Local Cloud Storage
Verwenden Sie Trickest, um mühelos Workflows zu erstellen und zu automatisieren, die von den weltweit fortschrittlichsten Community-Tools unterstützt werden. Heute Zugriff erhalten:
OneDrive
In Windows finden Sie den OneDrive-Ordner unter \Users\<Benutzername>\AppData\Local\Microsoft\OneDrive
. Und innerhalb von logs\Personal
ist es möglich, die Datei SyncDiagnostics.log
zu finden, die einige interessante Daten zu den synchronisierten Dateien enthält:
Größe in Bytes
Erstellungsdatum
Änderungsdatum
Anzahl der Dateien in der Cloud
Anzahl der Dateien im Ordner
CID: Eindeutige ID des OneDrive-Benutzers
Berichterstellungsdauer
Größe der Festplatte des Betriebssystems
Sobald Sie die CID gefunden haben, wird empfohlen, nach Dateien zu suchen, die diese ID enthalten. Möglicherweise finden Sie Dateien mit den Namen: <CID>.ini und <CID>.dat, die interessante Informationen wie die Namen der mit OneDrive synchronisierten Dateien enthalten können.
Google Drive
In Windows finden Sie den Haupt-Google Drive-Ordner unter \Users\<Benutzername>\AppData\Local\Google\Drive\user_default
Dieser Ordner enthält eine Datei namens Sync_log.log mit Informationen wie der E-Mail-Adresse des Kontos, Dateinamen, Zeitstempeln, MD5-Hashes der Dateien usw. Selbst gelöschte Dateien erscheinen in dieser Protokolldatei mit dem entsprechenden MD5.
Die Datei Cloud_graph\Cloud_graph.db
ist eine SQLite-Datenbank, die die Tabelle cloud_graph_entry
enthält. In dieser Tabelle finden Sie den Namen der synchronisierten Dateien, Änderungszeit, Größe und den MD5-Prüfsummenwert der Dateien.
Die Tabellendaten der Datenbank Sync_config.db
enthalten die E-Mail-Adresse des Kontos, den Pfad der freigegebenen Ordner und die Google Drive-Version.
Dropbox
Dropbox verwendet SQLite-Datenbanken zur Verwaltung der Dateien. In diesen Sie finden die Datenbanken in den Ordnern:
\Users\<Benutzername>\AppData\Local\Dropbox
\Users\<Benutzername>\AppData\Local\Dropbox\Instance1
\Users\<Benutzername>\AppData\Roaming\Dropbox
Und die Hauptdatenbanken sind:
Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx
Die Erweiterung ".dbx" bedeutet, dass die Datenbanken verschlüsselt sind. Dropbox verwendet DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)
Um das von Dropbox verwendete Verschlüsselungsverfahren besser zu verstehen, können Sie https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html lesen.
Die wichtigsten Informationen sind jedoch:
Entropie: d114a55212655f74bd772e37e64aee9b
Salt: 0D638C092E8B82FC452883F95F355B8E
Algorithmus: PBKDF2
Iterationen: 1066
Neben diesen Informationen benötigen Sie zum Entschlüsseln der Datenbanken noch:
Den verschlüsselten DPAPI-Schlüssel: Sie finden ihn in der Registrierung unter
NTUSER.DAT\Software\Dropbox\ks\client
(exportieren Sie diese Daten als Binärdatei)Die
SYSTEM
- undSECURITY
-HivesDie DPAPI-Meisterschlüssel: Diese finden Sie in
\Users\<Benutzername>\AppData\Roaming\Microsoft\Protect
Den Benutzernamen und das Passwort des Windows-Benutzers
Dann können Sie das Tool DataProtectionDecryptor** verwenden:**
Wenn alles wie erwartet verläuft, zeigt das Tool den Primärschlüssel an, den Sie benötigen, um den ursprünglichen Schlüssel wiederherzustellen. Um den ursprünglichen Schlüssel wiederherzustellen, verwenden Sie einfach dieses [Cyber_Chef-Rezept](https://gchq.github.io/CyberChef/#recipe=Derive_PBKDF2_key(%7B'option':'Hex','string':'98FD6A76ECB87DE8DAB4623123402167'%7D,128,1066,'SHA1',%7B'option':'Hex','string':'0D638C092E8B82FC452883F95F355B8E'%7D) und setzen den Primärschlüssel als "Passphrase" in das Rezept.
Der resultierende Hexadezimalwert ist der endgültige Schlüssel, der zur Verschlüsselung der Datenbanken verwendet wird und mit dem entschlüsselt werden kann:
Die config.dbx
-Datenbank enthält:
E-Mail: Die E-Mail des Benutzers
usernamedisplayname: Der Name des Benutzers
dropbox_path: Pfad, in dem sich der Dropbox-Ordner befindet
Host_id: Hash zur Authentifizierung in der Cloud. Dies kann nur über das Web widerrufen werden.
Root_ns: Benutzerkennung
Die filecache.db
-Datenbank enthält Informationen zu allen Dateien und Ordnern, die mit Dropbox synchronisiert sind. Die Tabelle File_journal
enthält die nützlichsten Informationen:
Server_path: Pfad, in dem sich die Datei auf dem Server befindet (dieser Pfad wird vom
host_id
des Clients vorangestellt).local_sjid: Version der Datei
local_mtime: Änderungsdatum
local_ctime: Erstellungsdatum
Andere Tabellen in dieser Datenbank enthalten weitere interessante Informationen:
block_cache: Hash aller Dateien und Ordner von Dropbox
block_ref: Verknüpft die Hash-ID der Tabelle
block_cache
mit der Datei-ID in der Tabellefile_journal
mount_table: Freigegebene Ordner von Dropbox
deleted_fields: Gelöschte Dateien von Dropbox
date_added
Verwenden Sie Trickest, um mühelos Workflows zu erstellen und zu automatisieren, die von den weltweit fortschrittlichsten Community-Tools unterstützt werden. Heute noch Zugriff erhalten:
Last updated