KeeFarce позволяет извлекать информацию из базы данных паролей KeePass 2.x из памяти. Информация в открытом виде, включая имена пользователей, пароли, примечания и URL-адреса, выгружается в файл CSV в% AppData%.
Этот инструмент использует внедрение DLL для выполнения кода в контексте запущенного процесса KeePass. Выполнение кода C # достигается путем первого внедрения подходящей для архитектуры DLL начальной загрузки. Это порождает экземпляр среды выполнения точечной сети в соответствующем домене приложения, а затем выполняет KeeFarceDLL.dll (основная полезная нагрузка C #).
Он использует CLRMD для поиска необходимого объекта в куче процессов KeePass, находит указатели на некоторые требуемые подобъекты (используя смещения) и использует отражение для вызова метода экспорта.
Для выполнения на целевом хосте в одной папке должны находиться следующие файлы:
- BootstrapDLL.dll
- KeeFarce.exe
- KeeFarceDLL.dll
- Microsoft.Diagnostic.Runtime.dll
KeeFarce был протестирован на:
- KeePass 2.28, 2.29 и 2.30 - работает в Windows 8.1 - 32- и 64-разрядной версии.