Local Cloud Storage
Χρησιμοποιήστε το Trickest για να δημιουργήσετε εύκολα και να αυτοματοποιήσετε ροές εργασίας με τα πιο προηγμένα εργαλεία της κοινότητας. Αποκτήστε Πρόσβαση Σήμερα:
OneDrive
Στα Windows, μπορείτε να βρείτε το φάκελο του OneDrive στο \Users\<username>\AppData\Local\Microsoft\OneDrive
. Και μέσα στον φάκελο logs\Personal
είναι δυνατόν να βρείτε το αρχείο SyncDiagnostics.log
το οποίο περιέχει μερικά ενδιαφέροντα δεδομένα σχετικά με τα συγχρονισμένα αρχεία:
Μέγεθος σε bytes
Ημερομηνία δημιουργίας
Ημερομηνία τροποποίησης
Αριθμός αρχείων στο cloud
Αριθμός αρχείων στον φάκελο
CID: Μοναδικό ID του χρήστη του OneDrive
Χρόνος δημιουργίας αναφοράς
Μέγεθος του σκληρού δίσκου του λειτουργικού συστήματος
Αφού βρείτε το CID συνιστάται να αναζητήσετε αρχεία που περιέχουν αυτό το ID. Μπορείτε να βρείτε αρχεία με τα ονόματα: <CID>.ini και <CID>.dat που μπορεί να περιέχουν ενδιαφέρουσες πληροφορίες όπως τα ονόματα των αρχείων που συγχρονίζονται με το OneDrive.
Google Drive
Στα Windows, μπορείτε να βρείτε τον κύριο φάκελο του Google Drive στο \Users\<username>\AppData\Local\Google\Drive\user_default
Αυτός ο φάκελος περιέχει ένα αρχείο με το όνομα Sync_log.log με πληροφορίες όπως η διεύθυνση email του λογαριασμού, ονόματα αρχείων, χρονικά σημεία, MD5 hashes των αρχείων, κλπ. Ακόμα και τα διαγραμμένα αρχεία εμφανίζονται σε αυτό το αρχείο καταγραφής με το αντίστοιχο MD5 τους.
Το αρχείο Cloud_graph\Cloud_graph.db
είναι μια βάση δεδομένων sqlite που περιέχει τον πίνακα cloud_graph_entry
. Σε αυτόν τον πίνακα μπορείτε να βρείτε το όνομα των συγχρονισμένων αρχείων, την τροποποίηση του χρόνου, το μέγεθος και το MD5 checksum των αρχείων.
Τα δεδομένα του πίνακα της βάσης δεδομένων Sync_config.db
περιέχουν τη διεύθυνση email του λογαριασμού, τη διαδρομή των κοινόχρηστων φακέλων και την έκδοση του Google Drive.
Dropbox
Η Dropbox χρησιμοποιεί βάσεις δεδομένων SQLite για τη διαχείριση των αρχείων. Σε αυτήν Μπορείτε να βρείτε τις βάσεις δεδομένων στους φακέλους:
\Users\<username>\AppData\Local\Dropbox
\Users\<username>\AppData\Local\Dropbox\Instance1
\Users\<username>\AppData\Roaming\Dropbox
Και οι κύριες βάσεις δεδομένων είναι:
Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx
Η επέκταση ".dbx" σημαίνει ότι οι βάσεις δεδομένων είναι κρυπτογραφημένες. Η Dropbox χρησιμοποιεί το DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)
Για να καταλάβετε καλύτερα την κρυπτογράφηση που χρησιμοποιεί η Dropbox μπορείτε να διαβάσετε https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.
Ωστόσο, οι κύριες πληροφορίες είναι:
Εντροπία: d114a55212655f74bd772e37e64aee9b
Αλάτι: 0D638C092E8B82FC452883F95F355B8E
Αλγόριθμος: PBKDF2
Επαναλήψεις: 1066
Εκτός από αυτές τις πληροφορίες, για να αποκρυπτογραφήσετε τις βάσεις δεδομένων χρειάζεστε ακόμα:
Το κρυπτογραφημένο κλειδί DPAPI: Μπορείτε να το βρείτε στο μητρώο μέσα στο
NTUSER.DAT\Software\Dropbox\ks\client
(εξαγάγετε αυτά τα δεδομένα ως δυαδικά)Τα
SYSTEM
καιSECURITY
hivesΤα κλειδιά μετατροπής DPAPI: Τα οποία μπορείτε να βρείτε στον φάκελο
\Users\<username>\AppData\Roaming\Microsoft\Protect
Το όνομα χρήστη και κωδικό πρόσβασης του χρήστη των Windows
Στη συνέχεια μπορείτε να χρησιμοποιήσετε το εργαλείο DataProtectionDecryptor:
Αν όλα πάνε όπως αναμένεται, το εργαλείο θα υποδείξει το κύριο κλειδί που χρειάζεστε για να χρησιμοποιήσετε για την ανάκτηση του αρχικού. Για να ανακτήσετε τον αρχικό, απλά χρησιμοποιήστε αυτό το cyber_chef receipt βάζοντας το κύριο κλειδί ως "passphrase" μέσα στο receipt.
Το αποτέλεσμα σε hex είναι το τελικό κλειδί που χρησιμοποιείται για την κρυπτογράφηση των βάσεων δεδομένων τα οποία μπορούν να αποκρυπτογραφηθούν με:
Η βάση δεδομένων config.dbx
περιέχει:
Email: Το email του χρήστη
usernamedisplayname: Το όνομα του χρήστη
dropbox_path: Διαδρομή όπου βρίσκεται ο φάκελος του dropbox
Host_id: Hash που χρησιμοποιείται για πιστοποίηση στο cloud. Αυτό μπορεί να ανακληθεί μόνο από το web.
Root_ns: Αναγνωριστικό χρήστη
Η βάση δεδομένων filecache.db
περιέχει πληροφορίες για όλα τα αρχεία και φακέλους που συγχρονίζονται με το Dropbox. Ο πίνακας File_journal
είναι αυτός που περιέχει τις περισσότερες χρήσιμες πληροφορίες:
Server_path: Διαδρομή όπου βρίσκεται το αρχείο μέσα στον διακομιστή (αυτή η διαδρομή προηγείται από το
host_id
του πελάτη).local_sjid: Έκδοση του αρχείου
local_mtime: Ημερομηνία τροποποίησης
local_ctime: Ημερομηνία δημιουργίας
Άλλοι πίνακες μέσα σε αυτή τη βάση δεδομένων περιέχουν περισσότερες ενδιαφέρουσες πληροφορίες:
block_cache: hash όλων των αρχείων και φακέλων του Dropbox
block_ref: Σχετίζει το hash ID του πίνακα
block_cache
με το αναγνωριστικό αρχείου στον πίνακαfile_journal
mount_table: Κοινοποιημένοι φάκελοι του Dropbox
deleted_fields: Διαγραμμένα αρχεία του Dropbox
date_added
Χρησιμοποιήστε το Trickest για να δημιουργήσετε εύκολα και να αυτοματοποιήσετε ροές εργασίας με τα πιο προηγμένα εργαλεία της παγκόσμιας κοινότητας. Αποκτήστε πρόσβαση σήμερα:
Last updated