extracting-browser-history-artifacts

从 Chrome、Firefox 和 Edge 中提取并分析浏览器历史记录、Cookie、缓存、下载记录和书签,以获取用户网络活动的取证证据。

9 stars

Best use case

extracting-browser-history-artifacts is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

从 Chrome、Firefox 和 Edge 中提取并分析浏览器历史记录、Cookie、缓存、下载记录和书签,以获取用户网络活动的取证证据。

Teams using extracting-browser-history-artifacts should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/extracting-browser-history-artifacts/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/extracting-browser-history-artifacts/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/extracting-browser-history-artifacts/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How extracting-browser-history-artifacts Compares

Feature / Agentextracting-browser-history-artifactsStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

从 Chrome、Firefox 和 Edge 中提取并分析浏览器历史记录、Cookie、缓存、下载记录和书签,以获取用户网络活动的取证证据。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 提取浏览器历史制品

## 适用场景
- 在取证检查中调查用户网络活动时
- 在内部威胁调查中建立数据外泄模式时
- 追踪用户访问恶意或违反策略的网站时
- 将浏览器活动与其他取证制品和时间线相关联时
- 在钓鱼攻击调查中识别点击了哪些链接时

## 前置条件
- 取证镜像或用户配置文件目录的访问权限
- SQLite3 用于查询浏览器数据库
- Hindsight、BrowsingHistoryView 或 DB Browser for SQLite
- 了解各操作系统中浏览器制品文件的位置
- 安装 sqlite3 模块的 Python 3,用于自动化提取
- 了解 Chrome、Firefox 和 Edge 的存储格式

## 工作流程

### 步骤 1:定位浏览器制品文件

```bash
# 挂载取证镜像
mount -o ro,loop,offset=$((2048*512)) /cases/case-2024-001/images/evidence.dd /mnt/evidence

# Chrome 制品位置(Windows)
CHROME_WIN="/mnt/evidence/Users/suspect/AppData/Local/Google/Chrome/User Data/Default"
# 关键文件:History、Cookies、Login Data、Web Data、Bookmarks、Preferences

# Firefox 制品位置(Windows)
FIREFOX_WIN="/mnt/evidence/Users/suspect/AppData/Roaming/Mozilla/Firefox/Profiles/*.default-release"
# 关键文件:places.sqlite、cookies.sqlite、formhistory.sqlite、logins.json

# Edge(Chromium)制品位置(Windows)
EDGE_WIN="/mnt/evidence/Users/suspect/AppData/Local/Microsoft/Edge/User Data/Default"

# 复制制品到工作目录
mkdir -p /cases/case-2024-001/browser/{chrome,firefox,edge}
cp -r "$CHROME_WIN"/{History,Cookies,Downloads,"Login Data","Web Data",Bookmarks} \
   /cases/case-2024-001/browser/chrome/ 2>/dev/null

# 对制品进行哈希验证以确保完整性
find /cases/case-2024-001/browser/ -type f -exec sha256sum {} \; \
   > /cases/case-2024-001/browser/artifact_hashes.txt
```

### 步骤 2:提取 Chrome 浏览历史和下载记录

```bash
# 查询 Chrome History 数据库
sqlite3 /cases/case-2024-001/browser/chrome/History << 'SQL'
.headers on
.mode csv
.output /cases/case-2024-001/analysis/chrome_history.csv

SELECT
    urls.url,
    urls.title,
    datetime(urls.last_visit_time/1000000-11644473600, 'unixepoch') AS last_visit,
    urls.visit_count,
    urls.typed_count,
    visits.transition & 0xFF AS transition_type
FROM urls
LEFT JOIN visits ON urls.id = visits.url
ORDER BY urls.last_visit_time DESC;
SQL

# 提取 Chrome 下载记录
sqlite3 /cases/case-2024-001/browser/chrome/History << 'SQL'
.headers on
.mode csv
.output /cases/case-2024-001/analysis/chrome_downloads.csv

SELECT
    current_path,
    tab_url AS source_url,
    total_bytes,
    datetime(start_time/1000000-11644473600, 'unixepoch') AS start_time,
    datetime(end_time/1000000-11644473600, 'unixepoch') AS end_time,
    state,
    danger_type,
    mime_type
FROM downloads
ORDER BY start_time DESC;
SQL
```

### 步骤 3:提取 Firefox 浏览历史

```bash
# 从 Firefox places.sqlite 查询历史记录
sqlite3 /cases/case-2024-001/browser/firefox/places.sqlite << 'SQL'
.headers on
.mode csv
.output /cases/case-2024-001/analysis/firefox_history.csv

SELECT
    moz_places.url,
    moz_places.title,
    datetime(moz_historyvisits.visit_date/1000000, 'unixepoch') AS visit_date,
    moz_places.visit_count,
    moz_historyvisits.visit_type
FROM moz_places
JOIN moz_historyvisits ON moz_places.id = moz_historyvisits.place_id
ORDER BY moz_historyvisits.visit_date DESC;
SQL
```

### 步骤 4:提取 Cookie 和存储的凭据

```bash
# 提取 Chrome Cookie
sqlite3 /cases/case-2024-001/browser/chrome/Cookies << 'SQL'
.headers on
.mode csv
.output /cases/case-2024-001/analysis/chrome_cookies.csv

SELECT host_key, name, path,
    datetime(creation_utc/1000000-11644473600, 'unixepoch') AS created,
    datetime(last_access_utc/1000000-11644473600, 'unixepoch') AS last_access,
    is_secure, is_httponly
FROM cookies ORDER BY last_access_utc DESC;
SQL

# 注意:Chrome Login Data 使用 DPAPI(Windows)或密钥链(Mac)加密
# 提取存储的登录 URL(密码已加密)
sqlite3 /cases/case-2024-001/browser/chrome/"Login Data" << 'SQL'
.headers on
.mode csv
.output /cases/case-2024-001/analysis/chrome_logins.csv

SELECT origin_url, action_url, username_value,
    datetime(date_created/1000000-11644473600, 'unixepoch') AS date_created,
    times_used
FROM logins ORDER BY date_last_used DESC;
SQL
```

### 步骤 5:使用 Hindsight 进行全面的 Chrome 分析

```bash
# 安装 Hindsight
pip install pyhindsight

# 对 Chrome 配置文件运行 Hindsight
hindsight -i "/cases/case-2024-001/browser/chrome/" \
   -o /cases/case-2024-001/analysis/hindsight_report \
   -f xlsx

# Hindsight 自动提取:
# - 带时间戳的浏览历史
# - 含来源 URL 的下载记录
# - Cookie(尽可能解密)
# - 缓存记录、Local Storage 条目、自动填充数据
# - 已保存密码(加密状态)、会话/标签恢复数据
```

## 关键概念

| 概念 | 描述 |
|------|------|
| Chrome 时间戳 | 自 1601 年 1 月 1 日起的微秒数(WebKit/Chrome 纪元) |
| Firefox 时间戳 | 自 1970 年 1 月 1 日起的微秒数(Unix 纪元,微秒级) |
| 跳转类型(Transition types) | URL 的访问方式:直接输入(1)、链接(0)、重定向(5/6) |
| DPAPI 加密 | Windows 数据保护 API,用于加密存储的密码和 Cookie |
| places.sqlite | Firefox 合并的历史记录和书签数据库 |
| SQLite WAL | 预写日志,可能包含最近删除的浏览器记录 |

## 工具与系统

| 工具 | 用途 |
|------|------|
| Hindsight | 全面的 Chrome/Chromium 取证分析工具 |
| sqlite3 | SQLite 数据库命令行查询工具 |
| DB Browser for SQLite | 用于浏览 SQLite 数据库的 GUI 工具 |
| BrowsingHistoryView | NirSoft 跨浏览器历史记录查看工具 |
| KAPE | 包含浏览器数据的自动化制品收集工具 |
| Autopsy | 带有浏览器制品摄取模块的完整取证平台 |

## 常见场景

**场景 1:钓鱼调查**
提取报告的钓鱼事件时间段附近的浏览器历史,识别被访问的钓鱼 URL,检查恶意附件的下载记录,检查可能已被盗取的会话令牌 Cookie。

**场景 2:通过云服务进行数据外泄**
搜索云存储 URL(Dropbox、Google Drive、OneDrive、Mega),检查下载和上传记录,查看调查期间活跃的云服务会话 Cookie。

**场景 3:违规行为调查**
提取调查期间的完整浏览历史,对访问的网站进行分类,记录时间戳和访问时长,与网络代理日志相关联进行验证。

**场景 4:恶意软件投递向量分析**
追踪导致偷渡式下载的重定向链,检查下载数据库中的恶意软件负载,检查漏洞利用工具包落地页的缓存。

Related Skills

investigating-ransomware-attack-artifacts

9
from killvxk/cybersecurity-skills-zh

识别、收集和分析勒索软件攻击制品,以确定变种、初始访问向量、加密范围和恢复选项。

implementing-code-signing-for-artifacts

9
from killvxk/cybersecurity-skills-zh

本技能涵盖为构建产物实施代码签名,以确保软件供应链中的完整性和真实性。 内容包括使用 GPG、Sigstore 和平台专用签名工具对二进制文件、软件包和容器进行签名, 建立信任链,以及在部署管道中验证签名。

extracting-windows-event-logs-artifacts

9
from killvxk/cybersecurity-skills-zh

使用 Chainsaw、Hayabusa 和 EvtxECmd 提取、解析和分析 Windows 事件日志(EVTX),以检测横向移动、持久化和权限提升。

extracting-memory-artifacts-with-rekall

9
from killvxk/cybersecurity-skills-zh

使用 Rekall 内存取证框架分析内存转储,检测进程空洞化(process hollowing)、通过 VAD 异常注入的代码、隐藏进程和 rootkit。应用 pslist、psscan、vadinfo、malfind 和 dlllist 等插件从 Windows 内存镜像中提取取证工件。适用于应急响应内存分析场景。

extracting-iocs-from-malware-samples

9
from killvxk/cybersecurity-skills-zh

从恶意软件样本中提取攻陷指标(IoC),包括文件哈希、网络指标(IP、域名、URL)、 主机痕迹(文件路径、注册表键、互斥锁)以及行为模式,用于威胁情报共享和检测规则创建。 适用于 IoC 提取、威胁指标采集、恶意软件指标收集或从样本构建检测内容等请求场景。

extracting-credentials-from-memory-dump

9
from killvxk/cybersecurity-skills-zh

使用 Volatility 和 Mimikatz 从内存转储中提取缓存的凭据、密码哈希、Kerberos 票据和身份验证令牌,用于取证调查。

extracting-config-from-agent-tesla-rat

9
from killvxk/cybersecurity-skills-zh

从 Agent Tesla RAT 样本中提取嵌入的配置信息,包括 SMTP/FTP/Telegram 数据泄露凭据、键盘记录器设置和 C2 端点,使用 .NET 反编译和内存分析技术。

analyzing-windows-shellbag-artifacts

9
from killvxk/cybersecurity-skills-zh

分析 Windows ShellBag 注册表取证痕迹,使用 SBECmd 和 ShellBags Explorer 重建文件夹浏览活动,检测对可移动介质和网络共享的访问,并在删除后仍能确认用户与目录的交互行为。

analyzing-windows-registry-for-artifacts

9
from killvxk/cybersecurity-skills-zh

提取并分析 Windows 注册表配置单元,以发现用户活动、已安装软件、自启动条目及系统入侵证据。

analyzing-windows-lnk-files-for-artifacts

9
from killvxk/cybersecurity-skills-zh

解析 Windows LNK 快捷方式文件,提取目标路径、时间戳、卷信息和机器标识符,用于取证时间线重建。

analyzing-windows-amcache-artifacts

9
from killvxk/cybersecurity-skills-zh

解析并分析 Windows Amcache.hve 注册表配置单元(Registry Hive),提取程序执行证据、文件元数据、 SHA-1 哈希及设备连接历史,用于数字取证(Digital Forensics)和事件响应(Incident Response)调查。

analyzing-usb-device-connection-history

9
from killvxk/cybersecurity-skills-zh

从 Windows 注册表、事件日志和 setupapi 日志调查 USB 设备连接历史,以追踪可移动存储设备的使用情况和潜在的数据外泄行为。