Використовуйте Trickest для легкої побудови та автоматизації робочих процесів за допомогою найбільш продвинутих інструментів спільноти у світі. Отримайте доступ сьогодні:

OneDrive

У Windows ви можете знайти папку OneDrive за шляхом \Users\<username>\AppData\Local\Microsoft\OneDrive. А всередині logs\Personal можна знайти файл SyncDiagnostics.log, в якому містяться деякі цікаві дані щодо синхронізованих файлів:

• Розмір у байтах

• Дата створення

• Дата модифікації

• Кількість файлів у хмарі

• Кількість файлів у папці

• CID: Унікальний ідентифікатор користувача OneDrive

• Час генерації звіту

• Розмір жорсткого диска ОС

Як тільки ви знайдете CID, рекомендується шукати файли, що містять цей ідентифікатор. Можливо, ви зможете знайти файли з назвою: <CID>.ini та <CID>.dat, які можуть містити цікаву інформацію, наприклад, назви файлів, які синхронізовані з OneDrive.

Google Drive

У Windows ви можете знайти основну папку Google Drive за шляхом \Users\<username>\AppData\Local\Google\Drive\user_default Ця папка містить файл під назвою Sync_log.log з інформацією, такою як адреса електронної пошти облікового запису, назви файлів, мітки часу, MD5-хеші файлів тощо. Навіть видалені файли з'являються у цьому файлі журналу з відповідними MD5.

Файл Cloud_graph\Cloud_graph.db є базою даних sqlite, яка містить таблицю cloud_graph_entry. У цій таблиці ви можете знайти назву синхронізованих файлів, час модифікації, розмір та контрольну суму MD5 файлів.

Дані таблиці бази даних Sync_config.db містять адресу електронної пошти облікового запису, шляхи до спільних папок та версію Google Drive.

Dropbox

Dropbox використовує бази даних SQLite для управління файлами. У цьому Ви можете знайти бази даних у папках:

• \Users\<username>\AppData\Local\Dropbox

• \Users\<username>\AppData\Local\Dropbox\Instance1

• \Users\<username>\AppData\Roaming\Dropbox

І основні бази даних:

• Sigstore.dbx

• Filecache.dbx

• Deleted.dbx

• Config.dbx

Розширення ".dbx" означає, що бази даних зашифровані. Dropbox використовує DPAPI (https://docs.microsoft.com/en-us/previous-versions/ms995355(v=msdn.10)?redirectedfrom=MSDN)

Щоб краще зрозуміти шифрування, яке використовує Dropbox, ви можете прочитати https://blog.digital-forensics.it/2017/04/brush-up-on-dropbox-dbx-decryption.html.

Однак основна інформація:

• Ентропія: d114a55212655f74bd772e37e64aee9b

• Сіль: 0D638C092E8B82FC452883F95F355B8E

• Алгоритм: PBKDF2

• Ітерації: 1066

Крім цієї інформації, для розшифрування баз даних вам все ще потрібно:

• Зашифрований ключ DPAPI: Ви можете знайти його в реєстрі всередині NTUSER.DAT\Software\Dropbox\ks\client (експортуйте ці дані як бінарні)

• Гілки SYSTEM та SECURITY

• Майстер-ключі DPAPI: Які можна знайти в \Users\<username>\AppData\Roaming\Microsoft\Protect

• Ім'я користувача та пароль Windows

Потім ви можете використовувати інструмент DataProtectionDecryptor:

Якщо все пройде як очікувалося, інструмент покаже основний ключ, який вам потрібно використовувати для відновлення оригінального. Щоб відновити оригінальний, просто використовуйте цей рецепт cyber_chef вставляючи основний ключ як "пароль" всередині рецепту.

Отриманий шістнадцятковий код - це кінцевий ключ, який використовується для шифрування баз даних, які можна розшифрувати за допомогою:

sqlite -k <Obtained Key> config.dbx ".backup config.db" #This decompress the config.dbx and creates a clear text backup in config.db

База даних config.dbx містить:

• Електронна пошта: Електронна адреса користувача

• usernamedisplayname: Ім'я користувача

• dropbox_path: Шлях, де знаходиться папка Dropbox

• Host_id: Хеш, використовується для аутентифікації в хмарі. Це можна скасувати лише з веб-версії.

• Root_ns: Ідентифікатор користувача

База даних filecache.db містить інформацію про всі файли та папки, які синхронізовані з Dropbox. Таблиця File_journal містить найбільш корисну інформацію:

• Server_path: Шлях, де знаходиться файл на сервері (цей шлях передує host_id клієнта).

• local_sjid: Версія файлу

• local_mtime: Дата модифікації

• local_ctime: Дата створення

Інші таблиці в цій базі даних містять цікаву інформацію:

• block_cache: Хеш усіх файлів та папок Dropbox

• block_ref: Пов'язаний ідентифікатор хешу таблиці block_cache з ідентифікатором файлу в таблиці file_journal

• mount_table: Спільні папки Dropbox

• deleted_fields: Видалені файли Dropbox

• date_added

Використовуйте Trickest, щоб легко створювати та автоматизувати робочі процеси за допомогою найбільш продвинутих інструментів спільноти у світі. Отримайте доступ сьогодні: