【工具免杀】SharpWeb -Google篇

admin
admin
admin
139580
文章
114
评论
2024年8月5日13:33:08评论78 views字数 2039阅读6分47秒阅读模式
              工具介绍

SharpWeb 是一个浏览器数据(密码|历史记录|Cookie|书签|下载记录)的导出工具,支持主流浏览器。

下载

https://github.com/StarfireLab/SharpWeb

工具使用

  -all           Obtain all browser data  -b             Available browsers: chromium/firefox/ie  -p             Custom profile dir path or the path of Cookies  -s             Specify the path of Local State  -show          Output the results on the command line  -zip           Compress result to zip (default: false)  -format        Export to CSV (default) or JSON format  Usage:       SharpWeb.exe -all       SharpWeb.exe -all -zip       SharpWeb.exe -all -show       SharpWeb.exe -all -format json       SharpWeb.exe -b firefox       SharpWeb.exe -b chromium -p "C:UserstestAppDataLocalGoogleChromeUser DataDefault"       SharpWeb.exe -b chromium -p "C:UserstestAppDataLocalGoogleChromeUser DataDefaultNetworkCookies" -s "C:UserstestAppDataLocalGoogleChromeUser DataLocal State"
代码分析

上一篇文章我们介绍了如何通过程序获取IE浏览器的历史浏览记录,书签,保存的账号密码等信息。

本章主要了解一下如何获取Google浏览器的历史记录,书签,保存的账号密码等,获取方式与IE浏览器还是有很多不同的地方。

Main()

我们继续追踪Main()函数,在输入chromium参数时调用Chromium_kernel()函数。

【工具免杀】SharpWeb -Google篇

进入Chromium_kernel()函数,看到将各种浏览器默认路径循环输入进GetChromium()函数,注意这里杀软会查杀明文的路径,将其拆开重组或者进行编码。

【工具免杀】SharpWeb -Google篇

进入GetChromium()函数发现主要函数Logins()Bookmark()Cookies()Histroy()Download(),函数功能依次是获取用户名密码,获取书签,获取Cookies,获取浏览历史,获取历史下载。

【工具免杀】SharpWeb -Google篇

Logins()

先来说一下Logins()函数,通过调用Environment.GetEnvironmentVariable("USERPROFILE")方法获取当前用户的用户目录然后拼接上面传入的浏览器默认路径,传入Logins()函数。

【工具免杀】SharpWeb -Google篇

然后使用 SqliteConnection 连接到SQLite数据库,进行查询检索登录信息。然后对密码进行解密,在Chromium内核中浏览器加密的密码跟cookies加密一样,都是调用DPAPI进行解密AES密钥,再用AES进行解密即可,DPAPI加密保存至%LocalAppData%GoogleChromeUser DataLocal State中,在json中"os_crypt"中的"encrypted_key"的值为加密密钥。杀软会对这DPAPI解密代码块,读取数据库代码块进行查杀。

【工具免杀】SharpWeb -Google篇

Bookmark()

Bookmark()函数提取Chrome浏览数据书签文件中的数据,在接收到书签路径后首先拷贝一个临时文件进行操作,然后读取临时文件中的所有内容,因为书签是明文以JSON格式存储的,并将JSON字符串反序列化转换成对象,然后遍历每个条目,存储NAME与URL对应的值。

【工具免杀】SharpWeb -Google篇

Histroy()

Histroy()函数提取Chrome浏览数据历史记录文件中的数据,并将这些数据以表格形式存储在内存中。首先创建一个临时文件,然后连接到这个SQLite格式的历史记录文件,并执行SQL查询以检索URL、标题和最后访问时间。对于查询返回的每一条记录,它都会格式化并打印这些信息,同时将它们添加到一个列表中。需要注意的是杀软会查杀这些数据库查询代码块。

【工具免杀】SharpWeb -Google篇

Download()

Download()函数用于提取Chrome浏览器的下载历史记录,并将这些信息保存到文件中。首先创建一个临时文件来存储下载的数据库,然后初始化一些变量,包括列标题和用于存储结果的数据列表。通过SQLite连接,执行查询以检索下载记录的URL、路径和最后访问时间。对于每条记录,将格式化的字符串打印到控制台,并将数据添加到列表中。查询完成后,将数据以JSON或CSV格式写入到指定的文件中,并删除临时文件。需要注意的是杀软会查杀这些数据库查询代码块。

【工具免杀】SharpWeb -Google篇

                 

原文始发于微信公众号(TeamSecret安全团队):【工具免杀】SharpWeb -Google篇

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月5日13:33:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【工具免杀】SharpWeb -Google篇https://cn-sec.com/archives/3037322.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息