原文链接:http://www.freebuf.com/sectool/179734.html
[/url] [url=https://github.com/obsidianforensics/hindsight]hindsight是一款Google Chrome/Chromium历史访问记录取证工具。它支持解析许多不同类型的web工件,包括URL,历史下载记录,缓存记录,书签,自动填充记录,保存的密码,首选项,浏览器扩展,HTTP cookie和本地存储记录(HTML5 cookie)。从各个文件中提取数据后,它会自动的将这些提取数据与来自其他历史文件的数据相关联,并将他们添加到时间线中。 hindsight还为我们提供了一个简单易操作的web UI – 启动它,运行“hindsight_gui.py”(或是Windows上打包的“hindsight_gui.exe”)并在浏览器中访问:http://localhost:8080 [url=http://image.3001.net/images/20180804/1533334313_5b64d3296ca65.png][/url] 其中唯一需要我们填写的就是要分析的Chrome配置文件的路径(在文末我列出了不同操作系统下的默认配置文件路径) 。点击“运行”,你将进入结果页面,您=你可以将结果保存为电子表格(或其他格式)。 命令行除了UI,hindsight也提供了命令行版本 – hindsight.py/hindsight.exe。以下是在命令行中的使用示例: Example usage: > C:\hindsight.py -i "C:\Users\Ryan\AppData\Local\Google\Chrome\User Data\Default" -o test_case命令行选项: 选项 描述
-i 或 –inputChrome(ium)“默认”目录的路径
-o 或 –output输出文件的名称(不带扩展名)
-f 或 –format输出格式(默认为XLSX,其他选项为sqlite)
-c 或 –cache缓存目录的路径;仅当目录在给定的“input”目录之外时才需要。默认情况下,Mac系统以这种方式设置。
-b 或 –browser_type输入文件所属的浏览器类型。支持的选项包括Chrome(默认)和Brave。
-l 或 –log日志记录
-h 或 –help显示这些选项和默认的Chrome数据位置
-t 或 –timezone在XLSX输出中显示时间戳的时区默认配置文件路径 WinXP: [userdir]\Local Settings\Application Data\Google\Chrome\User Data\Default Vista/7/8: [userdir]\AppData\Local\Google\Chrome\User Data\Default Linux: [userdir]/.config/google-chrome/Default OS X: [userdir]/Library/Application Support/Google/Chrome/Default iOS: \Applications\com.google.chrome.ios\Library\Application Support\Google\Chrome\Default Android: /userdata/data/com.android.chrome/app_chrome/Default
|