Gebruik Trickest om maklik te bou en outomatiseer werkstrome aangedryf deur die wêreld se mees gevorderde gemeenskapshulpmiddels. Kry Vandaag Toegang:

OneDrive

In Windows kan jy die OneDrive-folder vind in \Users\<gebruikersnaam>\AppData\Local\Microsoft\OneDrive. En binne logs\Personal is dit moontlik om die lêer SyncDiagnostics.log te vind wat 'n paar interessante data bevat rakende die gesinkroniseerde lêers:

• Grootte in bytes

• Skeppingsdatum

• Wysigingsdatum

• Aantal lêers in die wolk

• Aantal lêers in die folder

• CID: Unieke ID van die OneDrive-gebruiker

• Verslaggenereringstyd

• Grootte van die HD van die OS

Sodra jy die CID gevind het, word dit aanbeveel om lêers te soek wat hierdie ID bevat. Jy mag lêers met die naam vind: <CID>.ini en <CID>.dat wat interessante inligting kan bevat soos die name van lêers wat met OneDrive gesinkroniseer is.

Google Drive

In Windows kan jy die hoof Google Drive-folder vind in \Users\<gebruikersnaam>\AppData\Local\Google\Drive\user_default Hierdie folder bevat 'n lêer genaamd Sync_log.log met inligting soos die e-posadres van die rekening, lêernaam, tydstempels, MD5-hashes van die lêers, ens. Selfs verwyderde lêers verskyn in daardie log-lêer met die ooreenstemmende MD5.

Die lêer Cloud_graph\Cloud_graph.db is 'n sqlite-databasis wat die tabel cloud_graph_entry bevat. In hierdie tabel kan jy die naam van die gesinkroniseerde lêers, gewysigde tyd, grootte, en die MD5-kontrolesom van die lêers vind.

Die tabeldata van die databasis Sync_config.db bevat die e-posadres van die rekening, die pad van die gedeelde lêers en die Google Drive-weergawe.

Dropbox

Dropbox gebruik SQLite-databasisse om die lêers te bestuur. Hierdie Jy kan die databasisse vind in die volgende folders:

• \Users\<gebruikersnaam>\AppData\Local\Dropbox

• \Users\<gebruikersnaam>\AppData\Local\Dropbox\Instance1

• \Users\<gebruikersnaam>\AppData\Roaming\Dropbox

En die hoofdatabasisse is:

• Sigstore.dbx

• Filecache.dbx

• Deleted.dbx

• Config.dbx

Die ".dbx"-uitbreiding beteken dat die databasisse gekripteer is. Dropbox gebruik DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)

Om die kriptering wat Dropbox gebruik beter te verstaan, kan jy lees https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.

Nietemin, die hoofinligting is:

• Entropie: d114a55212655f74bd772e37e64aee9b

• Sout: 0D638C092E8B82FC452883F95F355B8E

• Algoritme: PBKDF2

• Iterasies: 1066

Afgesien van daardie inligting, om die databasisse te dekripteer, het jy steeds nodig:

• Die gekripteerde DPAPI-sleutel: Jy kan dit in die register binne NTUSER.DAT\Software\Dropbox\ks\client vind (eksporteer hierdie data as binêr)

• Die SYSTEM en SECURITY-bytjies

• Die DPAPI-meestersleutels: Wat gevind kan word in \Users\<gebruikersnaam>\AppData\Roaming\Microsoft\Protect

• Die gebruikersnaam en wagwoord van die Windows-gebruiker

Dan kan jy die instrument DataProtectionDecryptor** gebruik:**

As alles soos verwag verloop, sal die instrument die primêre sleutel aandui wat jy moet gebruik om die oorspronklike een te herstel. Om die oorspronklike een te herstel, gebruik net hierdie [cyber_chef kwitansie](https://gchq.github.io/CyberChef/#recipe=Derive_PBKDF2_key(%7B'option':'Hex','string':'98FD6A76ECB87DE8DAB4623123402167'%7D,128,1066,'SHA1',%7B'option':'Hex','string':'0D638C092E8B82FC452883F95F355B8E'%7D) deur die primêre sleutel as die "wagwoord" binne die kwitansie te plaas.

Die resulterende heks is die finale sleutel wat gebruik word om die databasisse te kripteer wat gedekripteer kan word met:

sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db

Die config.dbx databasis bevat:

• E-pos: Die e-pos van die gebruiker

• usernamedisplayname: Die naam van die gebruiker

• dropbox_path: Pad waar die dropbox vouer geleë is

• Host_id: Hash wat gebruik word om na die wolk te verifieer. Dit kan slegs van die web af herroep word.

• Root_ns: Gebruiker-identifiseerder

Die filecache.db databasis bevat inligting oor al die lêers en vouers wat gesinkroniseer is met Dropbox. Die tabel File_journal is die een met die meeste nuttige inligting:

• Server_path: Pad waar die lêer binne die bediener geleë is (hierdie pad word voorafgegaan deur die host_id van die klient).

• local_sjid: Weergawe van die lêer

• local_mtime: Wysigingsdatum

• local_ctime: Skeppingsdatum

Ander tabelle binne hierdie databasis bevat meer interessante inligting:

• block_cache: hasj van al die lêers en vouers van Dropbox

• block_ref: Verband die hasj-ID van die tabel block_cache met die lêer-ID in die tabel file_journal

• mount_table: Deel vouers van dropbox

• deleted_fields: Dropbox verwyderde lêers

• date_added

Gebruik Trickest om maklik te bou en outomatiseer werkafvloei aangedryf deur die wêreld se mees gevorderde gemeenskapshulpmiddels. Kry Vandaag Toegang: