Chrome- & Edge-Cookies in Ihrem Browser entschlüsseln
2026-06-17 · 3 min
Dies ist der praktische Begleiter zu den beiden Deep-Dives über Cookie-Verschlüsselung und die offline DPAPI-Kette. Er führt durch das Entschlüsseln von Chrome-/Edge-Cookie-Werten im In-Browser-Parser — kein Server, kein Upload, nichts verlässt den Tab.
Was Sie sammeln müssen
Vom Zielprofil und -host:
| Eingabe | Speicherort |
|---|---|
Cookies-Datenbank | …\User Data\<Profile>\Network\Cookies |
Local State | …\User Data\Local State |
| DPAPI-Masterkey-Datei | %APPDATA%\Microsoft\Protect\<SID>\<GUID> |
| Benutzer-SID | der Ordnername unter …\Protect\ |
| NT-Hash oder Passwort | NT-Hash aus dem SAM-Hive (Bootkey aus SYSTEM) |
Die benötigte Masterkey-GUID wird im Tool angezeigt, nachdem Sie
Local State geladen haben, sodass Sie sie der richtigen Datei unter
\Protect\ zuordnen können.
Zwei Wege zum Schlüssel
Der Entschlüsseler bietet zwei Methoden. Verwenden Sie die, die zu dem passt, was Sie haben.
A) Sie haben den AES-Schlüssel bereits
Wenn ein anderes Tool den 32-Byte-os_crypt-Schlüssel bereits entkapselt
hat, fügen Sie ihn ein (hex oder base64) und entschlüsseln. Fertig.
B) Ihn hier aus den Windows-Dateien ableiten
Dies führt die gesamte DPAPI-Kette im Browser aus:
- Laden Sie zuerst die
Cookies-Datenbank. Die Tabelle erscheint mit einer leeren Spalte Entschlüsselter Wert und einem Entschlüsselungspanel darunter. - Fügen Sie die Entschlüsselungsdateien hinzu. Ziehen Sie
Local Stateauf dieselbe Ablagefläche — Uploads sammeln sich an, Ihre Cookies bleiben also bestehen — oder wählen Sie es direkt im Panel aus. Wählen Sie dann die Masterkey-Datei. - Geben Sie die SID und das Geheimnis ein. Wählen Sie NT-Hash oder Passwort und fügen Sie den Wert ein.
- Schlüssel ableiten & entschlüsseln. Das Tool entschlüsselt den Masterkey (und verifiziert dessen HMAC), entkapselt den AES-Schlüssel und füllt die Spalte Entschlüsselter Wert.
Wenn die SID oder das Geheimnis falsch ist, scheitert der Masterkey-HMAC, und Sie erhalten einen klaren Fehler statt stillem Müll — eine Eigenschaft des DPAPI-Designs, nicht des Tools.
Die Ergebnisse lesen
Entschlüsselte Werte landen in der Cookie-Tabelle neben Host, Name und den
drei Zeitstempeln. Filtern Sie nach
der Sitzung oder dem Token, das Sie interessiert, und exportieren Sie dann
die Tabelle als CSV oder JSON. Ein neben einer Download- oder Besuchszeile
entschlüsseltes __Secure-…-Auth-Cookie belegt eine Sitzung eindeutig.
Umfang und Grenzen
- v10-Werte entschlüsseln mit diesem Ablauf vollständig. v20 (app-bound, Chrome 127+) benötigt den app-bound Schlüssel, der nur teilweise aus Dateien wiederherstellbar ist — siehe den Verschlüsselungs-Deep-Dive.
- Nur moderne Masterkeys (AES-256). Veraltete 3DES-Masterkeys werden mit einer Meldung abgelehnt, statt fehlentschlüsselt zu werden.
- Nur Windows. macOS-Keychain- und Linux-Keyring-Schlüssel sind ein anderes Erfassungsproblem.
- Vergessen Sie nicht die
-wal-Begleitdatei nebenCookies— ziehen Sie sie ebenfalls hinein, damit kürzlich gesetzte Cookies nicht übersehen werden (warum).