Herramienta de análisis forense de historial de Google Chrome/Chromium.

Hindsight es una herramienta gratuita para analizar artefactos web. Comenzó con el historial de navegación del navegador web Google Chrome y se ha expandido para admitir otras aplicaciones basadas en Chromium. Hindsight puede analizar varios tipos diferentes de artefactos web incluidos: URL, historial de descargas, registros de caché, marcadores, registros de autocompletar, contraseñas guardadas, preferencias, extensiones de navegador, cookies HTTP y registros de almacenamiento local (cookies HTML5). Una vez que los datos se extraen de cada archivo, se correlacionan con los datos de otros archivos de historial y se colocan en una línea de tiempo.

Tiene una interfaz de usuario web sencilla: para iniciarla, hay que ejecutar «hindsight_gui.py» (en Windows, el paquete «hindsight_gui.exe») y visitar http://localhost:8080 en un navegador.

El único campo que se debe completar es «Ruta de perfil». Esta es la ubicación del perfil de Chrome que desea analizar. Después hay que hacer clic en «Ejecutar» y mostrara la página de resultados donde puede guardar los resultados en una hoja de cálculo (u otros formatos).

Las ubicaciones predeterminadas de la carpeta de perfil predeterminada de Chrome son:

  • WinXP: “[userdir]Local SettingsApplication DataGoogleChromeUser DataDefault”
  • Vista/7/8: “[userdir]AppDataLocalGoogleChromeUser DataDefault”
  • Linux: “[userdir]/.config/google-chrome/Default”
  • OS X: “[userdir]/Library/Application Support/Google/Chrome/Default”
  • iOS: “Applicationscom.google.chrome.iosLibraryApplication SupportGoogleChromeDefault
  • Android: /userdata/data/com.android.chrome/app_chrome/Default” 

También hay una versión de línea de comandos de Hindsight “hindsight.py” o “hindsight.exe”. La guía del usuario en la carpeta de documentación cubre muchos temas. Ejemplo de uso:

“hindsight.py -i «C:UsersRyanAppDataLocalGoogleChromeUserDatDefault» -o test_case”

Opciones de línea de comando:

  • -i o –input, ruta al directorio «predeterminado» de Chrome.
  • -o o –salida, nombre del archivo de salida (sin extensión). 
  • -f o –format, formato de salida (por defecto es XLSX, otra opción es SQLite).       
  • -c o –cache, ruta al directorio de caché; solo es necesario si el directorio está fuera del directorio de entrada. Los sistemas Mac están configurados de esta manera por defecto. 
  • -b o –browser_type, el tipo de navegador al que pertenecen los archivos de entrada. Las opciones compatibles son Chrome (predeterminado) y Brave.    
  • -l o –log, realizar un log de acciones.
  • -h o –ayuda, muestra estas opciones y las ubicaciones de datos predeterminadas de Chrome.
  • -t o –timezone, mostrar zona horaria para las indicaciones de fecha y hora en salida XLSX.

Más información y descarga de Hindsight:
https://github.com/obsidianforensics/hindsight

Deja un comentario