ForensiX es una herramienta forense para procesar, analizar y presentar visualmente los artefactos de Google Chrome.
Características de ForensiX
- Montaje de volumen con datos de Google Chrome y preservación de la integridad a través del proceso de manipulación
- sólo lectura
- comprobación de hash
- Estimación del perfil y comportamiento de los sospechosos, incluyendo:
- información personal (correos electrónicos, números de teléfono, fecha de nacimiento, sexo, nación, ciudad, dirección…)
- Metadatos de Chrome
- Cuentas
- Versión
- Metadatos del sistema de destino
- Sistema operativo
- Resolución de la pantalla
- Dispositivos móviles
- Historial de navegación Clasificación de categorías de URLs mediante modelo ML
- Frecuencia de los datos de inicio de sesión (correos electrónicos y credenciales más utilizados)
- Actividad de navegación durante períodos de tiempo (mapa de calor, gráfico de barras)
- Sitios web más visitados
- Historial de navegación
- tipos de transición
- duración de las visitas
- duración media de las visitas a los sitios más comunes
- Datos de inicio de sesión (incluidos los metadatos analizados)
- Rellenos automáticos (autocompletados)
- ciudades y códigos postales estimados
- número de teléfono estimado
- otras posibles direcciones
- API de geolocalización (es necesario estar registrado en Google)
- Descargas (incluyendo el directorio de descarga por defecto, las estadísticas de descarga…)
- Directorio de descargas por defecto
- Estadísticas de descarga
- Marcadores
- Favicons (incluyendo todos los subdominios utilizados para el respectivo favicon)
- Cache
- URLs
- tipos de contenido
- payloads (imágenes o base64)
- metadatos adicionales analizados
- Volumen
- datos de la estructura del volumen (visual, JSON)
- Base de datos compartida para guardar las posibles pruebas encontradas por los investigadores
Instalación
Requerimientos:
Clonar el repositorio:
git clone https://github.com/ChmaraX/forensix.git
git lfs pull
Coloca el directorio con los artefactos de Google Chrome para analizar en el directorio del proyecto por defecto. La carpeta de datos se montará como un volumen al iniciar el servidor. El nombre del directorio debe llamarse /data
.
cp -r /Default/. /forensix/data
Para descargar las imágenes precompiladas (recomendado): Nota: Si se produce un error, es posible que tengas que usar sudo
o configurar docker para que no necesite un prompt de sudo
.
./install
Nota: para construir imágenes desde una fuente local utiliza -b
:
./install -b
Esperar a que las imágenes se descarguen y luego iniciarlas con:
./startup
Los servicios en ejecución están escuchando en:
- ForensiX UI =>
http://localhost:3000
- ForensiX Server =>
http://localhost:3001
- MongoDB =>
http://localhost:27017
HTTPS/SSL
Si deseas utilizar HTTPS para la comunicación entre la UI o el lado del servidor, coloca la clave y el certificado en el directorio /certificates
en el directorio /server
o /client
.
Para generar claves autofirmadas:
openssl req -nodes -new -x509 -keyout server.key -out server.cert
Cambia el protocolo baseURL a https en /client/src/axios-api.js
, luego reconstruye la imagen específica cambiada:
docker-compose build <client|server>
forensix (este enlace se abre en una nueva ventana) por ChmaraX (este enlace se abre en una nueva ventana)
Google Chrome forensic tool to process, analyze and visualize browsing artifacts