如何提取Google Chrome中的密碼？

目前Chrome瀏覽器均可在Windows和Mac電腦，iPhone和Android智能手機上使用，根據StatCounter的統計，Chrome在全球的市場份額約為47%，是目前世界上最流行的網路瀏覽器。

本文我會給你介紹一些如何從本地計算機和Google帳戶提取Google Chrome密碼的方法，順帶舉一些常見的和少見的使用案例，以幫助安全管理員對提取的密碼進行合理的使用，例如解密外部NAS存儲，解鎖BitLocker驅動器和暴力破解密碼。讓我們來看看如何從多個本地和雲端來源（例如用戶的Mac或Windows計算機及其Google帳戶）獲取Google Chrome密碼。

不知你是否知道使用Chrome密碼解密BitLocker驅動器，下載iCloud備份，從而破解強大的加密功能或訪問用戶詳細位置記錄的方法。如果不知道，請參考以下步驟：

從本地計算機實時提取Chrome密碼（以Windows為例）

為了從Windows計算機中提取Chrome密碼，我將使用密碼恢復軟體(Elcomsoft Internet PasswordBreaker EINPB)。請注意僅適用於你將用要提取的密碼進行帳戶登錄的系統。

為什麼要在正在登錄的系統上執行提取呢？因為Windows系統具有保護機制。雖然技術上可以從離線系統或磁碟映像中提取密碼，但如果用戶未登錄，則所需的加密密鑰難以訪問和提取。

先準備好提取條件：

1.自生系統（live system）或虛擬系統；

2.以提取密碼的用戶身份登錄；

3.Elcomsoft Internet Password Breaker提前下載安裝好；

使用Elcomsoft Internet Password Breaker來提取Chrome密碼的步驟：

1.啟動Elcomsoft Internet Password Breaker：

2.點擊Web密碼—— Google Chrome：

3.幾分鐘後，就將打開一個包含帳戶和密碼列表的窗口。

4.你可以查看個人密碼或將帳戶和密碼列表導出到文本文件中，但是，我建議使用「導出密碼」來創建在用戶計算機上發現的所有密碼的過濾字典。此字典可能被如 ElcomSoft Distributed Password Recovery （一款強大的分散式密碼暴力破解工具），Advanced Office Password Recovery（（可以破解恢復word、ppt、excel等office格式加密文檔，是一款多功能的Office密碼破解工具，功能強大,兼容office所有版本）或其它密碼破解工具用來暴力破解密碼。

5.系統將提示你輸入包含密碼的文本文件的名稱和位置：

從Google帳戶中提取Chrome密碼

Google賬戶可以收集，存儲和處理大量信息，這其中就包括谷歌瀏覽器中使用的帳戶和密碼。密碼存儲在用戶的Google帳戶中，並自動同步到已登錄到同一帳戶的設備和Chrome實例（ Chrome instances）中。

需要使用Elcomsoft Cloud Explorer 1.30或更高版本才能從Google帳戶中提取文本消息，為了下載文本信息，請執行以下步驟：

1.啟動Elcomsoft Cloud Explorer 1.30（或更新版本）

2.點擊文件， 添加Google快照

3.通過提供用戶名和密碼驗證Google帳戶

4.如果用戶啟用雙因素身份驗證，則系統會提示你輸入相關的身份驗證代碼。 Elcomsoft Cloud Explorer 會自動檢測用戶帳戶上的雙因素身份驗證的類型。例如，如果某個帳戶受到Google提示的保護，系統會要求你在其中一個受信任的設備上確認互動式提示。如果沒有可用的可信設備，則會自動選擇「嘗試其他方法」。在這種情況下，你將能夠使用由Authenticator應用程序生成的8位備份代碼或6位TOTP代碼。

5.驗證完成後，選擇Chrome。

6.Elcomsoft Cloud Explorer 將從Google帳戶下載Chrome數據，這可能需要幾分鐘時間，具體取決於該Google帳戶中存儲的數據量大小。

7.下載完成後，你就可以訪問Chrome數據了。

8.點擊Chrome，密碼將顯示在打開的窗口中。

9.你可以使用「導出」按鈕將Chrome帳戶和密碼導出到Excel兼容的電子表格中。如果你需要構建過濾密碼字典以使用Elcomsoft Distributed Password Recovery，則可以從Excel電子表格中直接將密碼複製過來，它會過濾掉重複的條目並將其保存到文本文件中。

Chrome密碼同步保護

如果從用戶的Google帳戶中提取密碼很容易的話，那是否意味著它們的保護不到位嗎？也不完全是。默認情況下，登錄名和密碼會受用戶的Google憑據保護。但是，用戶還可以通過設置他們自己的密碼來另外保護密碼。

Google的官方文檔介紹了這兩種保護的方法以及它們之間的區別。

值得注意的是，如果用戶忘記密碼，則無法訪問密碼。 Google建議禁用並重新啟用密碼同步，這將從用戶的帳戶中刪除以前存儲的所有密碼。

如果Elcomsoft Cloud Explorer 檢測到有額外的密碼保護策略，它就會在下載數據之前提示輸入同步密碼。

從macOS提取Chrome密碼

與iOS設備類似，macOS提供了對系統內存儲的帳戶憑證，密碼和其他敏感信息進行了區別於其它系統的保護，所以每次我總要單獨拿出來說。除此之外，macOS鑰匙串包含Google Chrome使用的密碼。通過提取和分析macOS鑰匙串，你就可以訪問存儲在Mac電腦上的Chrome密碼。

與Windows類似，鑰匙串提取僅在當前用戶的自生系統（live system）中進行時才有效。

先準備好提取條件：

1. 創建一個自生系統（live system）或虛擬系統；

2. 以提取密碼的用戶身份登錄（密碼必須已知或已恢復）；

3. 如果提取不同用戶的鑰匙串，管理密碼和用戶密碼都要是已知或恢復的。

4. 提前下載安裝好Elcomsoft Password Digger

從Mac中提取Chrome密碼的步驟如下：

1. 在Mac上製作鑰匙串資料庫文件的本地副本：

1.1 創建一個新文件夾（例如桌面上的「KEYCHAINS」）；

1.2 打開終端並將當前文件夾更改為剛剛創建的文件夾，例如cd Desktop/KEYCHAINS；

1.3 將cp/Users//Library/Keychains/login.keychain-db文件複製到當前文件夾中；

1.4 此步驟是可選步驟：

cp /Library/Keychains/System.keychain .

sudo cp /private/var/db/SystemKey .

注意：尾隨點「 . 「是必需的，因為它代表當前文件夾。

如下所示第一個命令負責複製主鑰匙串（用戶鑰匙串）。在macOS 11.12（Sierra）和11.13（High Sierra）中，文件名是「login.keychain-db」。

注意：在舊版本的macOS中，文件名是「login.keychain」。

為了解密文件，必需用到用戶的密碼。為了訪問當前登錄用戶的鑰匙串資料庫，必須首先輸入sudo命令。

第二個命令負責複製系統鑰匙串。這個鑰匙串是全部的Mac系統都能使用，對於所有的用戶都是一樣的。此步驟是可選的，因為系統鑰匙串除了Wi-Fi密碼之外，也沒有什麼有用的數據。為了解密這個鑰匙串，需要一個系統密鑰，這時你將用到第三個命令進行複製。

第三個命令負責複製系統密鑰（不過前提是需要sudo和管理員密碼）。

2. 將文件複製到安裝了Elcomsoft Password Digger的Windows計算機;

3. 接下來的事情就簡單多了，啟動Elcomsoft Password Digger並指定你提取的文件路徑，不過前提是，你需要指定用戶的密碼來解密用戶鑰匙串。

以下是macOS Sierra和High Sierra的情況：

對於舊版本的macOS，情況如下：

重要提示：默認情況下，鑰匙串密碼與用戶的登錄密碼相同。但是，macOS有一個允許用戶手動更改鑰匙串密碼的選項。另外，如果帳號密碼被重置，那鑰匙串密碼可能與用戶的帳號密碼不同。如果是這種情況，你需要提供就是正確的鑰匙串密碼而不是用戶的登錄密碼。詳細過程請看以下兩個鏈接：

https://support.apple.com/kb/PH20094

https://support.apple.com/en-us/HT201609

4. 幾分鐘後，鑰匙串將被解密。然後，你可以將鑰匙串的全部內容保存到一個XML文件中，或者創建一個過濾後的文本字典，以便與Elcomsoft Distributed Password Recovery或其他密碼恢復工具一起使用。

你現在就可以訪問Chrome密碼以及其它存儲在用戶的macOS鑰匙串中的所有密碼。

如果你不知道正確的用戶密碼或鑰匙串密碼，可以使用Elcomsoft Distributed Password Recovery進行恢復。雖然可能會發生暴力破解密碼的事情，但請注意，由於macOS使用的是較弱的加密方式來保護鑰匙串，而不是用戶帳戶方式。因此，我建議對鑰匙串密碼進行暴力破解的成功性最大（而不是破解用戶帳戶密碼）。與破解macOS賬戶密碼相比，鑰匙串密碼的恢復速度快了近100倍。

如果啟用FileVault 2加密

如果Mac已加密（FileVault 2），則需要先解密卷，然後才能複製鑰匙串資料庫。如果你知道用戶的登錄密碼，則可以輕鬆解密卷，但如果密碼未知，你可能仍然需要暴力破解密碼。 Elcomsoft Distributed Password Recovery支持FileVault 2密碼。

實例探究

現在你已經擁有了用戶存儲的密碼，那麼接下來就是如何正確地使用它們了，比如，你可以訪問用戶的社交網路、聊天、在線購物賬戶，以下就是有一些你可能從未碰到過的用例。

解密加密檔案，文件和磁碟卷

通過將用戶的Chrome密碼合併到一個過濾的文本文件中（通過使用的賬戶數量來刪除重複和排序密碼），你將創建最有針對性的自定義詞典來暴力破解用戶的其它密碼。你可以使用此字典來破解具有高度加密保護的數據，不會這需要花費數年的時間來進行暴力破解。你可以使用Elcomsoft Distributed Password Recovery或類似的工具來使用這本字典來暴力破解受密碼保護的Microsoft Office文檔，ZIP / RAR歸檔文件，加密卷等。

Microsoft帳戶和BitLocker

你知道嗎，在很多情況下，Microsoft會自動將BitLocker恢復密鑰備份到用戶的Microsoft帳戶中。這尤其適用於大多數使用BitLocker進行加密的設備。 Windows BitLocker驅動器加密通過加密Windows操作系統卷上存儲的所有數據可以更好地保護計算機中的數據。BitLocker使用TPM幫助保護Windows操作系統和用戶數據，並幫助確保計算機即使在無人參與、丟失或被盜的情況下也不會被篡改。 BitLocker還可以在沒有TPM的情況下使用。用戶甚至不會意識到他們的設備是加密的，如果滿足以下4個條件：

1.BitLocker運行在Windows 8,8.1，Windows RT或Windows 10環境下；

2.BitLocker符合所有連接的條件，如固態存儲和不可移動內存；

3. BitLocker配有一個TPM2.0模塊；

4.用戶登錄他們的計算機時，使用他們的微軟賬戶憑證，而不是使用本地的Windows帳戶。

如果滿足上述所有條件，則BitLocker將在用戶使用他們的Microsoft帳戶憑據(具有管理許可權)後立即開始加密磁碟。

通過分析Chrome密碼，你可以獲得用戶的Microsoft帳戶密碼。這個密碼可以live.com、hotmail.com、microsoft.com等網站上進行緩存。點擊以下鏈接，你可以檢索到Microsoft帳戶下註冊的所有設備的BitLocker恢復密鑰：

https://account.microsoft.com/devices/recoverykey

然後你可以使用Elcomsoft Forensic Disk Decryptor安裝或解密加密卷。

有關BitLocker恢復密鑰的更多信息，請點擊以下鏈接：

https://support.microsoft.com/en-us/help/4026181/windows-find-my-bitlocker-recovery-key

iCloud：iOS備份

如果用戶使用Apple ID登錄到Apple提供的任何服務中，則可以通過在Chrome密碼中查找諸如「icloud.com」或「apple.com」等內容訪問其Apple ID密碼。獲得用戶的Apple ID密碼後，你就可以使用Elcomsoft Phone Breaker訪問用戶的iCloud備份，同步數據（如通話記錄，日曆和備忘錄）以及其iCloud照片庫。如果用戶啟用了雙因素身份驗證，則仍然需要訪問附加的身份驗證。

Google帳戶和位置記錄

藉助Elcomsoft Cloud Explorer，你可以直接從用戶的Google帳戶中提取詳細的位置記錄，文本信息，以及其它更多信息。你可以通過在Chrome密碼中查找「google」來檢索用戶的Google帳戶密碼。如果用戶啟用了雙因素身份驗證，則仍然需要訪問附加的身份驗證。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！