Log2timeline（Plaso）には、クラウドストレージに対応したプラグインとして、GoogleDriveParser（Parser for Google Drive snapshot.db files）と、SkyDriveLogParser（Parse SkyDrive log files）の二つが提供されています。これら二つのパーサは Ver 0.66 には無いものです。

まずは、Google Driveのパーサから試してみたいと思います。処理対象としている snapshot.db は Google Driveのアプリケーションを Windows にインストールすると作成されるファイルでしょうかね。

Google DriveのアプリケーションをWindowsにインストールした場合、ドキュメント用のフォルダとしては C:\Users\<ユーザー名\Google ドライブ がストレージとの同期用に設定されます。

設定関連は C:\Users\<ユーザー名>\AppData\Local\Google\Drive フォルダ配下になり、このフォルダに Plaso が対象としている snapshot.db が存在しています。ファイルの中身としてはSQlite3形式のデータベースファイルになります。（このフォルダには他にも sync_log.log など時刻情報を含むデータもあります）

root@siftworkstation:/cases# log2timeline.py --parsers GoogleDrive --output L2tcsv --logfile out.log -d gdrive_timeline.txt /cases/GoogleDrive/

結果は下記になります、残念ながらレコードは1件も出力されてきませんでした。

date,time,timezone,MACB,source,sourcetype,type,user,host,short,desc,version,filename,inode,notes,format,extra

 

 

 SQlite系のパース処理に現在問題があるという事でしょうかね？

参考URL：

Google Drive Forensics Notes

https://sysforensics.org/2012/05/google-drive-forensics-notes.html