Direktori Instalasi
Dropbox tidak diintal di direktori umum "Program Files", instalasi dilakukan dibawah profil user dalam 'Application Data'. Pada Windows XP terletak pada 'Documents and Settings / username / Application Data / Dropbox', sementara pada Win7 berada di bawah 'User / username / AppData / Roaming / Dropbox'. Didalan folder ini ada folder tambahan seperti 'bin', 'Installer', 'shelled' dan 'cache'. Cache ini yang nanti akan kita bahas.
Perubahan registry
Jika Dropbox sudah terintal di komputer atau piranti, maka registry harus ada yang berubah. Entah itu direktori/folder instalasi, konfigurasi, data start-up, dll. Untuk melihat perilaku instalasi ini, maka dibutuhkan "Sysinternal Process Monitor".
Ada 172 RegCreateKey yang dimasukkan, coba dilihat beberapa yang dianggap penting.
Ada beberapa nilai SystemCertificates dan EnterpriseCertificates yang bisa dipalajari.
yang menarik adalah HKCU Software Microsoft Windows NT CurrentVersion Winlogon dan HKLM Software Microsoft Tracing, dan HKLM System CurrentControlSet Services Tcpip Parameters.
Ada 58 data "RegSetValue" yang beberapa bisa diselidiki yaitu MountPoints2 dan HKCU Software Dropbox installpath. Installpath ini diperlukan jika Dropbox sudah mengubah direktori intslasi sehingga kita bisa mencari kembali.
Kegiatan Jaringan
Koneksi ini menggunakan tool yang bernama "CurrPorts". Data-data yang dikirim dari lokal komputer ke internet tidak dienkripsi sama sekali sehingga mudah untuk disadap atau dipotong ditengah jalan.
Dengan kegiatan ini, kita akan tahu ternyata DropBox mempunya host di Amazon dan Softlayer. Kegiatan berikutnya akan lebih mudah lagi.
Basis Data File
File 'host.db' adalah file text biasa yang mungkin berisi nilai hash.
File 'unlink.db' adalah beberapa file biner.
File Config.db' adalah file yang bersisi SQLite dan info tentang instalasi, akun dan 'hots_id' yang sepertinya bernilai hash md5. Berisi juga nilai alamat email yang didaftarkan ke Dropbox. Alamat email ini bisa digunakan untuk penyelidikan lebih lanjut.
File 'filecache.db' memiliki beberapa tabel, termasuk didalamnya adalah 'file_journal' yang berisi daftar semua direktori dan file didalamnya