— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — —
Перш ніж почати, хочу оновити: статтю, пов'язану з (Розшифровка протоколів Google Drive і дослідження кешованих файлів), ви не знайдете на MEDIUM. Цю статтю ви знайдете на моєму сайті. Посилання на неї нижче.
Прошу вас ознайомитись
[
Розшифровка протоколів Google Drive та дослідження кешованих файлів
Google відома своїми унікальними форматами зберігання даних, і Google Drive для настільних ПК не є винятком. На відміну від JSON або XML…
www.cyberengage.org
](https://www.cyberengage.org/post/decoding-google-drive-s-protocol-buffers-and-investigating-cached-files?source=post_page-----b26fdaaf8a52--------------------------------)
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — —
Дослідження Google Drive для настільних ПК може бути витратним за часом процесом, особливо коли мова йде про метадані, закодовані за допомогою protobuf, і кешовані файли. На щастя, інструменти з відкритим кодом для судової експертизи, такі як gMetaParse та DriveFS Sleuth значно спрощують цю задачу.
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — -
1️⃣ Автоматизація витягнення метаданих з gMetaParse
🔍 Що таке gMetaParse?
Розроблений судовим дослідником, gMetaParse — це інструмент на базі Python, який автоматизує витягнення метаданих з бази даних metadatasqlitedb Google Drive.
📌 Основні характеристики gMetaParse:
✅ Витягує метадані для всіх файлів і папок в Google Drive
✅ Ідентифікує локально збережені кешовані файли
✅ Виявляє видалені (переміщені до кошика) файли
✅ Підтримує виведення у форматах CSV, JSON та GUI
📍 Інсталяція та використання:
gMetaParse доступний як Python-скрипт або попередньо скомпільований .exe. Його можна запускати через командний рядок або за допомогою графічного інтерфейсу (GUI).
🛠️ Покроковий процес: Запуск gMetaParse
1️⃣ Відкрийте командний рядок і перейдіть до папки gMetaParse.
2️⃣ Виконайте наступну команду:
gMetaParse.exe -f "C:\Users\Akash\AppData\Local\Google\DriveFS\\metadata_sqlite_db"-d "C:\Users\Akash\AppDataGoogleDriveFS.csv" -g
📌 Пояснення:
✅ -f → Вказує на базу даних метаданих Google Drive
✅ -d → Вказує на папку кешу
✅ -o → Виводить результати у форматі CSV
✅ -g → Запускає GUI для інтерактивного перегляду файлів
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — —
2️⃣ Візуалізація даних Google Drive за допомогою GUI gMetaParse
📌 Навіщо використовувати GUI? Хоча CSV/JSON виходи є корисними для аналізу, графічний інтерфейс gMetaParse (GUI) робить легшим навігацію по великих файлових структурах і дозволяє візуально ідентифікувати видалені чи кешовані файли.
🔍 Функції GUI gMetaParse:
✅ Візуалізація деревоподібної структури вмісту Google Drive
✅ Кольорове кодування файлів:
- 🟥 Червоний → Видалені (переміщені до кошика) файли
- 🟩 Зелений → Кешовані (доступні локально)
- ✅ Детальний перегляд метаданих при натисканні на файл
📌 Судове використання:
✅ Швидко виявляти видалені файли і відновлювати локальні копії
✅ Фільтрувати та шукати файли за допомогою метаданих
✅ Експортувати всі метадані для офлайн-аналізу
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — —
3️⃣ Витягнення метаданих з Google Drive за допомогою DriveFS Sleuth
🔍 Що таке DriveFS Sleuth?
DriveFS Sleuth — це вдосконалений інструмент для судової експертизи Google Drive, розроблений Amged Wageh та Ann Bransom.
Він спеціалізується на розшифровці даних, закодованих за допомогою protobuf та відновленні MD5-хешів з метаданих Google Drive.
📌 Основні функції DriveFS Sleuth:
✅ Парсить metadatasqlitedb, витягуючи метадані файлів, часові мітки та хеші
✅ Відновлює MD5-хеші для файлів, збережених локально
✅ Витягує інформацію про акаунти (Google email, ім’я користувача, налаштування)
✅ Надає інтерактивні HTML-звіти
📍 Інсталяція та використання:
🛠️ Покроковий процес: Запуск DriveFS Sleuth
1️⃣ Встановіть Python 3 (якщо він ще не встановлений).
2️⃣ Завантажте DriveFS Sleuth з GitHub.
3️⃣ Виконайте наступну команду:
python3 drivefs_sleuth.py /mnt/c/Users/Akash/AppData/Local/Google/DriveFS --html -o /mnt/c/Users/Akash/Downloads/GoogleDriveFS.html
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — —
4️⃣ Дослідження журналів Google Workspace (для бізнесу та підприємств)
🔍 Чому важливі журнали Google Workspace?
Для корпоративних середовищ журнали Google Workspace забезпечують детальний аудит користувацької активності, включаючи:
✅ Завантаження, завантаження, модифікації файлів
✅ Обмін файлами (внутрішні та зовнішні користувачі)
✅ Видалені елементи та спроби відновлення
✅ Історія входів та підозрілі спроби доступу
📍 Доступ до журналів Google Workspace:
1️⃣ Увійдіть в Google Admin Console (admin.google.com).
2️⃣ Перейдіть до Reports > Audit > Drive Log
3️⃣ Фільтруйте журнали за типом події, користувачем, діапазоном дат або іменем файлу.
4️⃣ Експортуйте журнали у форматі CSV для офлайн-аналізу.
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — —
5️⃣ Фільтрація журналів Google Workspace для розслідування
📌 Основні категорії журналів та назви подій:
📌 Для судового використання:
✅ Ідентифікація підозрілого обміну файлами (наприклад, створення зовнішніх посилань)
✅ Відстеження видалених файлів та їх спроби відновлення
✅ Кореляція доступу до файлів з IP-адресами та обліковими записами користувачів
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — —
6️⃣ Дослідження обміну файлами та зовнішнього доступу
📌 Як ідентифікувати зовнішній обмін файлами:
✅ Шукайте AnonymousLinkCreated → Це вказує на публічний обмін файлами
✅ Перевірте IP-адреси в журналах → Ідентифікуйте зовнішній доступ
✅ Перехресно перевіряйте метадані Google Drive → Знайдіть локально кешовані спільні файли
📍 Приклад: Дослідження зовнішнього обміну файлами
1️⃣ Шукайте в журналах AnonymousLinkCreated
2️⃣ Ідентифікуйте який файл був поділений та ким користувачем
3️⃣ Перевірте журнали на FileDownloaded → Визначте, чи файл був доступний зовнішньо
4️⃣ Витягніть IP-адресу та часові мітки → Відстежте зовнішній доступ
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — —
Висновок
Судова експертиза Google Drive відіграє важливу роль у сучасних цифрових розслідуваннях, надаючи інформацію про синхронізацію файлів, історію доступу, видалення та зміни метаданих. Аналізуючи локальні артефакти, журнали хмар та бази даних синхронізації, судові аналітики можуть відновити активність користувачів та відстежити докази навіть після того, як файли були видалені чи змінені.
Розуміння основних артефактів, таких як журнали Google Drive, SQLite бази даних та активність API, дозволяє слідчим виявляти хто отримував доступ до яких файлів, коли і звідки — критичний аспект хронології судових розслідувань.
🚀 Продовжуйте дослідження, будьте допитливими та вдосконалюйте свої судові навички — тому що цифрові докази всюди! 🔍
🎯 Наступне: Судова експертиза Dropbox — дослідження безпеки хмарного сховища 🚀
— — — — — — — — — — — — — — — — — — — — — — — -Dean — — — — — — — — — — —
Перекладено з: Automating Google Drive Forensics: Tools & Techniques