construire et automatiser facilement des workflows alimentés par les outils communautaires les plus avancés au monde. Accédez dès aujourd'hui :