Local Cloud Storage

Verwenden Sie Trickest, um einfach Workflows zu erstellen und zu automatisieren, die von den fortschrittlichsten Community-Tools der Welt unterstützt werden. Zugang heute erhalten:

OneDrive

In Windows finden Sie den OneDrive-Ordner in \Users\<username>\AppData\Local\Microsoft\OneDrive. Und im Inneren von logs\Personal ist es möglich, die Datei SyncDiagnostics.log zu finden, die einige interessante Daten zu den synchronisierten Dateien enthält:

• Größe in Bytes

• Erstellungsdatum

• Änderungsdatum

• Anzahl der Dateien in der Cloud

• Anzahl der Dateien im Ordner

• CID: Eindeutige ID des OneDrive-Benutzers

• Zeit der Berichtserstellung

• Größe der HD des Betriebssystems

Sobald Sie die CID gefunden haben, wird empfohlen, nach Dateien zu suchen, die diese ID enthalten. Möglicherweise finden Sie Dateien mit den Namen: <CID>.ini und <CID>.dat, die interessante Informationen wie die Namen der mit OneDrive synchronisierten Dateien enthalten können.

Google Drive

In Windows finden Sie den Hauptordner von Google Drive in \Users\<username>\AppData\Local\Google\Drive\user_default Dieser Ordner enthält eine Datei namens Sync_log.log mit Informationen wie der E-Mail-Adresse des Kontos, Dateinamen, Zeitstempeln, MD5-Hashes der Dateien usw. Selbst gelöschte Dateien erscheinen in dieser Protokolldatei mit dem entsprechenden MD5.

Die Datei Cloud_graph\Cloud_graph.db ist eine SQLite-Datenbank, die die Tabelle cloud_graph_entry enthält. In dieser Tabelle finden Sie den Namen der synchronisierten Dateien, die Änderungszeit, Größe und die MD5-Prüfziffer der Dateien.

Die Tabellendaten der Datenbank Sync_config.db enthalten die E-Mail-Adresse des Kontos, den Pfad der freigegebenen Ordner und die Google Drive-Version.

Dropbox

Dropbox verwendet SQLite-Datenbanken, um die Dateien zu verwalten. In diesem Sie finden die Datenbanken in den Ordnern:

• \Users\<username>\AppData\Local\Dropbox

• \Users\<username>\AppData\Local\Dropbox\Instance1

• \Users\<username>\AppData\Roaming\Dropbox

Und die Hauptdatenbanken sind:

• Sigstore.dbx

• Filecache.dbx

• Deleted.dbx

• Config.dbx

Die ".dbx"-Erweiterung bedeutet, dass die Datenbanken verschlüsselt sind. Dropbox verwendet DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)

Um die Verschlüsselung, die Dropbox verwendet, besser zu verstehen, können Sie https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html lesen.

Die wichtigsten Informationen sind jedoch:

• Entropie: d114a55212655f74bd772e37e64aee9b

• Salt: 0D638C092E8B82FC452883F95F355B8E

• Algorithmus: PBKDF2

• Iterationen: 1066

Neben diesen Informationen benötigen Sie zur Entschlüsselung der Datenbanken auch:

• Den verschlüsselten DPAPI-Schlüssel: Sie finden ihn in der Registrierung unter NTUSER.DAT\Software\Dropbox\ks\client (exportieren Sie diese Daten als Binärdatei)

• Die SYSTEM- und SECURITY-Hives

• Die DPAPI-Master-Schlüssel: Diese finden Sie in \Users\<username>\AppData\Roaming\Microsoft\Protect

• Den Benutzernamen und das Passwort des Windows-Benutzers

Dann können Sie das Tool DataProtectionDecryptor:

Wenn alles wie erwartet verläuft, zeigt das Tool den primären Schlüssel an, den Sie verwenden müssen, um den ursprünglichen wiederherzustellen. Um den ursprünglichen wiederherzustellen, verwenden Sie einfach dieses cyber_chef-Rezept, wobei der primäre Schlüssel als "Passphrase" im Rezept eingegeben wird.

Das resultierende Hex ist der endgültige Schlüssel, der zur Verschlüsselung der Datenbanken verwendet wird, die entschlüsselt werden können mit:

sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db

Die config.dbx Datenbank enthält:

• Email: Die E-Mail des Benutzers

• usernamedisplayname: Der Name des Benutzers

• dropbox_path: Pfad, wo der Dropbox-Ordner gespeichert ist

• Host_id: Hash verwendet zur Authentifizierung in der Cloud. Dies kann nur über das Web widerrufen werden.

• Root_ns: Benutzeridentifikator

Die filecache.db Datenbank enthält Informationen über alle Dateien und Ordner, die mit Dropbox synchronisiert sind. Die Tabelle File_journal enthält die nützlichsten Informationen:

• Server_path: Pfad, wo die Datei auf dem Server gespeichert ist (dieser Pfad wird durch die host_id des Clients vorangestellt).

• local_sjid: Version der Datei

• local_mtime: Änderungsdatum

• local_ctime: Erstellungsdatum

Andere Tabellen in dieser Datenbank enthalten interessantere Informationen:

• block_cache: Hash aller Dateien und Ordner von Dropbox

• block_ref: Verknüpft die Hash-ID der Tabelle block_cache mit der Datei-ID in der Tabelle file_journal

• mount_table: Freigegebene Ordner von Dropbox

• deleted_fields: Gelöschte Dateien von Dropbox

• date_added

Verwenden Sie Trickest, um einfach Workflows zu erstellen und zu automatisieren, die von den fortschrittlichsten Community-Tools der Welt unterstützt werden. Zugang heute erhalten: