bluecapesecurity/drivefs_forensic_extractor

# Google DriveFS 取证提取器与元数据导出器 [](https://github.com/bluecapesecurity/drivefs_forensic_extractor/releases/tag/v1.0.0) [](https://bluecapesecurity.com) ## 概述 此工具旨在协助数字取证从业人员，从 Windows 系统上的 Google Drive File Stream (DriveFS) 客户端工件中恢复证据。它能从 'content_cache' 文件夹恢复本地缓存的用户文件，并可选择将相关 'metadata_sqlite_db' 数据库（items 表）中的元数据解析为 CSV 格式。CSV 中的时间戳会自动转换为 ISO 8601 UTC，便于进行时间线分析。 ## 核心特性 - 通过魔数（文件签名）检测识别已知文件类型，从 'content_cache' 恢复实体文件。 - 可选择将 Google DriveFS 元数据数据库的完整 'items' 表（包含可读时间戳）导出为 CSV。 - 支持的文件类型（截至发布版本）： * PDF (.pdf) * Office XML 格式文档 (.docx, .xlsx, .pptx 作为 .zip) * JPEG 图片 (.jpg) * PNG 图片 (.png) - 用户友好的报告：包含文件提取报告和导出的 CSV（如果提取了元数据）。 ## 环境要求 - Python 3.x - 无特殊依赖项（仅使用 Python 标准库） - 具有 Google DriveFS 客户端工件的 Windows 系统 ## 使用方法 1. 以管理员身份打开可访问 Python 3.x 的命令提示符或终端。 2. 按如下方式运行脚本： ``` python drivefs_recover.py -s -d [ -m ] ``` 例如： ``` python drivefs_recover.py \ -s "C:\Users\\AppData\Local\Google\DriveFS\\content_cache" \ -d C:\ForensicOutput \ -m "C:\Users\\AppData\Local\Google\DriveFS\\metadata_sqlite_db" ``` - `-s` / `--source`：content_cache 目录的路径（必需） - `-d` / `--dest`：目标/输出目录的路径（必需） - `-m` / `--metadata_file`：metadata_sqlite_db SQLite 文件的路径（可选） 3. 输出目录中会生成以下交付文件： - `drivefs_analysis_report.txt`：恢复文件及状态的摘要报告。 - `drivefs_items_table.csv`：元数据的 CSV 导出（如果指定了数据库），所有 *_date 字段均采用 ISO 8601 UTC 格式。 ## 免责声明 本工具按“原样”提供，不附带任何形式的保证。Blue Cape Security, LLC 及其贡献者不承担因使用本工具而产生的任何直接、间接、附带或后果性损害的责任。使用风险自负，本工具仅用于取证调查、事件响应和教育目的。 ## 致谢 Blue Cape Security, LLC https://bluecapesecurity.com 有任何问题或改进建议？请联系我们的团队或通过我们的官方支持门户提交拉取请求/贡献。

标签：DriveFS, ESC漏洞, Google Drive, ISO 8601, Python, SQLite, Windows系统, 元数据导出, 元数据解析, 内容恢复, 取证工具, 工具开发, 数字取证, 数据导出, 数据恢复, 文件恢复工具, 文件提取, 文件签名检测, 文件类型识别, 无后门, 时间线重建, 缓存分析, 网络安全, 自动化脚本, 证据收集, 逆向工具, 隐私保护