Cloud Forensics:Google Drive forensics with Paraben's E3
The scenario was pretty basic. I performed each and every of the following actions (wherever applicable):
Install native Google Drive app.
Execute the application and synced it with my Google Drive’s account.
The scope of this research was to locate those artifacts that could prove that the above actions were made from the user. Lets see how that went.
Paraben's Electronic Evidence Examiner
Start Electronic Evidence Examiner.
Content Analysis
Google Drive Forensic Artifacts
Directories created when Google Drive is installed | |
<SYSTEMROOT>\Program Files\Google\Drive | In this folder you will find the executable file of the application |
<SYSTEMROOT>\Program Files (x86)\Google\Drive | Here you will find information about the updates of the application |
<SYSTEMROOT>\Users\<username>\GoogleDrive | This is the default folder used for synchronizing the user’s files with Google Drive cloud service |
<SYSTEMROOT>\Users\<username>\AppData\Local\Google\Drive | Here you will find all the native app’s files that store information about the app and the user’s data |
Registry
The installation of Google drive creates various keys and values inside the Registry. View the registry hives listed below in the forensic image of the suspect's hard disk.
- SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders
- SOFTWARE\Google\Drive
- NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run\GoogleDriveSync
#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ
No comments:
Post a Comment