文章总结： 本文介绍一种从最新版Chrome浏览器提取Cookie及凭据等敏感数据的技术。项目包含可执行文件与DLL，利用EarlyBirdAPC注入技术，针对Chromev127+的应用绑定加密机制，在进程上下文中调用COM接口IElevator解密密钥，进而从SQLite数据库中提取并解密数据。 综合评分： 88 文章分类： 红队,渗透测试,恶意软件,免杀

从最新版本的Chrome浏览器中提取数据

TtTeam

2026年1月1日 21:25 中国香港

从最新版本的Chrome浏览器中提取数据，包括刷新令牌、Cookie、已保存的凭据、自动填充数据、浏览历史记录和书签。

该项目由两个部分组成：

1. 可执行文件（DumpChromeSecrets.exe） – 创建一个无头 Chrome 进程，通过Early Bird APC 注入注入 DLL ，并通过命名管道接收提取的数据。
2. DLL ( DllExtractChromeSecrets.dll) – 在 Chrome 进程上下文中运行，使用 Chrome 的 COM 接口解密 App-Bound 加密密钥IElevator，然后从 SQLite 数据库中提取和解密数据。

Chrome 的应用绑定加密（v127+）

从 Chrome 127 版本开始，谷歌引入了应用绑定加密，它将 cookie 加密密钥与 Chrome 应用的身份绑定在一起。加密密钥（名为 <keyname>&nbsp;“appboundencrypted_key”）存储在`<filename>“Local State”文件中，可以通过 COM 接口由 Chrome 的权限提升服务进行解密IElevator`。

该项目通过向 Chrome 进程注入代码来绕过这种保护机制，使其能够使用正确的应用程序上下文进行调用。luci4在“ Dumping Browser Cookies: Chrome”和“Dumping Saved Logins: Chrome”IElevator::DecryptData模块中实现了另一种方法。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：TtTeam 《从最新版本的Chrome浏览器中提取数据》