obsidianforensics/hindsight
GitHub: obsidianforensics/hindsight
一款用于分析 Chromium 浏览器历史数据的取证工具,可提取并关联多种浏览痕迹生成时间线报告。
Stars: 1388 | Forks: 174
# 
Hindsight
Google Chrome/Chromium 的互联网历史取证工具
Hindsight 是一个用于分析 Web 痕迹的免费工具。它始于 Google Chrome Web 浏览器的浏览历史分析,并已扩展支持其他基于 Chromium 的应用程序(未来将支持更多!)。Hindsight 可以解析多种不同类型的 Web 痕迹,包括 URL、下载历史、缓存记录、书签、自动填充记录、保存的密码、首选项、浏览器扩展、HTTP Cookie 和 Local Storage 记录(HTML5 Cookie)。从每个文件中提取数据后,会将其与其他历史文件中的数据关联起来,并按时间顺序排列。
它拥有一个简单的 Web UI —— 启动它,只需运行 "hindsight_gui.py"(或在 Windows 上运行打包好的 "hindsight_gui.exe"),然后在浏览器中访问 http://localhost:8080:
你唯一需要填写的字段是 “Profile Path”。这是你想要分析的 Chrome 配置文件的位置(不同操作系统的默认配置文件路径列在此页面底部)。点击 “Run”,你将被带到结果页面,在那里你可以将结果保存为电子表格(或其他格式)。
## 手动安装
要安装 Hindsight(包括命令行工具和 Web 界面),请执行:
```
pip install pyhindsight
pip install git+https://github.com/cclgroupltd/ccl_chromium_reader.git
```
如果你希望在 Hindsight Web 界面中使用 “View SQLite DB in Browser” 功能,你需要运行另一个安装命令:
```
curl -sSL https://raw.githubusercontent.com/obsidianforensics/hindsight/master/install-js.sh | sh
```
## 命令行
Hindsight 也有命令行版本 —— hindsight.py 或 hindsight.exe。documentation 文件夹中的用户指南涵盖了许多主题,但以下信息应该能帮助你开始使用命令行版本:
示例用法:\> C:\\hindsight.py -i "C:\Users\Ryan\AppData\Local\Google\Chrome\User Data\Default" -o test_case
命令行选项:
| 选项 | 描述 |
| -------------- | ------------------------------------------------------- |
| -i 或 --input | Chrome(ium) "Default" 目录的路径 |
| -o 或 --output | 输出文件的名称(不含扩展名) |
| -f 或 --format | 输出格式(默认为 XLSX,其他选项为 SQLite 和 JSONL) |
| -c 或 --cache | 缓存目录的路径;仅当该目录位于给定的 "input" 目录之外时才需要。Mac 系统默认为此设置。 |
| -b 或 --browser_type | 输入文件所属的浏览器类型。支持的选项有 Chrome(默认)和 Brave。
| -l 或 --log | Hindsight 日志记录的位置(如果存在则追加) |
| -h 或 --help | 显示这些选项和默认 Chrome 数据位置 |
| -t 或 --timezone | XLSX 输出中时间戳的显示时区 |
## 默认配置文件路径
Chrome 默认配置文件文件夹的默认位置如下:
* WinXP: \[userdir\]\Local Settings\Application Data\Google\Chrome\User Data\Default
* Vista/7/8/10: \[userdir\]\AppData\Local\Google\Chrome\User Data\Default
* Linux: \[userdir\]/.config/google-chrome/Default
* OS X: \[userdir\]/Library/Application Support/Google/Chrome/Default
* iOS: \Applications\com.google.chrome.ios\Library\Application Support\Google\Chrome\Default
* Android: /userdata/data/com.android.chrome/app_chrome/Default
* CrOS: \home\user\\
## 功能请求
如果你想出一个新功能的想法(或者发现了损坏的东西),请[提交 issue](https://github.com/obsidianforensics/hindsight/issues/new/choose)。
Hindsight
Google Chrome/Chromium 的互联网历史取证工具
Hindsight 是一个用于分析 Web 痕迹的免费工具。它始于 Google Chrome Web 浏览器的浏览历史分析,并已扩展支持其他基于 Chromium 的应用程序(未来将支持更多!)。Hindsight 可以解析多种不同类型的 Web 痕迹,包括 URL、下载历史、缓存记录、书签、自动填充记录、保存的密码、首选项、浏览器扩展、HTTP Cookie 和 Local Storage 记录(HTML5 Cookie)。从每个文件中提取数据后,会将其与其他历史文件中的数据关联起来,并按时间顺序排列。
它拥有一个简单的 Web UI —— 启动它,只需运行 "hindsight_gui.py"(或在 Windows 上运行打包好的 "hindsight_gui.exe"),然后在浏览器中访问 http://localhost:8080:
你唯一需要填写的字段是 “Profile Path”。这是你想要分析的 Chrome 配置文件的位置(不同操作系统的默认配置文件路径列在此页面底部)。点击 “Run”,你将被带到结果页面,在那里你可以将结果保存为电子表格(或其他格式)。
## 手动安装
要安装 Hindsight(包括命令行工具和 Web 界面),请执行:
```
pip install pyhindsight
pip install git+https://github.com/cclgroupltd/ccl_chromium_reader.git
```
如果你希望在 Hindsight Web 界面中使用 “View SQLite DB in Browser” 功能,你需要运行另一个安装命令:
```
curl -sSL https://raw.githubusercontent.com/obsidianforensics/hindsight/master/install-js.sh | sh
```
## 命令行
Hindsight 也有命令行版本 —— hindsight.py 或 hindsight.exe。documentation 文件夹中的用户指南涵盖了许多主题,但以下信息应该能帮助你开始使用命令行版本:
示例用法:\> C:\\hindsight.py -i "C:\Users\Ryan\AppData\Local\Google\Chrome\User Data\Default" -o test_case
命令行选项:
| 选项 | 描述 |
| -------------- | ------------------------------------------------------- |
| -i 或 --input | Chrome(ium) "Default" 目录的路径 |
| -o 或 --output | 输出文件的名称(不含扩展名) |
| -f 或 --format | 输出格式(默认为 XLSX,其他选项为 SQLite 和 JSONL) |
| -c 或 --cache | 缓存目录的路径;仅当该目录位于给定的 "input" 目录之外时才需要。Mac 系统默认为此设置。 |
| -b 或 --browser_type | 输入文件所属的浏览器类型。支持的选项有 Chrome(默认)和 Brave。
| -l 或 --log | Hindsight 日志记录的位置(如果存在则追加) |
| -h 或 --help | 显示这些选项和默认 Chrome 数据位置 |
| -t 或 --timezone | XLSX 输出中时间戳的显示时区 |
## 默认配置文件路径
Chrome 默认配置文件文件夹的默认位置如下:
* WinXP: \[userdir\]\Local Settings\Application Data\Google\Chrome\User Data\Default
* Vista/7/8/10: \[userdir\]\AppData\Local\Google\Chrome\User Data\Default
* Linux: \[userdir\]/.config/google-chrome/Default
* OS X: \[userdir\]/Library/Application Support/Google/Chrome/Default
* iOS: \Applications\com.google.chrome.ios\Library\Application Support\Google\Chrome\Default
* Android: /userdata/data/com.android.chrome/app_chrome/Default
* CrOS: \home\user\\标签:Chrome取证, Chromium分析, Common Crawl, Cookie分析, incident response, Python, SQLite, TCP SYN 扫描, Web artifacts, Web UI, 下载记录, 二进制发布, 互联网历史记录, 域渗透, 库, 应急响应, 开源工具, 数字取证, 数据可视化, 数据解析, 无后门, 浏览器取证, 电子数据取证, 痕迹提取, 缓存解析, 网络安全审计, 网络行为分析, 自动化脚本, 调查工具, 逆向工具