Local Cloud Storage
Usa Trickest per creare e automatizzare flussi di lavoro supportati dagli strumenti della comunità più avanzati al mondo. Ottieni l'accesso oggi:
OneDrive
In Windows, puoi trovare la cartella di OneDrive in \Users\<username>\AppData\Local\Microsoft\OneDrive
. E all'interno di logs\Personal
è possibile trovare il file SyncDiagnostics.log
che contiene alcuni dati interessanti riguardanti i file sincronizzati:
Dimensione in byte
Data di creazione
Data di modifica
Numero di file nel cloud
Numero di file nella cartella
CID: ID univoco dell'utente di OneDrive
Ora di generazione del report
Dimensione dell'HD del sistema operativo
Una volta trovato il CID, è consigliabile cercare file contenenti questo ID. Potresti essere in grado di trovare file con il nome: <CID>.ini e <CID>.dat che potrebbero contenere informazioni interessanti come i nomi dei file sincronizzati con OneDrive.
Google Drive
In Windows, puoi trovare la cartella principale di Google Drive in \Users\<username>\AppData\Local\Google\Drive\user_default
Questa cartella contiene un file chiamato Sync_log.log con informazioni come l'indirizzo email dell'account, i nomi dei file, i timestamp, gli hash MD5 dei file, ecc. Anche i file eliminati appaiono in quel file di log con il relativo MD5 corrispondente.
Il file Cloud_graph\Cloud_graph.db
è un database sqlite che contiene la tabella cloud_graph_entry
. In questa tabella puoi trovare il nome dei file sincronizzati, l'ora di modifica, la dimensione e il checksum MD5 dei file.
I dati della tabella del database Sync_config.db
contengono l'indirizzo email dell'account, il percorso delle cartelle condivise e la versione di Google Drive.
Dropbox
Dropbox utilizza database SQLite per gestire i file. In questo Puoi trovare i database nelle cartelle:
\Users\<username>\AppData\Local\Dropbox
\Users\<username>\AppData\Local\Dropbox\Instance1
\Users\<username>\AppData\Roaming\Dropbox
E i principali database sono:
Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx
L'estensione ".dbx" significa che i database sono criptati. Dropbox utilizza DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)
Per capire meglio la crittografia che Dropbox utilizza puoi leggere https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.
Tuttavia, le informazioni principali sono:
Entropia: d114a55212655f74bd772e37e64aee9b
Salt: 0D638C092E8B82FC452883F95F355B8E
Algoritmo: PBKDF2
Iterazioni: 1066
Oltre a queste informazioni, per decrittare i database hai ancora bisogno di:
La chiave DPAPI criptata: Puoi trovarla nel registro all'interno di
NTUSER.DAT\Software\Dropbox\ks\client
(esporta questi dati come binari)Gli alveari
SYSTEM
eSECURITY
Le chiavi master DPAPI: Che possono essere trovate in
\Users\<username>\AppData\Roaming\Microsoft\Protect
Il nome utente e la password dell'utente Windows
Poi puoi utilizzare lo strumento DataProtectionDecryptor:
Se tutto va come previsto, lo strumento indicherà la chiave primaria che devi usare per recuperare quella originale. Per recuperare quella originale, usa semplicemente questa [ricetta di cyber_chef](https://gchq.github.io/CyberChef/#recipe=Derive_PBKDF2_key(%7B'option':'Hex','string':'98FD6A76ECB87DE8DAB4623123402167'%7D,128,1066,'SHA1',%7B'option':'Hex','string':'0D638C092E8B82FC452883F95F355B8E'%7D) mettendo la chiave primaria come "passphrase" all'interno della ricetta.
L'hex risultante è la chiave finale utilizzata per crittografare i database che possono essere decrittati con:
Il database config.dbx
contiene:
Email: L'email dell'utente
usernamedisplayname: Il nome dell'utente
dropbox_path: Percorso in cui si trova la cartella di Dropbox
Host_id: Hash utilizzato per l'autenticazione al cloud. Questo può essere revocato solo dal web.
Root_ns: Identificatore dell'utente
Il database filecache.db
contiene informazioni su tutti i file e cartelle sincronizzati con Dropbox. La tabella File_journal
è quella con più informazioni utili:
Server_path: Percorso in cui si trova il file all'interno del server (questo percorso è preceduto dall'
host_id
del client).local_sjid: Versione del file
local_mtime: Data di modifica
local_ctime: Data di creazione
Altre tabelle all'interno di questo database contengono informazioni più interessanti:
block_cache: hash di tutti i file e cartelle di Dropbox
block_ref: Collega l'ID hash della tabella
block_cache
con l'ID file nella tabellafile_journal
mount_table: Condivide cartelle di Dropbox
deleted_fields: File eliminati da Dropbox
date_added
Utilizza Trickest per creare e automatizzare flussi di lavoro supportati dagli strumenti della community più avanzati al mondo. Ottieni l'accesso oggi:
Last updated