En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Herramienta de análisis forense de historial de Google Chrome/Chromium.

Hindsight es una herramienta gratuita para analizar artefactos web. Comenzó con el historial de navegación del navegador web Google Chrome y se ha expandido para admitir otras aplicaciones basadas en Chromium. Hindsight puede analizar varios tipos diferentes de artefactos web incluidos: URL, historial de descargas, registros de caché, marcadores, registros de autocompletar, contraseñas guardadas, preferencias, extensiones de navegador, cookies HTTP y registros de almacenamiento local (cookies HTML5). Una vez que los datos se extraen de cada archivo, se correlacionan con los datos de otros archivos de historial y se colocan en una línea de tiempo.

Tiene una interfaz de usuario web sencilla: para iniciarla, hay que ejecutar "hindsight_gui.py" (en Windows, el paquete "hindsight_gui.exe") y visitar http://localhost:8080 en un navegador.

El único campo que se debe completar es "Ruta de perfil". Esta es la ubicación del perfil de Chrome que desea analizar. Después hay que hacer clic en "Ejecutar" y mostrara la página de resultados donde puede guardar los resultados en una hoja de cálculo (u otros formatos).

Las ubicaciones predeterminadas de la carpeta de perfil predeterminada de Chrome son:
  • WinXP: “[userdir]\Local Settings\Application Data\Google\Chrome\User Data\Default”
  • Vista/7/8: “[userdir]\AppData\Local\Google\Chrome\User Data\Default”
  • Linux: “[userdir]/.config/google-chrome/Default”
  • OS X: “[userdir]/Library/Application Support/Google/Chrome/Default”
  • iOS: “\Applications\com.google.chrome.ios\Library\Application Support\Google\Chrome\Default
  • Android: /userdata/data/com.android.chrome/app_chrome/Default” 

También hay una versión de línea de comandos de Hindsight “hindsight.py” o “hindsight.exe”. La guía del usuario en la carpeta de documentación cubre muchos temas. Ejemplo de uso:

“hindsight.py -i "C:\Users\Ryan\AppData\Local\Google\Chrome\UserDat\Default" -o test_case”

Opciones de línea de comando:
  • -i o --input, ruta al directorio "predeterminado" de Chrome.
  • -o o --salida, nombre del archivo de salida (sin extensión). 
  • -f o –format, formato de salida (por defecto es XLSX, otra opción es SQLite).       
  • -c o --cache, ruta al directorio de caché; solo es necesario si el directorio está fuera del directorio de entrada. Los sistemas Mac están configurados de esta manera por defecto. 
  • -b o --browser_type, el tipo de navegador al que pertenecen los archivos de entrada. Las opciones compatibles son Chrome (predeterminado) y Brave.    
  • -l o --log, realizar un log de acciones.
  • -h o --ayuda, muestra estas opciones y las ubicaciones de datos predeterminadas de Chrome.
  • -t o --timezone, mostrar zona horaria para las indicaciones de fecha y hora en salida XLSX.
Más información y descarga de Hindsight:
https://github.com/obsidianforensics/hindsight
Herramienta de análisis forense de historial de Google Chrome/Chromium. Herramienta de análisis forense de historial de Google Chrome/Chromium. Reviewed by Álvaro Paz on miércoles, julio 04, 2018 Rating: 5
Publicar un comentario
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.