搜索
查看: 1039|回复: 0

Hindsight:Google ChromeChromium历史访问记录取证工具

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2018-8-11 16:48:33 | 显示全部楼层 |阅读模式
原文链接:http://www.freebuf.com/sectool/179734.html

[/url]

[url=https://github.com/obsidianforensics/hindsight]hindsight是一款Google Chrome/Chromium历史访问记录取证工具。它支持解析许多不同类型的web工件,包括URL,历史下载记录,缓存记录,书签,自动填充记录,保存的密码,首选项,浏览器扩展,HTTP cookie和本地存储记录(HTML5 cookie)。从各个文件中提取数据后,它会自动的将这些提取数据与来自其他历史文件的数据相关联,并将他们添加到时间线中。

hindsight还为我们提供了一个简单易操作的web UI – 启动它,运行“hindsight_gui.py”(或是Windows上打包的“hindsight_gui.exe”)并在浏览器中访问:http://localhost:8080

[url=http://image.3001.net/images/20180804/1533334313_5b64d3296ca65.png][/url]

其中唯一需要我们填写的就是要分析的Chrome配置文件的路径(在文末我列出了不同操作系统下的默认配置文件路径)  。点击“运行”,你将进入结果页面,您=你可以将结果保存为电子表格(或其他格式)。

命令行

除了UI,hindsight也提供了命令行版本 – hindsight.py/hindsight.exe。以下是在命令行中的使用示例:

Example usage: > C:\hindsight.py -i "C:\Users\Ryan\AppData\Local\Google\Chrome\User Data\Default" -o test_case

命令行选项:

选项
描述

-i 或 –inputChrome(ium)“默认”目录的路径
-o 或 –output输出文件的名称(不带扩展名)
-f 或 –format输出格式(默认为XLSX,其他选项为sqlite)
-c 或 –cache缓存目录的路径;仅当目录在给定的“input”目录之外时才需要。默认情况下,Mac系统以这种方式设置。
-b 或 –browser_type输入文件所属的浏览器类型。支持的选项包括Chrome(默认)和Brave。
-l 或 –log日志记录
-h 或 –help显示这些选项和默认的Chrome数据位置
-t 或 –timezone在XLSX输出中显示时间戳的时区

默认配置文件路径

WinXP: [userdir]\Local Settings\Application Data\Google\Chrome\User Data\Default

Vista/7/8: [userdir]\AppData\Local\Google\Chrome\User Data\Default

Linux: [userdir]/.config/google-chrome/Default

OS X: [userdir]/Library/Application Support/Google/Chrome/Default

iOS: \Applications\com.google.chrome.ios\Library\Application Support\Google\Chrome\Default

Android: /userdata/data/com.android.chrome/app_chrome/Default


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?Join BUC

x
过段时间可能会取消签到功能了
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表