Local Cloud Storage

Trickestを使用して、世界で最も高度なコミュニティツールによって駆動されるワークフローを簡単に構築し、自動化します。 今すぐアクセスを取得：

OneDrive

Windowsでは、OneDriveフォルダーは \Users\<username>\AppData\Local\Microsoft\OneDrive にあります。そして logs\Personal 内には、同期されたファイルに関する興味深いデータを含む SyncDiagnostics.log というファイルがあります：

• バイト単位のサイズ

• 作成日

• 修正日

• クラウド内のファイル数

• フォルダー内のファイル数

• CID: OneDriveユーザーのユニークID

• レポート生成時間

• OSのHDのサイズ

CIDを見つけたら、このIDを含むファイルを検索することをお勧めします。<CID>.ini や <CID>.dat という名前のファイルが見つかるかもしれません。これらのファイルには、OneDriveと同期されたファイルの名前などの興味深い情報が含まれている可能性があります。

Google Drive

Windowsでは、主要なGoogle Driveフォルダーは \Users\<username>\AppData\Local\Google\Drive\user_default にあります。 このフォルダーには、アカウントのメールアドレス、ファイル名、タイムスタンプ、ファイルのMD5ハッシュなどの情報を含む Sync_log.log というファイルがあります。削除されたファイルも、そのログファイルに対応するMD5と共に表示されます。

ファイル Cloud_graph\Cloud_graph.db はsqliteデータベースで、cloud_graph_entry というテーブルが含まれています。このテーブルには、同期された ファイルの名前、修正時間、サイズ、ファイルのMD5チェックサムが含まれています。

データベース Sync_config.db のテーブルデータには、アカウントのメールアドレス、共有フォルダーのパス、Google Driveのバージョンが含まれています。

Dropbox

DropboxはSQLiteデータベースを使用してファイルを管理します。この データベースは以下のフォルダーにあります：

• \Users\<username>\AppData\Local\Dropbox

• \Users\<username>\AppData\Local\Dropbox\Instance1

• \Users\<username>\AppData\Roaming\Dropbox

主要なデータベースは次のとおりです：

• Sigstore.dbx

• Filecache.dbx

• Deleted.dbx

• Config.dbx

".dbx"拡張子は、データベースが暗号化されていることを意味します。DropboxはDPAPIを使用しています（https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN）

Dropboxが使用している暗号化をよりよく理解するには、https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.htmlを読むことができます。

しかし、主な情報は次のとおりです：

• エントロピー: d114a55212655f74bd772e37e64aee9b

• ソルト: 0D638C092E8B82FC452883F95F355B8E

• アルゴリズム: PBKDF2

• イテレーション: 1066

その情報に加えて、データベースを復号化するには、次のものが必要です：

• 暗号化されたDPAPIキー: レジストリ内の NTUSER.DAT\Software\Dropbox\ks\client で見つけることができます（このデータをバイナリとしてエクスポート）

• SYSTEM および SECURITY ハイブ

• DPAPIマスタキー: \Users\<username>\AppData\Roaming\Microsoft\Protect にあります

• Windowsユーザーのユーザー名とパスワード

その後、DataProtectionDecryptorを使用できます：

すべてが期待通りに進めば、ツールは元のものを復元するために使用する必要がある主キーを示します。元のものを復元するには、このcyber_chefレシピを使用し、主キーをレシピ内の「パスフレーズ」として入力します。

結果の16進数は、データベースを暗号化するために使用される最終キーであり、復号化できます：

sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db

The config.dbx データベースには以下が含まれています：

• Email: ユーザーのメールアドレス

• usernamedisplayname: ユーザーの名前

• dropbox_path: Dropboxフォルダがあるパス

• Host_id: Hash: クラウドへの認証に使用されるハッシュ。このハッシュはウェブからのみ取り消すことができます。

• Root_ns: ユーザー識別子

filecache.db データベースには、Dropboxと同期されたすべてのファイルとフォルダに関する情報が含まれています。File_journal テーブルが最も有用な情報を持っています：

• Server_path: サーバー内のファイルがあるパス（このパスはクライアントの host_id によって前置されます）。

• local_sjid: ファイルのバージョン

• local_mtime: 修正日

• local_ctime: 作成日

このデータベース内の他のテーブルには、さらに興味深い情報が含まれています：

• block_cache: Dropboxのすべてのファイルとフォルダのハッシュ

• block_ref: block_cache テーブルのハッシュIDと file_journal テーブルのファイルIDを関連付ける

• mount_table: Dropboxの共有フォルダ

• deleted_fields: Dropboxで削除されたファイル

• date_added

Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築し、自動化します。 今すぐアクセスを取得：