What's new
By:
Filters
Runion

This is a sample guest message. Register a free account today to become a member! Once signed in, you'll be able to participate on this site by adding your own topics and posts, as well as connect with other members through your own private inbox!

Вопрос по шифрованию хрома

L

Ladger

Midle Weight
Депозит
$0
Всем здравствуйте, недавно хром обновился до новой версии и добавил новый алгоритм шифрования, кто сможет подсказать в какую сторону лучше посмотреть, просто везде так мало информации по этому поводу и со всех тем стиллеров кусками приходится выбирать.

Единственное предположение которое я нашел это работа с памятью гугла, но в ней я ничего конкретного не обнаружил, можно конечно куки получать расшифрованные с хрома, но там только с текущего профиля браузера тогда будет идти сбор, получается по итогу нужен все таки ключ, который хранится в сервисе, но сервис я не обнаружил, да и не знаю что в сервисе искать, поэтому прошу подсказки.
 
github.com

GitHub - Meckazin/ChromeKatz: Dump cookies and credentials directly from Chrome/Edge process memory

Dump cookies and credentials directly from Chrome/Edge process memory - Meckazin/ChromeKatz
github.com
 
bergamot said:
bergamot сказал(а):
gist.github.com

Unprotect the App-Bound Encryption Key via an RPC call to Google Chrome Elevation Service (PoC)

Unprotect the App-Bound Encryption Key via an RPC call to Google Chrome Elevation Service (PoC) - elevator_decrypt_key.cpp
gist.github.com
Нажмите, чтобы раскрыть...
Click to expand...
Благодарю, а дальше расшифрованный ключ судя по всему служит ключом для расшифровки всех данных, включая куки и пасы
 
Apocalypse said:
Apocalypse сказал(а):
т.ч нужен инжект в хром
Нажмите, чтобы раскрыть...
Click to expand...
На сколько я знаю QueryFullProcessImageNameW вызывает RPM и читает PEB у hProcess.
По идее достаточно менять путь к exe в своём софте и проверка пройдет успешно.
Инжект скорее всего оверхед
 
CheckerChin said:
CheckerChin сказал(а):
вызывает RPM и читает PEB у hProcess
Нажмите, чтобы раскрыть...
Click to expand...
Ну ты чиво...

Код: Скопировать в буфер обмена
Code: 
7713FCE0 QueryFullProcessImageNameW  8BFF   MOV EDI,EDI
7713FCE2         55    PUSH EBP
7713FCE3         8BEC   MOV EBP,ESP
7713FCE5         83EC 0C   SUB ESP,0C
7713FCE8         8B4D 0C   MOV ECX,DWORD PTR SS:[EBP+0C]
7713FCEB         8365 FC 00  AND DWORD PTR SS:[EBP-4],00000000
7713FCEF         53    PUSH EBX
7713FCF0         8BD9   MOV EBX,ECX
7713FCF2         83E1 FE   AND ECX,FFFFFFFE
7713FCF5         83E3 01   AND EBX,00000001
7713FCF8         56    PUSH ESI
7713FCF9         57    PUSH EDI
7713FCFA         8D43 FF   LEA EAX,[EBX-1]
7713FCFD         22C3   AND AL,BL
7713FCFF         34 01   XOR AL,01
7713FD01         F7D9   NEG ECX
7713FD03         1AC9   SBB CL,CL
7713FD05         F6D1   NOT CL
7713FD07         84C8   TEST AL,CL
7713FD09         0F84 F2990300 JE 77179701
7713FD0F         8B7D 14   MOV EDI,DWORD PTR SS:[EBP+14]
7713FD12         8B0F   MOV ECX,DWORD PTR DS:[EDI]
7713FD14         81F9 FBFFFF7F CMP ECX,7FFFFFFB
7713FD1A         0F87 C4990300 JA 771796E4
7713FD20         64:A1 30000000 MOV EAX,DWORD PTR FS:[30]
7713FD26         8D0C4D 08000000 LEA ECX,[ECX*2+8]
7713FD2D         51    PUSH ECX
7713FD2E         FF35 40262077 PUSH DWORD PTR DS:[77202640]
7713FD34         894D F8   MOV DWORD PTR SS:[EBP-8],ECX
7713FD37         8B40 18   MOV EAX,DWORD PTR DS:[EAX+18]
7713FD3A         50    PUSH EAX
7713FD3B         8945 F4   MOV DWORD PTR SS:[EBP-0C],EAX
7713FD3E         FF15 20532077 CALL DWORD PTR DS:[<&ntdll.RtlAllocateHeap>]
7713FD44         8BF0   MOV ESI,EAX
7713FD46         85F6   TEST ESI,ESI
7713FD48         0F84 9D990300 JE 771796EB
7713FD4E         6A 00   PUSH 0
7713FD50         FF75 F8   PUSH DWORD PTR SS:[EBP-8]
7713FD53         83F3 01   XOR EBX,00000001
7713FD56         56    PUSH ESI
7713FD57         C1E3 04   SHL EBX,4
7713FD5A         83C3 1B   ADD EBX,1B
7713FD5D         53    PUSH EBX
7713FD5E         FF75 08   PUSH DWORD PTR SS:[EBP+8]
7713FD61         FF15 08532077 CALL DWORD PTR DS:[<&ntdll.NtQueryInformationProcess>]

И там дальше из EPROCESS
 
Apocalypse said:
Apocalypse сказал(а):
Ну ты чиво...

Код: Скопировать в буфер обмена
Code: 
7713FCE0 QueryFullProcessImageNameW  8BFF   MOV EDI,EDI
7713FCE2         55    PUSH EBP
7713FCE3         8BEC   MOV EBP,ESP
7713FCE5         83EC 0C   SUB ESP,0C
7713FCE8         8B4D 0C   MOV ECX,DWORD PTR SS:[EBP+0C]
7713FCEB         8365 FC 00  AND DWORD PTR SS:[EBP-4],00000000
7713FCEF         53    PUSH EBX
7713FCF0         8BD9   MOV EBX,ECX
7713FCF2         83E1 FE   AND ECX,FFFFFFFE
7713FCF5         83E3 01   AND EBX,00000001
7713FCF8         56    PUSH ESI
7713FCF9         57    PUSH EDI
7713FCFA         8D43 FF   LEA EAX,[EBX-1]
7713FCFD         22C3   AND AL,BL
7713FCFF         34 01   XOR AL,01
7713FD01         F7D9   NEG ECX
7713FD03         1AC9   SBB CL,CL
7713FD05         F6D1   NOT CL
7713FD07         84C8   TEST AL,CL
7713FD09         0F84 F2990300 JE 77179701
7713FD0F         8B7D 14   MOV EDI,DWORD PTR SS:[EBP+14]
7713FD12         8B0F   MOV ECX,DWORD PTR DS:[EDI]
7713FD14         81F9 FBFFFF7F CMP ECX,7FFFFFFB
7713FD1A         0F87 C4990300 JA 771796E4
7713FD20         64:A1 30000000 MOV EAX,DWORD PTR FS:[30]
7713FD26         8D0C4D 08000000 LEA ECX,[ECX*2+8]
7713FD2D         51    PUSH ECX
7713FD2E         FF35 40262077 PUSH DWORD PTR DS:[77202640]
7713FD34         894D F8   MOV DWORD PTR SS:[EBP-8],ECX
7713FD37         8B40 18   MOV EAX,DWORD PTR DS:[EAX+18]
7713FD3A         50    PUSH EAX
7713FD3B         8945 F4   MOV DWORD PTR SS:[EBP-0C],EAX
7713FD3E         FF15 20532077 CALL DWORD PTR DS:[<&ntdll.RtlAllocateHeap>]
7713FD44         8BF0   MOV ESI,EAX
7713FD46         85F6   TEST ESI,ESI
7713FD48         0F84 9D990300 JE 771796EB
7713FD4E         6A 00   PUSH 0
7713FD50         FF75 F8   PUSH DWORD PTR SS:[EBP-8]
7713FD53         83F3 01   XOR EBX,00000001
7713FD56         56    PUSH ESI
7713FD57         C1E3 04   SHL EBX,4
7713FD5A         83C3 1B   ADD EBX,1B
7713FD5D         53    PUSH EBX
7713FD5E         FF75 08   PUSH DWORD PTR SS:[EBP+8]
7713FD61         FF15 08532077 CALL DWORD PTR DS:[<&ntdll.NtQueryInformationProcess>]

И там дальше из EPROCESS
Нажмите, чтобы раскрыть...
Click to expand...
хех, чето протупил.
Ну тогда да, инжекты остаются
 
Apocalypse said:
Apocalypse сказал(а):
elevation_service.exe чекает от какого процесса ему идут запросы, т.ч нужен инжект в хром

chromium/chrome/elevation_service/caller_validation.cc at main · chromium/chromium

The official GitHub mirror of the Chromium source. Contribute to chromium/chromium development by creating an account on GitHub.
github.com
Нажмите, чтобы раскрыть...
Click to expand...
Интересно, а что даст инжект?
Куки то прочитать можно из памяти, но все же интересно взаимодействие с ключом
 
You must log in or register to reply here.
Top