探查iOS裝置及桌機 鑑識Google雲端硬碟跡證

▲圖1 在電腦安裝Dropbox之同步資料夾。

此外，iPhone或Andriod使用者可利用App應用程式，連線Dropbox存取、下載及分享檔案，目前Dropbox有適用於iPad、iPhone、Android手機、Windows Phone以及Blackberry黑莓機等行動裝置的用戶版本。

透過權限控管，資料擁有者可設定共享資料夾的存取權限，並允許多人存取同一組的檔案。共享資料夾須獲得允許才能瀏覽，若要線上存取資料檔案，需要帳號和密碼登入，無法直接瀏覽或搜尋。

OneDrive
OneDrive原名稱為SkyDrive，是微軟提供的一個雲端儲存服務，提供15GB的免費儲存空間，另透過推薦給朋友的方式也可免費獲得額外儲存空間，當然也能夠付費獲得較大儲存空間（目前提供100GB、200GB及1TB），相關雲端儲存服務可在電腦及手機等平台使用。

透過OneDrive同步應用程式的安裝，同樣也會在電腦端建立一個資料夾（圖2），在此資料夾內可以上傳及下載所有的檔案。

▲圖2 在電腦安裝OneDrive之同步資料夾。

OneDrive的另一特色是，可在網頁中使用Office Web Apps服務直接檢視、建立與編輯Office文件。

Google雲端硬碟
Google雲端硬碟也稱做Google Drive，為Google提供的免費雲端儲存服務，基本使用有15GB的空間，在雲端放置的檔案可以在drive.google.com存取，如圖3所示。

▲圖3 Google雲端硬碟線上版畫面。

此外，在電腦安裝Google雲端硬碟同步程式後，在電腦端會產生一個同步資料夾，如圖4所示，所有放置於該資料夾的檔案和文件都會自動同步。

▲圖4 於電腦安裝Google雲端硬碟的同步資料夾。

另外，Google雲端硬碟同步程式也有適用於iPad、iPhone及Android等行動裝置的用戶版本。

透過權限控管，資料擁有者可設定檔案、資料夾的存取權限，並透過網址直接分享檔案，使用者只需輸入帳號、密碼登入，利用行動連線裝置便能無時無刻、不限時間地點、不限於原上傳裝置自由地存取上傳的檔案。

另外，Google雲端硬碟可以輕易地與Google各項周邊產品整合，例如可與Gmail及Google+對應，直接在Gmail和Google+內附上Google雲端硬碟的連結，達到文件、影片與相片的分享。

雲端儲存服務鑑識

Google雲端硬碟是經常被使用的雲端儲存服務，當用戶增加一個檔案到同步資料檔案夾，Google雲端硬碟同步軟體就會自動將檔案同步到其雲端儲存空間上，同樣地，在Google雲端硬碟線上儲存空間新增檔案，也會自動將檔案同步至電腦端的同步資料夾內。

所以，本文主要以安裝Windows作業系統的個人電腦及iPhone智慧型手機使用Google雲端硬碟儲存服務，來探討在本地端設備內可能會在何處產生什麼數位跡證，並進行鑑識分析。

以個人電腦使用雲端儲存服務所產生的文件

當Google雲端硬碟被使用在Windows 7作業系統的個人電腦上，預設的安裝路徑是「C:\Program Files\Google\Drive」，另外在路徑「C:\Users\User\AppData\Local\Google\Drive」下會產生相關系統檔案，其中在「user_default」資料夾內的sync_config.db和snapshot.db兩個資料檔儲存了一些重要資訊，所使用的是SQLite資料庫格式。

使用軟體SQLite Database Browser（version 3.5.1）檢查這兩個資料檔，以下分別說明。

sync_config.db
sync_config.db資料檔包含使用者信箱、安裝路徑及程式的版本等資訊，如圖5所示。

▲圖5 sync_config.db所包含的重要資訊。

snapshot.db
snapshot.db資料檔含有雲端儲存服務的重要資訊，主要為cloud_entry、local_entry、mapping等資料表，分別說明如下：

·cloud_entry資料表：記錄雲端所儲存之檔案及同步與分享共用等重要資訊，包含filename、modified、created、doc_type、shared、resource_type等欄位，如圖6所示，其中重要欄位資訊說明如表1所列。

▲圖6 snapshot.db的cloud_entry資料表。