Pillager开发记录-2

Chrome系列浏览器的信息提取

Chrome浏览器的数据默认保存在 %LocalAppdata%\Google\Chrome\User Data内，此目录中 Local State文件保存了 MasterKey信息，Default目录保存了默认配置信息，如有更多配置，则保存于 Profile 数字的文件夹中

历史记录

对于每一个配置文件夹，其中的 History文件即为保存为Sqlite数据库格式的历史记录信息

直接读取数据库中需要的部分即可

密码

对于每一个配置文件夹，其中的 Login Data文件即为保存为Sqlite数据库格式的密码信息

其中，password_value列为加密数据，对于Chrome 80之前的版本，可以直接使用DPAPI解密，对于80之后的版本，则修改为AES-256-GCM加密，加密过程可以参考os_crypt_win.cc，解密时可以根据开头为v10或v11判断为新版本加密，对于新版本，password_value的开头版本号为3位，其后12位为IV。AES加密使用的key来自浏览器数据目录的Local State文件，此文件内容为json，其中encrypted_key是base64编码的key。

Cookies

对于每一个配置文件夹，其中的 Cookies文件即为保存为Sqlite数据库格式的Cookies信息，对于较新的版本，文件在 Network\Cookies路径

其中，encrypted_value列为加密数据，加密解密方式与上文密码部分相同，直接读取数据库中需要的部分并解密Cookies值即可。

书签

对于每一个配置文件夹，其中的 Bookmarks文件即为保存为Json数据库格式的书签信息，直接读取文件中需要的部分或直接读取全部文件内容即可。

扩展

对于每一个配置文件夹，其中的 Extensions文件夹保存了扩展程序的信息，其中可以找到 扩展ID\版本号\manifest.json文件，读取文件中name对应的值，即可获得各个ID对应的插件名。

各个扩展的数据主要保存于 Local Extension Settings和 Sync Extension Settings，如有需要可以直接复制文件夹并替换回本地即可（需要本地安装该插件）

Local Storage

对于每一个配置文件夹，其中的 Local Storage文件夹保存了本地存储的信息，有时只获取Cookies不足以登录网站，可以复制此文件夹替换本地文件夹即可。

项目地址

此工具开源于 https://github.com/qwqdanchun/Pillager ，欢迎大家关注和使用