Несколько лет назад выпустили KeeFarce, первый наступательный инструмент, предназначенный для извлечения баз данных KeePass в формате Cleartex. Он работает путем внедрения DLL в запущенный процесс, затем просматривает кучу с помощью ClrMD, чтобы найти необходимые объекты и вызывает встроенный метод экспорта KeePass с использованием отражения. Единственным недостатком в то время было то, что на цель нужно было сбросить несколько файлов (DLL извлечения + DLL ClrMD + инжектор + загрузочная DLL). Рассмотрим Один из инструментов извлечения в KeePass.
…