alwinuxlabs/chrome-history-parser

# 🌐 Chrome History Parser v1.0 轻量级基于 SQLite3 的解析器，用于提取 Google Chrome 浏览器历史记录，以进行 DFIR 和应急响应分析。 * **作者：** Alwin Espiritu (`alwinux`) * **日期：** 2026-05-01  ## ⚠️ 免责声明 本工具仅用于**经过授权的数字取证和应急响应活动**。 未经授权的使用可能违反相关法律法规。 ## 🚀 快速开始 ### 1. 克隆仓库 ``` git clone https://github.com/alwinuxlabs/chrome-history-parser.git cd chrome-history-parser ``` ### 2. 赋予脚本执行权限 ``` chmod +x ./chrome-history-parser.sh ``` ### 3. 运行脚本 ``` ./chrome-history-parser.sh ``` ### 4. 或指定 Chrome History 文件 ``` ./chrome-history-parser.sh "/path/to/History" ``` ## 📌 功能特性 * 解析 Google Chrome `History` SQLite 数据库 * 提取： * URL * 页面标题 * 访问次数 * 访问时间戳 * 访问来源 * 将 Chrome/WebKit 时间戳转换为可读的 UTC 格式 * 将结果输出为 CSV 格式 * 自动复制数据库以避免锁定问题 * 适合 DFIR 的输出格式，便于时间线分析 ## ⚙️ 环境要求 * macOS / Linux / WSL * Bash * sqlite3 ## 📂 Chrome History 文件位置 ### 🪟 Windows ``` C:\Users\\AppData\Local\Google\Chrome\User Data\Default\History ``` ### 🍎 macOS ``` /Users//Library/Application Support/Google/Chrome/Default/History ``` ### 🐧 Linux ``` /home//.config/google-chrome/Default/History ``` ## 📂 输出 脚本会生成一个 CSV 文件： ``` chrome_history_YYYYMMDD_HHMMSS.csv ``` ## 📄 提取数据 查询的数据表包括： * `urls` * `visits` * `visit_source` 主要字段包括： * URL * 标题 * 访问次数 * 最后访问时间 * 访问时间（转换为 UTC） * 访问来源 ## 🔍 调查提示 (DFIR 洞察) * 留意： * 可疑域名 * 最近访问的 URL * 异常的浏览行为 * 将 `visit_time_utc` 与以下内容进行关联分析： * 事件日志 * 进程执行记录 * 网络连接 * 检查 `visit_source` 以确定页面的访问方式 ## ⚠️ 注意事项与限制 * Chrome 必须关闭，或者数据库需被复制（由脚本处理） * 较大的历史记录文件可能需要较长的处理时间 * 输出文件可能较大，具体取决于浏览活动 * 需要用户配置文件的访问权限 ## 🧥 使用场景 * 应急响应 (IR) * 威胁狩猎 * 用户行为重建 * 时间线分析 * 恶意软件调查 ## 📜 许可证 MIT 许可证 ## 🙌 致谢 为 DFIR 从业者构建，旨在简化 Chrome 取证工件分析和时间线重建。

标签：Chrome历史记录, DAST, HTTP工具, PB级数据处理, SOC分析, SQLite3, 域渗透, 安全运维, 库, 应急响应, 应用安全, 开源, 恶意软件分析, 数字取证, 数据提取, 浏览器取证, 电子数据取证, 网络安全, 脚本工具, 自动化脚本, 隐私保护