Local Cloud Storage
Użyj Trickest, aby łatwo tworzyć i automatyzować zadania przy użyciu najbardziej zaawansowanych narzędzi społeczności. Otrzymaj Dostęp Dziś:
OneDrive
W systemie Windows, folder OneDrive znajduje się w \Users\<nazwa_użytkownika>\AppData\Local\Microsoft\OneDrive
. Wewnątrz folderu logs\Personal
można znaleźć plik SyncDiagnostics.log
, który zawiera pewne interesujące dane dotyczące zsynchronizowanych plików:
Rozmiar w bajtach
Data utworzenia
Data modyfikacji
Liczba plików w chmurze
Liczba plików w folderze
CID: Unikalne ID użytkownika OneDrive
Czas generowania raportu
Rozmiar dysku twardego systemu operacyjnego
Gdy już znajdziesz CID, zaleca się wyszukiwanie plików zawierających to ID. Możesz natrafić na pliki o nazwach: <CID>.ini i <CID>.dat, które mogą zawierać interesujące informacje, takie jak nazwy plików zsynchronizowanych z OneDrive.
Google Drive
W systemie Windows, główny folder Google Drive znajduje się w \Users\<nazwa_użytkownika>\AppData\Local\Google\Drive\user_default
Ten folder zawiera plik o nazwie Sync_log.log z informacjami, takimi jak adres e-mail konta, nazwy plików, znaczniki czasu, skróty MD5 plików, itp. Nawet usunięte pliki pojawiają się w tym pliku dziennika z odpowiadającymi im skrótami MD5.
Plik Cloud_graph\Cloud_graph.db
to baza danych sqlite, która zawiera tabelę cloud_graph_entry
. W tej tabeli znajdziesz nazwę zsynchronizowanych plików, czas modyfikacji, rozmiar i sumę kontrolną MD5 plików.
Dane tabeli bazy danych Sync_config.db
zawierają adres e-mail konta, ścieżkę folderów udostępnionych i wersję Google Drive.
Dropbox
Dropbox używa baz danych SQLite do zarządzania plikami. W tym Możesz znaleźć bazy danych w folderach:
\Users\<nazwa_użytkownika>\AppData\Local\Dropbox
\Users\<nazwa_użytkownika>\AppData\Local\Dropbox\Instance1
\Users\<nazwa_użytkownika>\AppData\Roaming\Dropbox
A główne bazy danych to:
Sigstore.dbx
Filecache.dbx
Deleted.dbx
Config.dbx
Rozszerzenie ".dbx" oznacza, że bazy danych są zaszyfrowane. Dropbox używa DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)
Aby lepiej zrozumieć szyfrowanie używane przez Dropbox, możesz przeczytać https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.
Jednak główne informacje to:
Entropia: d114a55212655f74bd772e37e64aee9b
Sól: 0D638C092E8B82FC452883F95F355B8E
Algorytm: PBKDF2
Iteracje: 1066
Oprócz tych informacji, aby odszyfrować bazy danych, potrzebujesz:
Zaszyfrowany klucz DPAPI: Możesz go znaleźć w rejestrze wewnątrz
NTUSER.DAT\Software\Dropbox\ks\client
(wyeksportuj te dane jako binarne)Szyfrowane klucze główne DPAPI: Które można znaleźć w
\Users\<nazwa_użytkownika>\AppData\Roaming\Microsoft\Protect
Nazwę użytkownika i hasło użytkownika systemu Windows
Następnie możesz użyć narzędzia DataProtectionDecryptor:
Jeśli wszystko pójdzie zgodnie z oczekiwaniami, narzędzie wskaże klucz główny, który musisz użyć do odzyskania oryginalnego. Aby odzyskać oryginalny, po prostu użyj tego przepisu cyber_chef wpisując klucz główny jako "hasło" wewnątrz przepisu.
Otrzymany wynikowy szesnastkowy kod to ostateczny klucz używany do szyfrowania baz danych, które można odszyfrować za pomocą:
Baza danych config.dbx
zawiera:
Email: Adres e-mail użytkownika
usernamedisplayname: Nazwa użytkownika
dropbox_path: Ścieżka, w której znajduje się folder Dropbox
Host_id: Hash używany do uwierzytelniania w chmurze. Można go wycofać tylko z poziomu sieci.
Root_ns: Identyfikator użytkownika
Baza danych filecache.db
zawiera informacje o wszystkich plikach i folderach zsynchronizowanych z Dropbox. Tabela File_journal
zawiera najbardziej przydatne informacje:
Server_path: Ścieżka, w której znajduje się plik na serwerze (ścieżka ta poprzedzona jest przez
host_id
klienta).local_sjid: Wersja pliku
local_mtime: Data modyfikacji
local_ctime: Data utworzenia
Inne tabele w tej bazie danych zawierają bardziej interesujące informacje:
block_cache: skrót wszystkich plików i folderów Dropbox
block_ref: Powiązanie identyfikatora skrótu z tabeli
block_cache
z identyfikatorem pliku w tabelifile_journal
mount_table: Dzielone foldery Dropbox
deleted_fields: Usunięte pliki Dropbox
date_added
Użyj Trickest, aby łatwo tworzyć i automatyzować zadania przy użyciu najbardziej zaawansowanych narzędzi społeczności na świecie. Otrzymaj dostęp już dziś:
Last updated