CookieKatz：直接从 Chrome 进程内存中转储 Cookie

　　适用于 Chrome 和 Edge 的 Cookie 转储程序

　　CookieKatz 是一个项目，允许操作员直接从进程内存中转储来自 Chrome、Edge 或 Msedgewebview2 的 cookie。基于 Chromium 的浏览器在启动时从磁盘 cookie 数据库加载其所有 cookie。

　　这种方法的优点是：

　　1. 支持从 Chrome 的 Incogntio 和 Edge 的 In-Private 进程转储 cookie

　　2. 运行高架时访问其他用户浏览器的 cookie

　　3. 从 webview 进程中转储 cookie

　　4. 无需接触磁盘上的数据库文件

　　5. 解密 Cookie 不需要 DPAPI 密钥

　　6. 从小型转储文件脱机解析 Cookie

　　不利的一面是，尽管在内存中查找正确偏移量的方法目前是稳定的，并且适用于多个不同的版本，但它将在未来的某个时候中断。不支持 32 位浏览器安装，也不支持 CookieKatz 的 32 位版本。

　　目前，只有常规 cookie 被转储。Chromium 将分区 Cookie 存储在其他位置，它们目前不包含在转储中。

　　该解决方案由三个项目组成，CookieKatz 是一个 PE 可执行文件，CookieKatz-BOF 是一个 Beacon 对象文件版本，CookieKatzMinidump 是一个小型转储解析器。

　　用法

　　注意!选择使用 PID 作为目标时，请分别使用命令 /list 或 cookie-katz-find 来选择正确的子进程!

　　CookieKatz

　　CookieKatz-BOF

　　1.beacon> help cookie-katz

　　2.Dump cookies from Chrome or Edge

　　3.Use: cookie-katz [chrome|edge|webview] [pid]

　　4.beacon> help cookie-katz-find

　　5.Find processes for Cookie-Katz

　　6.Use: cookie-katz-find [chrome|edge|webview]

　　安装

　　版权所有 (c) 2024，Aleksi Vepsäläinen。保留所有权利。