恢复清除的浏览器历史记录——Chrome取证

最新推荐文章于 2025-05-08 15:58:48 发布
最新推荐文章于 2025-05-08 15:58:48 发布
阅读量433 收藏 8
点赞数 3
文章标签: chrome 数据库 javascript 区块链 密码学 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42340783/article/details/146007954
版权

恢复清除的浏览器历史记录——Chrome取证

如何检测用户何时删除了他们的 chrome 历史记录,有没有办法从取证上恢复它?答案是……当然了。

恢复用户在删除其Chrome浏览器历史记录时正在做的事情是检查

C:\Users\<name>\AppData\Local\Google\Chrome\User Data\Default\Sessions

文件夹。需要查看的两个文件名为:

Session_<Webkit/Chrome data>``Tabs_<Webkit/Chrome data>

会话文件存储会话信息,选项文件存储他们打开的选项卡。在某些情况下,当用户清除他们的 Chrome 历史记录时,他们正在浏览的内容可以保留在这些文件中。

有一些可能已经发生的潜在案例,我们将对所有这些案例进行分析:

  • 一位用户清除了他们的历史记录,之后就不再使用 Chrome

  • 用户清除他们的历史记录并重新打开一个新会话

  • 用户清除了他们的历史记录并重新打开了几个会话

01

用户清除了他们的历史记录并且没有使用 Chrome

当用户清除他们的 Chrome 历史记录(到所有时间甚至到最后一个小时)并且没有打开 Chrome 之后,他们在会话期间查看的所有内容仍然存储在里面会话文件。这是个好消息,因为会话文件的日期与文件名中的 Webkit/Chrome 时间戳完全一致。

在这种情况下,正在查看的文件被命名为:

Session_13311227045752079``Tabs_13311227047407569

使用此时间转换器 ( https://www.epochconverter.com/webkit ),可以看到用户“退出”会话的时间为 “年-月-日-时-分-秒”可以通过查看文件的内容来查看用户所做操作的完整时间线。

请注意,很遗憾在此文件中没有捕获相应的“时间戳”。这是文件的样子:

这看起来像一团乱麻,但它实际上结构良好,我将展示它在时间轴输出中的样子。这是我们系统管理员正在查看的完整时间表:

就此用户而言,他们正在搜索“Naruto Feet Pics”,这就是他们正在查看的内容,然后这张图片就是他们继续“点击”的内容。

02

用户清除历史记录并重新打开一个新会话

首先,你怎么知道他们这样做的?在这种情况下,目录中将存在两个会话文件和选项卡文件。

现在这些会话之一将对应于先前“删除”的文件,因为“清除”会话的实际内容将被删除,而不是历史记录被清除的证据。可以从中得到的唯一数据是:

  • 从会话 Webkit/Chrome 名称中提取的会话清除日期

还有一些其他选择,例如考虑从卷影副本中提取或查看 Chrome 故障转储(如果有)。但数据本身似乎在这些文件中为空。

03

用户清除了历史记录并重新打开了几个会话

这对我们取证人员来说是GG了。以前,Favicons 文件会存储用户访问过的可能“已清除”的网站。但我发现这非常不一致,与我在测试期间得到的结果不符:

C:\Users\<name>\AppData\Local\Google\Chrome\User Data\Default\Favicons

我发现唯一一个始终引用“已删除”搜索词的位置是在这个文件中:

C:\Users\<name>\AppData\Local\Google\Chrome\UserData\Default optimization_guide_prediction_model_downloads/b0b608bd-983f-4cf9-aee4-99fc96c39371/global-entities_metadata

当“搜索”某些术语时,Google 会尝试优化搜索并将其中的一些数据存储在此处。不过,不好的是它还存储了很多其他无意义的无趣的东西,所以不确定这是一个很好的取证工具。

END

学习网络安全技术的方法无非三种:

第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。

第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。

第三种就是去找培训。

image.png

接下来,我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。

第一阶段:基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
image.png

第二阶段:web渗透

学习基础 时间:1周 ~ 2周:

① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
image.png

配置渗透环境 时间:3周 ~ 4周:

① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。

渗透实战操作 时间:约6周:

① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
image.png
以上就是入门阶段

第三阶段:进阶

已经入门并且找到工作之后又该怎么进阶?详情看下图
image.png

给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!

鱼馬
关注
[网络安全自学篇] 三十五.恶意代码攻击检测及恶意样本分析
杨秀璋的专栏
12-26 1万+
本文主要结合作者的《系统安全前沿》作业,相关论文及绿盟李东宏老师的博客,从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识。在学术界方面,用类似于综述来介绍攻击追踪溯源的不同方法;在产业界方面,主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。关于攻击溯源的博客和论文都比较少,希望这篇文章对您有所帮助,如果文章中存在错误或理解不到位的地方,还请告知作者与海涵~
浏览器用户文件夹详解 - History(四)
守城小轩的技术窝棚
08-01 4129
History文件是Chromium浏览器中用于记录用户浏览历史的一个重要文件。每当用户访问一个网页时,浏览器都会将该网页的相关信息(如URL、访问时间、标题等)记录在History文件中。通过这些记录,用户可以方便地查看和管理自己的浏览历史,快速找到之前访问过的网页。通过本文的探讨,我们对Chromium浏览器中的History文件有了更深入的认识。我们了解了History文件在记录和管理用户浏览历史中的重要作用,以及其在个性化服务和数据分析中的广泛应用。
Chromium 历史和下载记录数据存储位置分析c+
杰克东的专栏
10-13 1026
历史和下载记录数据来源都在两个文件里面,需要的可以在此更改数据源逻辑。
浏览器用户文件夹详解 - Session(九)
守城小轩的技术窝棚
08-05 1445
Session文件是Chromium浏览器中用于存储用户上次未关闭的网页信息的一个重要文件。每当用户关闭浏览器时,当前会话中的所有网页信息都会被记录在Session文件中。通过这些记录,浏览器可以在下次启动时恢复用户上次浏览的网页,提供连续的浏览体验。通过本文的探讨,我们对Chromium浏览器中的Session文件有了更深入的认识。我们了解了Session文件在记录和管理用户上次未关闭的网页信息中的重要作用,以及其在会话恢复和数据持久化中的广泛应用。
Chrome浏览器取证分析
MSB_WLAQ的博客
10-12 2490
Chrome浏览器取证分析 做个笔记,记录下最近学习的有关Web浏览器取证的知识,其中包括研究如何解密Chrome浏览器保存在本地的加密登录信息,以及当前进程上下文为SYSTEM或者管理员的情况下如何切换Windows权限,还有遇到多用户在线的情况下如何解密多个用户的密码。 Chrome浏览器登录信息存放在哪里? Google Chrome的配置文件存放在%LocalAppData%目录下。例如,具有两个Google Chrome账号配置文件的windows用户admin将有一个目录,其中包含每个配置
Chrome备份数据
Risk2S的小博客
06-27 4199
参考:https://blog.csdn.net/qq_32824605/article/details/127504219。C:\Users\你的电脑用户名\AppData\Local\Google\Chrome\User Data\Default。将History 文件复制出来备份好,装好电脑Chrome浏览器再还原到原文件夹中,关闭浏览器才能复制替换进去。打开 chrome://password-manager/settings。浏览器进入 chrome://bookmarks/
国家信息安全水平考试NISP一级官方视频知识点整理
rhxznp的博客
08-03 9917
文章目录一)信息安全概述(了解即可,考察较少)1.1 信息与信息安全1.1.1信息1.1.2 信息技术1.1.3 信息安全1.1.4 信息系统安全1.2 信息安全威胁1.3 信息安全发展阶段与形式1.4 信息安全保障1.4.1 信息安全保障含义1.4.2 信息安全保障模型1.5 信息系统安全保障1.5.1 信息系统1.5.2 信息安全保障的含义二)信息安全基础技术(重点)2.1 密码学![在这里插入图片描述](https://img-blog.csdnimg.cn/cc933e404bb34c549e0aa
JavaScript 到命令和控制 (C2) 服务器恶意软件分析
最新发布
技术超强的网络安全平台
05-08 915
不断发展的网络威胁形势见证了复杂的恶意软件攻击活动激增,这些活动利用多阶段执行、混淆和隐蔽通信渠道来逃避检测。本研究报告研究了一个高度混淆的攻击链,该攻击链始于一个 JavaScript 文件,该文件从开源服务中检索编码命令以执行 PowerShell 脚本。然后,该脚本从 IP 地址和 URL 缩短器下载 JPG 图像和文本文件,这两个 IP 地址和 URL 缩短器都通过先进的隐写技术隐藏恶意的 MZ DOS 可执行文件。
JavaScript 到命令和控制 (C2) 服务器恶意软件分析及防御
技术超强的网络安全平台
05-06 724
不断发展的网络威胁形势见证了复杂的恶意软件攻击活动激增,这些活动利用多阶段执行、混淆和隐蔽通信渠道来逃避检测。本研究报告研究了一个高度混淆的攻击链,该攻击链始于一个 JavaScript 文件,该文件从开源服务中检索编码命令以执行 PowerShell 脚本。然后,该脚本从 IP 地址和 URL 缩短器下载 JPG 图像和文本文件,这两个 IP 地址和 URL 缩短器都通过先进的隐写技术隐藏恶意的 MZ DOS 可执行文件。
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 6076
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
探秘数字取证利器:Dumpzilla,挖掘浏览器数据的宝藏钥匙
gitblog_00077的博客
06-22 355
探秘数字取证利器:Dumpzilla,挖掘浏览器数据的宝藏钥匙 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 在数字时代,浏览器成为我们日常生活中不可或缺的窗口。然而,隐藏在这些浏览活动背后的数据同样重要,尤其是在网络安全与法证调查领域。因此,【Dumpzilla】应运而生——一款专为Firefox、Iceweasel和Seamonkey浏览器设计的开源取证工具。访...
浏览器取证:从历史记录中提取关键信息
weixin_35797963的博客
05-07 366
本章通过实例展示浏览器历史记录作为数据来源的价值,如何通过审查浏览器遗留数据来获取用户与浏览器互动的证据,包括搜索引擎查询、下载、网络邮件和社交媒体连接。同时强调直接分析数据库的重要性,因为取证工具可能无法显示所有数据。
改变chrome 历史记录位置
MFCJCK的专栏
05-05 6372
谷歌chrome浏览器历史记录文件夹的位置在哪儿?该如何打开谷歌chrome浏览器历史记录文件夹呢?1.如果你是默认(没有更改userdata目录)的话,是在 C:\Documents and Settings\你的用户名\Local Settings\Application Data\Google\Chrome\User Data\Default(缓存 cookie 历史 扩展 脚本 相关设置。
如何快速、批量导出谷歌浏览器里的历史记录
回忆是惩罚,但只惩罚不往前走的人。。。
10-25 1万+
快速、批量导出谷歌浏览器里的历史记录; 方便、快捷、可以写SQL查询、可以导出为excel、csv、word; 免费;
数字取证技术——IE浏览器取证
weixin_45791919的博客
09-30 470
传统IE 浏览器(IE5.0~9.0 版本)的取证内容及方式
Chrome浏览器删除网站cookies的解决方案
热门推荐
weixin_43178406的博客
09-23 7万+
本文主要介绍了Chrome浏览器删除网站cookies的解决方案,希望能对同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
google浏览器chrome用户数据(拓展程序,书签等)丢失问题
zqx1473的博客
08-20 3849
对于Chromium内核的浏览器,在使用过程中,会产生很多用户数据,比如浏览器配置、比如浏览过程中生成的缓存文件等等,都会存储在电脑的某个目录里。这个目录以及里面的文件,就被称之为该用户的Profile。Profile数据项介绍Preferences:浏览器的设置信息Bookmarks:浏览器书签,你记录在浏览器里的快捷链接Login Data:账号密码,比如twitter网站的账号密码Cookies:每个网站都会生成的一些个人相关的数据History:浏览器的历史访问记录。
python 解析 google Chrome 浏览器历史浏览记录以及收藏夹数据
weixin_45259896的博客
02-08 4449
目录前言(一)查询chrome数据缓存地址1.打开 chrome浏览器,输入 chrome://version,进入浏览器版本信息页面2.复制页面下图,划线地址(二)提取收藏夹数据 前言 常使用chrome浏览器作为自己的默认浏览器,也喜欢使用浏览器来收藏自己的喜欢的有用的链接,自己也做了一个记录笔记的小脚本,想扩展收录chrome浏览器收藏夹的内容,,下面,,使用python提取chrome浏览器历史记录,以及收藏夹。 (一)查询chrome数据缓存地址 1.打开 chrome浏览器,输入 chrome
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值