KeeFarce – 从KeePass 2.x数据库中直接从内存中提取密码的工具

KeeFarce允许从内存中提取KeePass 2.x密码数据库信息。明文信息（包括用户名，密码，备注和URL）被转储到％AppData％中的CSV文件中。

该工具使用DLL注入来在正在运行的KeePass进程的上下文中执行代码。通过首先注入适合体系结构的引导DLL来实现C＃代码执行。这会在适当的应用程序域内生成一个dot net运行时的实例，随后执行KeeFarceDLL.dll（主要的C＃有效内容）。
它使用CLRMD在KeePass进程堆中查找必要的对象，查找指向某些必需子对象的指针（使用偏移量），并使用反射调用导出方法。
为了在目标主机上执行，以下文件需要位于同一个文件夹中：

• BootstrapDLL.dll
• KeeFarce.exe
• KeeFarceDLL.dll
• Microsoft.Diagnostic.Runtime.dll

将这些文件复制到目标并执行KeeFarce.exe
KeeFarce已经过测试：

• KeePass 2.28,2.29和2.30 - 在Windows 8.1上运行 - 都是32位和64位。

这应该也适用于较旧的Windows机器（使用最近的服务包win 7）。如果您的目标不是上述内容，则建议您事先在实验室环境中进行测试

下载地址：https://github.com/denandz/KeeFarce