Verwenden Sie Trickest, um mühelos Workflows zu erstellen und zu automatisieren, die von den weltweit fortschrittlichsten Community-Tools unterstützt werden. Heute Zugriff erhalten:

OneDrive

In Windows finden Sie den OneDrive-Ordner unter \Users\<Benutzername>\AppData\Local\Microsoft\OneDrive. Und innerhalb von logs\Personal ist es möglich, die Datei SyncDiagnostics.log zu finden, die einige interessante Daten zu den synchronisierten Dateien enthält:

• Größe in Bytes

• Erstellungsdatum

• Änderungsdatum

• Anzahl der Dateien in der Cloud

• Anzahl der Dateien im Ordner

• CID: Eindeutige ID des OneDrive-Benutzers

• Berichterstellungsdauer

• Größe der Festplatte des Betriebssystems

Sobald Sie die CID gefunden haben, wird empfohlen, nach Dateien zu suchen, die diese ID enthalten. Möglicherweise finden Sie Dateien mit den Namen: <CID>.ini und <CID>.dat, die interessante Informationen wie die Namen der mit OneDrive synchronisierten Dateien enthalten können.

Google Drive

In Windows finden Sie den Haupt-Google Drive-Ordner unter \Users\<Benutzername>\AppData\Local\Google\Drive\user_default Dieser Ordner enthält eine Datei namens Sync_log.log mit Informationen wie der E-Mail-Adresse des Kontos, Dateinamen, Zeitstempeln, MD5-Hashes der Dateien usw. Selbst gelöschte Dateien erscheinen in dieser Protokolldatei mit dem entsprechenden MD5.

Die Datei Cloud_graph\Cloud_graph.db ist eine SQLite-Datenbank, die die Tabelle cloud_graph_entry enthält. In dieser Tabelle finden Sie den Namen der synchronisierten Dateien, Änderungszeit, Größe und den MD5-Prüfsummenwert der Dateien.

Die Tabellendaten der Datenbank Sync_config.db enthalten die E-Mail-Adresse des Kontos, den Pfad der freigegebenen Ordner und die Google Drive-Version.

Dropbox

Dropbox verwendet SQLite-Datenbanken zur Verwaltung der Dateien. In diesen Sie finden die Datenbanken in den Ordnern:

• \Users\<Benutzername>\AppData\Local\Dropbox

• \Users\<Benutzername>\AppData\Local\Dropbox\Instance1

• \Users\<Benutzername>\AppData\Roaming\Dropbox

Und die Hauptdatenbanken sind:

• Sigstore.dbx

• Filecache.dbx

• Deleted.dbx

• Config.dbx

Die Erweiterung ".dbx" bedeutet, dass die Datenbanken verschlüsselt sind. Dropbox verwendet DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)

Um das von Dropbox verwendete Verschlüsselungsverfahren besser zu verstehen, können Sie https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html lesen.

Die wichtigsten Informationen sind jedoch:

• Entropie: d114a55212655f74bd772e37e64aee9b

• Salt: 0D638C092E8B82FC452883F95F355B8E

• Algorithmus: PBKDF2

• Iterationen: 1066

Neben diesen Informationen benötigen Sie zum Entschlüsseln der Datenbanken noch:

• Den verschlüsselten DPAPI-Schlüssel: Sie finden ihn in der Registrierung unter NTUSER.DAT\Software\Dropbox\ks\client (exportieren Sie diese Daten als Binärdatei)

• Die SYSTEM- und SECURITY-Hives

• Die DPAPI-Meisterschlüssel: Diese finden Sie in \Users\<Benutzername>\AppData\Roaming\Microsoft\Protect

• Den Benutzernamen und das Passwort des Windows-Benutzers

Dann können Sie das Tool DataProtectionDecryptor** verwenden:**

Wenn alles wie erwartet verläuft, zeigt das Tool den Primärschlüssel an, den Sie benötigen, um den ursprünglichen Schlüssel wiederherzustellen. Um den ursprünglichen Schlüssel wiederherzustellen, verwenden Sie einfach dieses [Cyber_Chef-Rezept](https://gchq.github.io/CyberChef/#recipe=Derive_PBKDF2_key(%7B'option':'Hex','string':'98FD6A76ECB87DE8DAB4623123402167'%7D,128,1066,'SHA1',%7B'option':'Hex','string':'0D638C092E8B82FC452883F95F355B8E'%7D) und setzen den Primärschlüssel als "Passphrase" in das Rezept.

Der resultierende Hexadezimalwert ist der endgültige Schlüssel, der zur Verschlüsselung der Datenbanken verwendet wird und mit dem entschlüsselt werden kann:

sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db

Die config.dbx-Datenbank enthält:

• E-Mail: Die E-Mail des Benutzers

• usernamedisplayname: Der Name des Benutzers

• dropbox_path: Pfad, in dem sich der Dropbox-Ordner befindet

• Host_id: Hash zur Authentifizierung in der Cloud. Dies kann nur über das Web widerrufen werden.

• Root_ns: Benutzerkennung

Die filecache.db-Datenbank enthält Informationen zu allen Dateien und Ordnern, die mit Dropbox synchronisiert sind. Die Tabelle File_journal enthält die nützlichsten Informationen:

• Server_path: Pfad, in dem sich die Datei auf dem Server befindet (dieser Pfad wird vom host_id des Clients vorangestellt).

• local_sjid: Version der Datei

• local_mtime: Änderungsdatum

• local_ctime: Erstellungsdatum

Andere Tabellen in dieser Datenbank enthalten weitere interessante Informationen:

• block_cache: Hash aller Dateien und Ordner von Dropbox

• block_ref: Verknüpft die Hash-ID der Tabelle block_cache mit der Datei-ID in der Tabelle file_journal

• mount_table: Freigegebene Ordner von Dropbox

• deleted_fields: Gelöschte Dateien von Dropbox

• date_added

Verwenden Sie Trickest, um mühelos Workflows zu erstellen und zu automatisieren, die von den weltweit fortschrittlichsten Community-Tools unterstützt werden. Heute noch Zugriff erhalten: