Другое

Как расшифровать пароли Chrome из файла Login Data

Узнайте, как восстановить сохраненные пароли Chrome из файла Login Data после сбоя системы. Полное руководство с методами автоматической и ручной расшифровки.

Авторы: НейроАгент

Как расшифровать и прочитать сохраненные логины и пароли из файла Login Data браузера Chrome?

Система компьютера полностью вышла из строя, но перед переустановкой удалось скопировать часть данных, включая файл Login Data из Chrome. Файл находится по пути “C:\Users\USER_Name\AppData\Local\Google\Chrome\User Data\Default”. Подскажите, как можно расшифровать этот файл для восстановления всех сохраненных паролей?

Chrome использует шифрование для сохранения паролей, и для их расшифровки требуется файл Local State, который содержит главный ключ шифрования. Существуют специальные инструменты, такие как Chrome Password Decryptor и DPAPI Data Protection Decryptor, которые могут автоматически извлечь и расшифровать сохраненные логины и пароли из файла Login Data.

Содержание

Что нужно для расшифровки

Для успешного восстановления паролей Chrome требуются два основных файла:

  1. Login Data - SQLite база данных, содержащая зашифрованные логины и пароли
  2. Local State - JSON файл, содержащий главный ключ шифрования

Важно отметить, что в современных версиях Chrome главный ключ в Local State файле также шифруется с использованием DPAPI (Data Protection API) Windows, что добавляет дополнительный уровень безопасности [source].

Важно: Файл Local State должен быть из того же профиля пользователя, что и файл Login Data. Без этого файла расшифровка невозможна.

Метод 1: Использование готовых инструментов

Существует несколько специализированных инструментов для автоматической расшифровки Chrome паролей:

Chrome Password Decryptor

  • Источник: SecurityXploded - Chrome Password Decryptor
  • Описание: Бесплатная утилита, автоматически обнаруживает путь к профилю Chrome и извлекает все сохраненные пароли в открытом виде
  • Преимущества: Простота использования, не требует технических знаний
  • Недостатки: Может блокировать антивирусы из-за функциональности извлечения паролей

DPAPI Data Protection Decryptor

  • Источник: NirSoft - DPAPI Data Protection Decryptor
  • Описание: Утилита для работы с DPAPI, позволяющая расшифровывать данные, защищенные Data Protection API
  • Особенности: Может извлекать небольшой части паролей при определенных условиях
  • Требования: Доступ к системным файлам Windows

Mimikatz

  • Источник: The Hacker Tools - Chrome DPAPI
  • Описание: Продвинутый инструмент для извлечения мастер-ключей из памяти системы
  • Использование:
    mimikatz # dpapi::chrome /in:"C:\Users\USER_Name\AppData\Local\Google\Chrome\User Data\Default\Login Data" /masterkey:ваш_ключ

Метод 2: Ручная расшифровка

Для тех, кто предпочитает ручной подход или хочет понять внутренний механизм работы Chrome, существует возможность ручной расшифровки.

Шаг 1: Извлечение главного ключа

  1. Откройте файл Local State в текстовом редакторе
  2. Найдите секцию "os_crypt" и поле "encrypted_key"
  3. Расшифруйте ключ с помощью DPAPI:
python
import json
import base64

# Читаем Local State файл
with open('C:\\Users\\USER_Name\\AppData\\Local\\Google\\Chrome\\User Data\\Local State', 'rb') as f:
    data = json.load(f)

# Извлекаем зашифрованный ключ
encrypted_key = data['os_crypt']['encrypted_key']

# Декодируем base64
decoded_key = base64.b64decode(encrypted_key)

# Удаляем первые 5 байт (сигнатура DPAPI)
master_key = decoded_key[5:]

Шаг 2: Расшифровка паролей

После получения главного ключа можно расшифровать пароли из SQLite базы данных:

python
import sqlite3
from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes
import struct

# Подключаемся к базе данных Login Data
conn = sqlite3.connect('C:\\Users\\USER_Name\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Login Data')
cursor = conn.cursor()

# Извлекаем зашифрованные данные
cursor.execute("SELECT origin_url, username_value, password_value FROM logins")
rows = cursor.fetchall()

for row in rows:
    origin_url, username, encrypted_password = row
    # Расшифровка пароля с использованием главного ключа
    # ...

Требования для успешного восстановления

Для успешного восстановления паролей необходимо выполнение следующих условий:

  1. Доступ к файлам: Наличие файлов Login Data и Local State из одного профиля
  2. Права доступа: Должны быть права на чтение файлов пользователя
  3. Система Windows: DPAPI работает только в Windows
  4. Версия Chrome: Современные версии Chrome используют более сложное шифрование
  5. Активная сессия: В некоторых случаях требуется активная сессия пользователя

Внимание: Если компьютер полностью вышел из строя, а вы не можете запустить Windows, расшифровка может быть невозможной без доступа к мастер-ключу DPAPI.

Шаги по восстановлению паролей

Подготовка к восстановлению

  1. Скопируйте оба файла в безопасное место:

    • Login Data из C:\Users\USER_Name\AppData\Local\Google\Chrome\User Data\Default
    • Local State из C:\Users\USER_Name\AppData\Local\Google\Chrome\User Data

  2. Установите необходимое программное обеспечение:

    • SQLite браузер для просмотра базы данных
    • Инструмент для расшифровки Chrome паролей

Процесс восстановления

  1. Использование Chrome Password Decryptor:

    • Запустите утилиту
    • Укажите путь к файлам Chrome
    • Нажмите “Start Recovery”
    • Сохраните результаты в текстовый файл

  2. Проверка результатов:

    • Убедитесь, что все пароли отображаются в открытом виде
    • Проверьте актуальность извлеченных данных
    • Экспортируйте результаты в безопасный формат

Альтернативные методы

Использование Python скриптов

Существуют открытые проекты на GitHub, такие как decrypt-chrome-passwords, которые предоставляют исходный код для расшифровки паролей.

Восстановление через память системы

В некоторых случаях можно извлечь мастер-ключи из оперативной памяти, если система все еще работала:

  1. Создайте дамп памяти с помощью утилит типа FTK Imager
  2. Используйте Mimikatz для извлечения ключей:
    mimikatz # sekurlsa::dpapi
  3. Примените извлеченные ключи для расшифровки Chrome данных

Заключение

Расшифровка Chrome паролей возможна при наличии правильных инструментов и файлов. Основные моменты:

  1. Необходимые файлы: Для восстановления паролей требуются как Login Data, так и Local State файлы из одного профиля Chrome.

  2. Простой подход: Используйте готовые утилиты вроде Chrome Password Decryptor для быстрого восстановления паролей без технических знаний.

  3. Безопасность: Помните, что Chrome использует DPAPI шифрование Windows, что делает восстановление без доступа к системе сложным.

  4. Резервное копирование: Чтобы избежать подобных ситуаций в будущем, используйте специальные менеджеры паролей и регулярно создавайте резервные копии важных данных.

Для гарантированного восстановления паролей рекомендуется сначала попробовать автоматические инструменты, и только при их неудаче переходить к ручным методам расшифровки.

Источники

  1. SecurityXploded - Exposing the Password Secrets of Google Chrome
  2. SecurityXploded - Chrome Password Decryptor
  3. NirSoft - DPAPI Data Protection Decryptor
  4. The Hacker Tools - Chrome DPAPI
  5. GitHub - decrypt-chrome-passwords
  6. Medium - Forensic Recovery of Chrome Based Browser Passwords
  7. HackTheBox - CA CTF 2022: Using pentesting techniques to decrypt Chrome’s passwords
  8. Super User - Decrypt Google Chrome passwords
Авторы
НейроАгент
Автор
Проверено модерацией
НейроОтветы
Модерация
Как расшифровать пароли Chrome из файла Login Data