browserforensics
Zurück zu allen Artikeln

Chrome- & Edge-Cookies in Ihrem Browser entschlüsseln

2026-06-17 · 3 min

Dies ist der praktische Begleiter zu den beiden Deep-Dives über Cookie-Verschlüsselung und die offline DPAPI-Kette. Er führt durch das Entschlüsseln von Chrome-/Edge-Cookie-Werten im In-Browser-Parser — kein Server, kein Upload, nichts verlässt den Tab.

Was Sie sammeln müssen

Vom Zielprofil und -host:

EingabeSpeicherort
Cookies-Datenbank…\User Data\<Profile>\Network\Cookies
Local State…\User Data\Local State
DPAPI-Masterkey-Datei%APPDATA%\Microsoft\Protect\<SID>\<GUID>
Benutzer-SIDder Ordnername unter …\Protect\
NT-Hash oder PasswortNT-Hash aus dem SAM-Hive (Bootkey aus SYSTEM)

Die benötigte Masterkey-GUID wird im Tool angezeigt, nachdem Sie Local State geladen haben, sodass Sie sie der richtigen Datei unter \Protect\ zuordnen können.

Zwei Wege zum Schlüssel

Der Entschlüsseler bietet zwei Methoden. Verwenden Sie die, die zu dem passt, was Sie haben.

A) Sie haben den AES-Schlüssel bereits

Wenn ein anderes Tool den 32-Byte-os_crypt-Schlüssel bereits entkapselt hat, fügen Sie ihn ein (hex oder base64) und entschlüsseln. Fertig.

B) Ihn hier aus den Windows-Dateien ableiten

Dies führt die gesamte DPAPI-Kette im Browser aus:

  1. Laden Sie zuerst die Cookies-Datenbank. Die Tabelle erscheint mit einer leeren Spalte Entschlüsselter Wert und einem Entschlüsselungspanel darunter.
  2. Fügen Sie die Entschlüsselungsdateien hinzu. Ziehen Sie Local State auf dieselbe Ablagefläche — Uploads sammeln sich an, Ihre Cookies bleiben also bestehen — oder wählen Sie es direkt im Panel aus. Wählen Sie dann die Masterkey-Datei.
  3. Geben Sie die SID und das Geheimnis ein. Wählen Sie NT-Hash oder Passwort und fügen Sie den Wert ein.
  4. Schlüssel ableiten & entschlüsseln. Das Tool entschlüsselt den Masterkey (und verifiziert dessen HMAC), entkapselt den AES-Schlüssel und füllt die Spalte Entschlüsselter Wert.

Wenn die SID oder das Geheimnis falsch ist, scheitert der Masterkey-HMAC, und Sie erhalten einen klaren Fehler statt stillem Müll — eine Eigenschaft des DPAPI-Designs, nicht des Tools.

Die Ergebnisse lesen

Entschlüsselte Werte landen in der Cookie-Tabelle neben Host, Name und den drei Zeitstempeln. Filtern Sie nach der Sitzung oder dem Token, das Sie interessiert, und exportieren Sie dann die Tabelle als CSV oder JSON. Ein neben einer Download- oder Besuchszeile entschlüsseltes __Secure-…-Auth-Cookie belegt eine Sitzung eindeutig.

Umfang und Grenzen

  • v10-Werte entschlüsseln mit diesem Ablauf vollständig. v20 (app-bound, Chrome 127+) benötigt den app-bound Schlüssel, der nur teilweise aus Dateien wiederherstellbar ist — siehe den Verschlüsselungs-Deep-Dive.
  • Nur moderne Masterkeys (AES-256). Veraltete 3DES-Masterkeys werden mit einer Meldung abgelehnt, statt fehlentschlüsselt zu werden.
  • Nur Windows. macOS-Keychain- und Linux-Keyring-Schlüssel sind ein anderes Erfassungsproblem.
  • Vergessen Sie nicht die -wal-Begleitdatei neben Cookies — ziehen Sie sie ebenfalls hinein, damit kürzlich gesetzte Cookies nicht übersehen werden (warum).

Weiterführende Lektüre