Trickest를 사용하여 세계에서 가장 고급 커뮤니티 도구로 구동되는 워크플로우를 쉽게 구축하고 자동화하세요. 오늘 바로 액세스하세요:

OneDrive

Windows에서 OneDrive 폴더는 \Users\<username>\AppData\Local\Microsoft\OneDrive에 있습니다. 그리고 logs\Personal 폴더 안에 SyncDiagnostics.log 파일을 찾을 수 있으며, 이 파일에는 동기화된 파일에 관한 몇 가지 흥미로운 데이터가 포함되어 있습니다:

• 바이트 단위의 크기

• 생성 날짜

• 수정 날짜

• 클라우드의 파일 수

• 폴더의 파일 수

• CID: OneDrive 사용자의 고유 ID

• 보고서 생성 시간

• OS의 HD 크기

CID를 찾았다면 이 ID를 포함하는 파일을 검색하는 것이 좋습니다. OneDrive와 동기화된 파일의 이름을 포함할 수 있는 <CID>.ini 및 _<CID>.dat_와 같은 파일을 찾을 수 있습니다.

Google Drive

Windows에서 Google Drive 주 폴더는 \Users\<username>\AppData\Local\Google\Drive\user_default에 있습니다. 이 폴더에는 Sync_log.log라는 파일이 포함되어 있으며, 해당 파일에는 계정의 이메일 주소, 파일 이름, 타임스탬프, 파일의 MD5 해시 등과 같은 정보가 포함되어 있습니다. 심지어 삭제된 파일도 해당 로그 파일에 해당하는 MD5와 함께 나타납니다.

파일 **Cloud_graph\Cloud_graph.db**는 cloud_graph_entry 테이블을 포함하는 sqlite 데이터베이스이며, 이 테이블에서 동기화된 파일의 이름, 수정 시간, 크기 및 파일의 MD5 체크섬을 찾을 수 있습니다.

데이터베이스 **Sync_config.db**의 테이블 데이터에는 계정의 이메일 주소, 공유 폴더의 경로 및 Google Drive 버전이 포함되어 있습니다.

Dropbox

Dropbox는 파일을 관리하기 위해 SQLite 데이터베이스를 사용합니다. 여기에서 데이터베이스를 찾을 수 있습니다:

• \Users\<username>\AppData\Local\Dropbox

• \Users\<username>\AppData\Local\Dropbox\Instance1

• \Users\<username>\AppData\Roaming\Dropbox

주요 데이터베이스는 다음과 같습니다:

• Sigstore.dbx

• Filecache.dbx

• Deleted.dbx

• Config.dbx

".dbx" 확장자는 데이터베이스가 암호화되었음을 의미합니다. Dropbox는 DPAPI를 사용합니다 (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)

Dropbox가 사용하는 암호화를 더 잘 이해하려면 https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html를 읽어보세요.

그러나 주요 정보는 다음과 같습니다:

• 엔트로피: d114a55212655f74bd772e37e64aee9b

• 솔트: 0D638C092E8B82FC452883F95F355B8E

• 알고리즘: PBKDF2

• 반복 횟수: 1066

해당 정보 외에도 데이터베이스를 복호화하려면 다음이 필요합니다:

• 암호화된 DPAPI 키: 이진으로 내보낸 NTUSER.DAT\Software\Dropbox\ks\client 레지스트리에서 찾을 수 있습니다.

• SYSTEM 및 SECURITY 하이브

• DPAPI 마스터 키: \Users\<username>\AppData\Roaming\Microsoft\Protect에서 찾을 수 있습니다.

• Windows 사용자의 사용자 이름 및 암호

그런 다음 DataProtectionDecryptor 도구를 사용할 수 있습니다:

모든 것이 예상대로 진행되면, 도구는 복구에 사용할 주요 키를 나타낼 것입니다. 원래 키를 복구하려면 이 cyber_chef 레시피를 사용하여 "passphrase"로 주요 키를 넣으세요.

결과 hex는 데이터베이스를 복호화하는 데 사용되는 최종 키이며 다음과 같이 복호화할 수 있습니다:

sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db

config.dbx 데이터베이스에는 다음이 포함되어 있습니다:

• 이메일: 사용자의 이메일

• usernamedisplayname: 사용자의 이름

• dropbox_path: Dropbox 폴더가 위치한 경로

• Host_id: 클라우드에 인증하는 데 사용되는 해시. 이는 웹에서만 취소할 수 있습니다.

• Root_ns: 사용자 식별자

filecache.db 데이터베이스에는 Dropbox와 동기화된 모든 파일 및 폴더에 대한 정보가 포함되어 있습니다. File_journal 테이블에는 더 유용한 정보가 포함되어 있습니다:

• Server_path: 서버 내 파일이 위치한 경로 (host_id가 클라이언트의 앞에 오는 경로).

• local_sjid: 파일의 버전

• local_mtime: 수정 날짜

• local_ctime: 생성 날짜

이 데이터베이스 내의 다른 테이블에는 더 흥미로운 정보가 포함되어 있습니다:

• block_cache: Dropbox의 모든 파일 및 폴더의 해시

• block_ref: block_cache 테이블의 해시 ID를 file_journal 테이블의 파일 ID와 관련시킴

• mount_table: Dropbox의 공유 폴더

• deleted_fields: 삭제된 Dropbox 파일

• date_added

Trickest를 사용하여 세계에서 가장 고급 커뮤니티 도구를 활용한 워크플로우를 쉽게 구축하고 자동화하세요. 오늘 바로 액세스하세요: