Splat
Splat是一款AI涂色书应用,可以把任何照片变成涂色页,让孩子在应用中涂色,或打印出来亲手上色。从日常时刻到遥远地方,每一幅画都始于他们的故事。探索 300 多张教育涂色页,学习动物、太空、汽车、机器人等主题——激发好奇与创造力。
自 Chrome 127 起,Google 引入了应用绑定加密(App-Bound Encryption)机制,将 Cookie 和保存密码的加密密钥与 Chrome 应用程序身份绑定,使得传统的离线解密方法(如仅依赖 DPAPI)失效。
为应对这一变化,DumpChromeSecrets 提供了一种可行的技术路径:通过进程注入,在 Chrome 的合法上下文中调用其内部解密接口,从而恢复加密数据。该项目主要用于安全研究、数字取证或红队评估场景。
核心原理
DumpChromeSecrets 由两个组件组成:
- DumpChromeSecrets.exe:主控程序,负责启动一个无头 Chrome 进程,并通过 Early Bird APC 注入技术将 DLL 注入目标进程。
- DllExtractChromeSecrets.dll:在 Chrome 进程地址空间中运行,利用 Chrome 内部的 IElevator COM 接口调用
DecryptData方法,解密存储在Local State文件中的"app_bound_encrypted_key"。
此方法绕过了“密钥与应用身份绑定”的限制,因为解密操作发生在 Chrome 自身的上下文中,具备合法的调用权限。
该思路与安全研究员 luci4 在其 Chrome 数据提取模块中的实现一致,属于当前应对应用绑定加密的主流技术路径。
支持提取的数据类型
一旦成功注入并获取解密密钥,DLL 会从本地 SQLite 数据库和 JSON 文件中提取以下数据:
| 数据类型 | 存储路径 | 加密方式 | 备注 |
|---|---|---|---|
| 应用绑定密钥 | User Data\Local State | DPAPI + IElevator 解密 | 关键密钥,用于解密其他数据 |
| Cookies | User Data\Default\Network\Cookies | AES-256-GCM(v20) | 包含 HttpOnly、Secure 等属性 |
| 保存的登录凭据 | User Data\Default\Login Data | AES-256-GCM(v20) | 用户名、密码、表单动作 URL |
| 刷新令牌 | User Data\Default\Web Data | AES-256-GCM(v20) | 用于 OAuth 等长期认证 |
| 自动填充数据 | User Data\Default\Web Data | 未加密 | 地址、电话、信用卡(如保存) |
| 浏览历史 | User Data\Default\History | 未加密 | 访问时间、URL、标题 |
| 书签 | User Data\Default\Bookmarks | 未加密(JSON 格式) | 支持文件夹结构 |
注:所有加密数据均使用从
Local State中恢复的密钥进行 AES-GCM 解密。
使用方法
工具提供简洁的命令行接口:
DumpChromeSecrets.exe [选项]
常用选项:
/o <文件>:指定输出 JSON 文件路径(默认ChromeData.json)/all:导出全部记录(默认每类最多 16 条,用于快速预览)/?:显示帮助
示例:
# 快速提取(每类16条)到默认文件
DumpChromeSecrets.exe
# 导出全部数据到自定义文件
DumpChromeSecrets.exe /all /o full_dump.json
输出为结构化 JSON,便于后续分析或导入其他工具。
适用场景与限制
✅ 适用场景:
- 红队/渗透测试中对已获取终端权限的 Chrome 数据提取
- 数字取证(需合法授权)
- 安全研究:分析 Chrome 加密机制演进
⚠️ 注意事项:
- 需在目标用户会话中运行:因依赖 IElevator COM 接口和 Windows 安全上下文,必须在当前登录用户的桌面会话中执行。
- 仅支持 Windows:依赖 Windows APC 注入与 COM 机制。
- 需关闭 Chrome:工具会启动自己的无头实例,若已有 Chrome 运行,可能因文件锁导致数据库读取失败。
- 非通用破解工具:不适用于远程攻击或离线镜像分析,必须在运行时环境中执行。
技术意义
DumpChromeSecrets 的价值不在于“窃取用户数据”,而在于验证浏览器安全机制的实际边界。Google 的应用绑定加密确实提升了攻击门槛,但只要攻击者能执行任意代码并注入到 Chrome 进程,仍可利用其自身接口完成解密。
这再次印证了操作系统安全模型的基本原则:一旦获得用户级代码执行权限,本地数据即视为可访问。防护重点应放在防止初始入侵,而非依赖本地加密“绝对安全”。
数据统计
相关导航
AI Video Transcriber(AI视频转录器)
AI视频转录器是一款开源的AI视频转录和摘要工具,支持YouTube、Bilibili、抖音等30+平台。
Traumakom Prompt Generator V2
Traumakom Prompt Generator V2 是一个融合了 AI 技术、模块化设计与社区共创精神的强大工具。无论你是需要生成高质量图像提示,还是希望探索独特的艺术风格,它都能成为你创作流程中的得力助手。
AXe
AXe 是一个功能完备的命令行工具,利用 Apple 的 Accessibility API 和 HID(人机接口设备)模拟能力,实现对 iOS 模拟器的深度自动化控制。无需依赖 XCUITest 或私有框架,AXe 可直接模拟用户在真实设备上的所有操作,适用于测试、演示、录制与自动化工作流。
DrawAFish
在 DrawAFish.com,每一次落笔都不只是涂鸦——它可能成为一条被AI识别、由算法验证、最终游进虚拟海洋的真实数字生命。这里没有复杂的操作门槛,只有一块画布、一个想法,和一群来自世界各地的创作者。
Enterr
Enterr 提供了一种轻量、本地化的方式来应对“账户因不活跃被回收”的问题。它不依赖云端服务,所有凭据存储在本地 ./config 目录中,配合强密钥可保障基本安全。
MinerU
MinerU是一款功能强大、操作简单的文档解析工具。它不仅支持多种格式和导入方式,还能精准提取复杂元素,适用于多种场景。无论是学术研究、数据分析还是日常办公,MinerU都能为你带来流畅、准确的解析体验。在科研、学习和工作中,处理复杂文档格式一直是一个让人头疼的问题。无论是科技文献中的公式、表格,还是多语言扫描版PDF,传统工具往往难以满足高效、精准的解析需求。而今天要介绍的 MinerU,正是一款专为解决这些问题而生的免费文档解析神器。它不仅能精准提取复杂元素,还支持多种格式一键转换,适用于从机器学习到大模型语料生产的多种场景。 全格式兼容,轻松导入 MinerU 的一大亮点是其强大的格式兼容性。无论你的文档是 PDF、Word、PPT 还是图片,MinerU 都能轻松应对。通过简单的拖拽、截图或批量上传,你就可以快速将文件导入工具中,无需繁琐的操作。 支持格式:PDF、Word、PPT、图片等主流文档类型。 操作便捷:拖拽、截图、批量上传,一键完成导入。 智能识别:自动检测扫描版PDF和乱码PDF,并启用OCR功能,支持84种语言的检测与识别。 复杂元素精准提取 对于科技文献、学术论文等包含复杂排版的文档,MinerU 表现尤为出色。它能够精准定位并提取图表、公式等复杂元素,确保内容完整且语义连贯。 精准定位:自动识别文档中的图表、公式、表格等复杂元素,并进行精准提取。 结构保留:输出结果保留原文档的标题、段落、列表等结构,确保逻辑清晰。 多模态解析:支持图像描述、表格标题、脚注等内容的提取,适配多种使用场景。 多场景极速输出 MinerU 不仅擅长解析文档,还提供了丰富的输出格式选择,满足不同场景的需求。无论是用于机器学习训练、大模型语料生产,还是构建 RAG(检索增强生成)系统,MinerU 都能提供高效的解决方案。 多种输出格式: Markdown:适合多模态与NLP任务。 JSON:按阅读顺序排序,便于后续处理。 LaTeX:自动识别并转换公式,极大提升科研效率。 HTML:自动转换表格,方便网页展示。 可视化支持:提供 layout 可视化、span 可视化等功能,便于高效确认输出效果与质检。 技术亮点与性能优化 MinerU 在技术层面同样表现出色,兼顾了易用性与性能优化: 跨平台支持:兼容 Windows、Linux 和 Mac 平台,满足不同用户的设备需求。 硬件加速:支持纯 CPU 环境运行,同时可选 GPU(CUDA)、NPU(CANN)、MPS 加速,显著提升处理速度。 高精度 OCR:针对扫描版PDF和乱码文档,MinerU 内置高精度OCR功能,支持84种语言的检测与识别。 主要功能一览 MinerU 的核心功能覆盖了文档解析的方方面面,帮助用户高效完成复杂的文档处理任务: 删除冗余元素:自动移除页眉、页脚、脚注、页码等内容,确保输出文本语义连贯。 阅读顺序优化:输出符合人类阅读习惯的文本,无论是单栏、多栏还是复杂排版都能轻松应对。 公式与表格转换: 自动识别并转换公式为 LaTeX 格式。 自动识别并转换表格为 HTML 格式。 多语言支持:OCR 功能支持84种语言,满足国际化需求。 灵活输出:支持多种格式输出(Markdown、JSON、LaTeX、HTML 等),适配多种应用场景。 适用场景广泛 MinerU 的设计初衷是为了服务于科研和技术发展,但它的应用范围远不止于此。以下是一些典型的应用场景: 机器学习与大模型训练:将大量文档转化为高质量的训练数据,助力模型语料生产。 RAG 系统构建:为检索增强生成系统提供结构化数据支持。 学术研究:快速解析科技文献,提取关键信息,提升科研效率。 企业办公:批量处理合同、报告等文档,节省人工整理时间。 为什么选择 MinerU? 相比其他文档解析工具,MinerU 的优势在于其全面性和精准性。它不仅能够处理各种复杂文档,还能根据用户需求输出多样化的结果。更重要的是,MinerU 完全免费,且持续优化以解决科技文献中的符号转化问题,为大模型时代的技术进步贡献力量。
Nano-Banana Creation
社区创作者 ZHO-ZHO-ZHO 系统整理了Nano-Banana 46 种已验证的实用玩法,涵盖人物、产品、艺术、设计等多个领域。本文对其内容进行归类解析,帮助你快速掌握核心思路,并应用于自己的创作中。
暂无评论...
