Local Cloud Storage
Trickest を使用して、世界で最も先進的なコミュニティツールによって強化された ワークフローを簡単に構築および自動化します。 今すぐアクセスしてください:
OneDrive
Windowsでは、OneDriveフォルダを \Users\<username>\AppData\Local\Microsoft\OneDrive
に見つけることができます。そして logs\Personal
内には、同期されたファイルに関する興味深いデータが含まれている SyncDiagnostics.log
ファイルを見つけることができます:
バイト単位のサイズ
作成日
変更日
クラウド内のファイル数
フォルダ内のファイル数
CID: OneDriveユーザーのユニークID
レポート生成時間
OSのHDのサイズ
CIDを見つけたら、このIDを含むファイルを検索することが推奨されます。<CID>.ini および <CID>.dat という名前のファイルを見つけることができ、これにはOneDriveと同期されたファイルの名前など、興味深い情報が含まれている可能性があります。
Google Drive
Windowsでは、メインのGoogle Driveフォルダを \Users\<username>\AppData\Local\Google\Drive\user_default
に見つけることができます。
このフォルダには、アカウントのメールアドレス、ファイル名、タイムスタンプ、ファイルのMD5ハッシュなどの情報が含まれた Sync_log.log というファイルが含まれています。削除されたファイルも、対応するMD5とともにそのログファイルに表示されます。
ファイル Cloud_graph\Cloud_graph.db
は、 cloud_graph_entry
というテーブルを含むsqliteデータベースで、このテーブルでは 同期されたファイル の 名前、変更時間、サイズ、およびファイルのMD5チェックサムを見つけることができます。
データベース Sync_config.db
のテーブルデータには、アカウントのメールアドレス、共有フォルダのパス、Google Driveのバージョンが含まれています。
Dropbox
Dropboxはファイルを管理するために SQLiteデータベース を使用しています。 これらのデータベースは次のフォルダにあります:
\Users\<username>\AppData\Local\Dropbox
\Users\<username>\AppData\Local\Dropbox\Instance1
\Users\<username>\AppData\Roaming\Dropbox
そして、主要なデータベースは次のとおりです:
Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx
".dbx" 拡張子は、これらのデータベースが 暗号化 されていることを意味します。Dropboxは DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN) を使用しています。
Dropboxが使用する暗号化をよりよく理解するためには、https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html を読んでください。
ただし、主な情報は次のとおりです:
エントロピー: d114a55212655f74bd772e37e64aee9b
ソルト: 0D638C092E8B82FC452883F95F355B8E
アルゴリズム: PBKDF2
反復回数: 1066
その情報以外に、データベースを復号化するには以下が必要です:
暗号化されたDPAPIキー: これは
NTUSER.DAT\Software\Dropbox\ks\client
内のレジストリから見つけることができます(このデータをバイナリとしてエクスポートします)SYSTEM
およびSECURITY
ハイブDPAPIマスターキー: これは
\Users\<username>\AppData\Roaming\Microsoft\Protect
に見つけることができますWindowsユーザーの ユーザー名 と パスワード
その後、DataProtectionDecryptor ツールを使用できます:
すべてが予想通りに進むと、ツールは 元のキーを回復するために使用する主キー を示します。元のキーを回復するには、この [cyber_chefレシピ](https://gchq.github.io/CyberChef/#recipe=Derive_PBKDF2_key(%7B'option':'Hex','string':'98FD6A76ECB87DE8DAB4623123402167'%7D,128,1066,'SHA1',%7B'option':'Hex','string':'0D638C092E8B82FC452883F95F355B8E'%7D) を使用し、主キーを受け取った "passphrase" として設定します。
結果の16進数は、データベースを復号化するために使用される最終キーであり、次のように復号化できます:
**config.dbx
**データベースには次の情報が含まれています:
Email: ユーザーのメールアドレス
usernamedisplayname: ユーザーの名前
dropbox_path: Dropboxフォルダが配置されているパス
Host_id: クラウドへの認証に使用されるハッシュ。これはウェブからのみ取り消すことができます。
Root_ns: ユーザー識別子
**filecache.db
**データベースには、Dropboxと同期されたすべてのファイルとフォルダに関する情報が含まれています。最も有用な情報を持つテーブルはFile_journal
です:
Server_path: サーバー内のファイルが配置されているパス(このパスはクライアントの
host_id
で先行します)。local_sjid: ファイルのバージョン
local_mtime: 修正日
local_ctime: 作成日
このデータベース内の他のテーブルには、さらに興味深い情報が含まれています:
block_cache: Dropboxのすべてのファイルとフォルダのハッシュ
block_ref: テーブル
block_cache
のハッシュIDをテーブルfile_journal
のファイルIDに関連付けるmount_table: Dropboxの共有フォルダ
deleted_fields: Dropboxで削除されたファイル
date_added
Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築および自動化します。 今すぐアクセスしてください:
Last updated