REDLIF
  • Inicio
  • Sobre nosotros
  • Filiales
  • Cursos
    • Cursos de certificación en informática forense
    • Curso análisis de malware
    • Tienda de Cursos
  • Miembros certificados
    • Certificaciones IDF v1.0
    • Certificaciones IDF v2.0
  • Blog
  • Contáctanos

REDLIFREDLIF

  • No products in cart.
AULA VIRTUAL
Maldivas Web
martes, 22 enero 2019 / Publicado en Forense

Google Drive Forensic

Dividiremos la publicación en algunas partes, enfocándonos en diferentes fuentes de evidencia digital potencial: sistema de archivos, registro, bases de datos SQLite e historial de navegación web.

Sistema de archivos

La parte más trivial: el objetivo es encontrar la ubicación de la carpeta que se está sincronizando con la nube. De forma predeterminada, es C: \ Users \% username% \ Google Drive :

google_drive_1

Por supuesto, los usuarios pueden cambiar la ubicación predeterminada de esta carpeta. En le mostrará cómo encontrar la carpeta de Google Drive usando el registro forense.

Registro

Como siempre, el registro de Windows contiene un montón de información valiosa desde un punto de vista forense. Primero, comencemos a entender si el proceso de sincronización se inicia automáticamente con el inicio de sesión del usuario, veamos Software \ Microsoft \ Windows \ CurrentVersion \ Run (NTUSER.DAT):

google_drive_4

Como puede ver, al igual que en muchas otras aplicaciones de la nube, el proceso de sincronización de Google Drive se inicia automáticamente con el inicio de sesión del usuario.

Para averiguar dónde podemos encontrar artefactos relacionados con la aplicación, veamos Software \ Google \ Drive (NTUSER.DAT):

google_drive_2

Como puede ver, vamos a encontrar información relacionada con la aplicación, incluidas las bases de datos SQLite, en C: \ Users \ 0136 \ AppData \ Local \ Google \ Drive .

Bases de datos SQLite

En C: \ Users \ 0136 \ AppData \ Local \ Google \ Drive encontrará otra carpeta: user_default . Esta carpeta contiene un montón de valiosas bases de datos SQLite, por ejemplo, sync_config.db y snapshot.db .

Vamos a empezar desde sync_config.db . Esta base de datos solo contiene una tabla: datos , pero está llena de información valiosa, por ejemplo, aquí puede encontrar el nombre de la cuenta de Google y la ubicación de la carpeta de Google Drive, es muy importante si el usuario cambió la ubicación predeterminada.

google_drive_query

Veamos la segunda base de datos, snapshot.db , y su tabla local_entry . ¡Aquí tenemos nombres de archivos, sus tamaños, marcas de tiempo modificadas e incluso hashes MD5! Escribamos una consulta simple para que estos datos sean aún más legibles:

Por supuesto, si profundiza, puede encontrar más artefactos relacionados con el caso en esta base de datos, por lo que le recomendamos que siga investigando.

Historial de navegación web

Hay muchos navegadores web populares en la actualidad, pero esta vez nos centraremos en Google Chrome. Puede encontrar una base de datos SQLite con historial de navegación en C: \ Users \% username% \ AppData \ Local \ Google \ Chrome \ User Data \ Default . Se llama historia . Y sí, no tiene extensión, pero aún puede abrirlo con el navegador de SQLite que elija. Google Drive usualmente comienza desde «drive.google.com», así que escribamos otra consulta para extraer datos de la tabla de URL :

history_query1

Figura 5. Extracción de artefactos relacionados con Google Drive de la base de datos del historial de Google Chrome

Como puede ver, hay muchos buenos artefactos forenses basados ​​en host. Por supuesto, no hay una lista completa de ellos, los archivos de página o de intercambio, la RAM y algunas otras partes del sistema de archivos y el registro pueden contener muchos más artefactos, ¡pero estos son un buen lugar para comenzar!

Autores

Oleg Skulkin, GCFA, MCFE, ACE, is a DFIR enthusional (enthusiast + professional), Windows Forensics Cookbook and Practical Mobile Forensics co-author.

Igor Mikhaylov, MCFE,

What you can read next

Abrir imagenes forense con Forensic7z
Un Hacker Vs Un Forense Informático

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Posts recientes

  • Abrir imagenes forense con Forensic7z

    Como investigadores forenses durante las tareas...
  • Hablemos de Evidencia Digital

    Se define como los datos que son almacenados o ...
  • Un Hacker Vs Un Forense Informático

    Una pugna de fortalezas y destrezas se genera e...
  • Iniciando con Computo Forense

    Para los que recién inician su formación en est...

Comentarios recientes

    Archivos

    • enero 2019
    • diciembre 2018

    Categorías

    • Forense
    • Uncategorized

    Meta

    • Acceder
    • Feed de entradas
    • Feed de comentarios
    • WordPress.org

    Posts recientes

    • Abrir imagenes forense con Forensic7z

      0 comments
    • Hablemos de Evidencia Digital

      0 comments
    • Un Hacker Vs Un Forense Informático

      0 comments
    • Iniciando con Computo Forense

      0 comments

    SÍGUENOS EN NUESTRAS REDES SOCIALES

    • Facebook
    • Twitter
    • YouTube

    Copyright ©2020 REDLIF Reservados Todos los derechos. by MW Marketing

    SUBIR