Elcomsoft Password Digger（EPD）是一款在 Windows 平台上使用的工具，用于解密存储在 macOS 钥匙串中的信息。该工具可以将加密的钥匙串内容导出到一个纯文本 XML 文件中，方便查看和分析。一键字典构建功能可以将钥匙串中的所有密码导出为一个纯文本文件，从而生成一个自定义的密码恢复字典。包含所有用户密码的自定义字典可以加快破解加密文件或备份时的密码恢复速度。系统钥匙串和用户钥匙串均可被解密。

Mac OS X 使用钥匙串来管理系统和用户的密码。系统密码存储在系统钥匙串中，包括 Wi-Fi 密码。

用户钥匙串可能包含高度敏感的认证信息，如网页和账户密码（包括用户的 Apple ID 密码）、VPN、RDP、FTP 和 SSH 密码、Gmail 和 Microsoft Exchange 等邮件账户密码、网络共享密码，以及 iWork 文档密码。第三方应用程序也可以在钥匙串中存储敏感信息。此外，钥匙串还可能包含私钥、证书、认证令牌和安全笔记。存储在钥匙串中的信息都经过安全加密。

虽然苹果公司提供了 Keychain Access 这一内置工具，用于查看钥匙串项，但使用起来不太方便，因为用户需要重新输入密码才能访问每个单独的记录。

Elcomsoft Password Digger 可以将 Mac OS 钥匙串中的信息导出为一个纯文本的解密 XML 文件，该文件可以导入任何支持 XML 的工具（包括 Microsoft Excel），方便查看钥匙串内容。

请注意：未经授权或以其他非法方式获得的文件的密码及随后的数据解密可能构成盗窃或其他违法行为，可能导致民事和/或刑事起诉。

Elcomsoft Password Digger（EPD）性能特点

只需点击几下，即可解密储存在 macOS（OS X）钥匙串中的信息，并为密码恢复工具构建自定义词典。

• 提取、解密和导出系统和所有用户钥匙串
• 使用用户的真实密码构建自定义词典，以改进密码恢复攻击
• 使用提取的 Apple ID 密码下载 iCloud 备份（使用 Elcomsoft Phone Breaker）
• 与使用 Apple Keychain Access 相比节省时间
• 将完整的钥匙串数据导出到未加密的 XML 文件中

支持：所有版本的 macOS 直至最新版本（包括最新版本）；macOS （OS X） 钥匙串、Wi-Fi 密码、Apple ID 密码、iTunes 备份密码、AirPort 和 TimeCapsule 密码、网站和帐户密码、VPN、RDP、FTP 和 SSH 密码、邮件帐户（包括 Gmail 和 Microsoft Exchange）的密码、网络共享密码、iWork 文稿密码。

解密 Mac OS 钥匙串

Elcomsoft Password Digger 是一个 Windows 工具，用于解密从 Mac OS 计算机提取的系统和用户钥匙串的内容。该工具将完整数据集导出到 XML 文件中，或构建过滤后的字典以与密码恢复工具一起使用。系统和所有用户钥匙串都可以解密。

Elcomsoft Password Digger 可以访问高度敏感的信息，包括 Wi-Fi 密码、用户的 Apple ID 和 iTunes 密码、网站和电子邮件帐户密码以及其他敏感信息。

将 Elcomsoft Password Digger 与其他 ElcomSoft 工具一起使用，开辟了一种下载由用户的 iPhone 或 iPad 创建的 iCloud 备份的方法（通过 Elcomsoft Phone Breaker），并通过生成自定义词典（通过 Elcomsoft Distributed Password Recovery）提供更好的机会更快地破解其他密码。

提取 macOS 密码。构建自定义词典

Elcomsoft Password Digger 提供一键式工具，可自动提取所有相关密码并将其保存到经过过滤的纯文本词典中。

如果没有高质量的字典，就不可能攻击多种类型的密码。即使使用 GPU 加速，某些类型的密码（例如保护 Microsoft Office 2010-2013 文档的密码）也太慢，无法进行暴力破解。包含用户其他密码的自定义词典对于协助此类攻击非常宝贵。通过查看用户密码列表，专家可能能够得出一个通用模式，为密码恢复工具创建一组规则。

Elcomsoft Password Digger 可以一键生成高度相关的密码词典。通过提取存储在用户钥匙串中的所有密码并将它们保存到仅包含密码的纯过滤文本文件中，Elcomsoft Password Digger 允许构建一个高度相关的自定义词典来破解强密码。生成的文件可用于 Elcomsoft Distributed Password Recovery、Elcomsoft Password Recovery Bundle 以及单个密码恢复工具的字典攻击。

提取钥匙串数据

为了使用 Elcomsoft Password Digger，专家需要一台 Windows PC、从 Mac OS 中提取的钥匙串文件以及用户的身份验证信息（Mac OS 登录名和密码或钥匙串密码，如果不同）。要解密系统密钥链，该工具将需要必须从 Mac OS 计算机中提取的解密密钥（需要管理权限才能从实时系统中提取文件）。

系统钥匙串

• 从用户的 Mac OS 系统中提取的钥匙串文件
• 来自同一系统的解密密钥

用户钥匙串

• 从用户的 Mac OS 系统中提取的钥匙串文件
• 用户的本地登录密码或钥匙串密码（如果不同）

特点和优势

• 访问存储在 Mac OS 钥匙串中的加密信息
• 使用提取的 Apple ID 密码下载 iCloud 备份（使用 Elcomsoft Phone Breaker)
• 解密系统和从 Mac OS 系统获取的所有用户钥匙串
• 与使用 Apple Keychain Access 相比，节省了大量时间
• 将完整的钥匙串数据导出到未加密的 XML 文件中
• 通过生成过滤后的纯文本文件以用作自定义词典（使用 Elcomsoft 分布式密码恢复和其他工具）来加快密码恢复速度

使用该程序

在主程序界面，选择以下内容：

• 用户钥匙串文件的路径（如 login.keychain 或 login.keychain-db）
• 用户的密码（如已设置）
• 系统钥匙串文件的路径
• 系统密钥文件的路径

选择文件后（您可以只处理用户钥匙串、系统钥匙串，或两者都处理），请点击“处理”；如果密码不正确，程序将不允许您继续。下一屏幕会显示每个文件已处理的记录数量：

可以将所有记录导出为XML文件（适合进一步分析和/或报告），或仅保存密码，从而生成类似字典或词列表的文件，例如用其他软件进行字典攻击。包含密码的文本文件按字母顺序排序（重复项已移除）。XML文件则包含钥匙串中的所有记录，不仅包括密码，还包括加密密钥、令牌等，直到您设置“在XML输出中忽略非密码数据”选项为止。

获取钥匙串文件

为了使用 EPD 解密钥匙串，首先需要的是钥匙串本身。在 macOS 中，钥匙串存储在多个物理文件中。另外还有一个文件保存着系统钥匙串的解密密钥。您需要所有这些文件才能完全访问加密的信息。

从一个活动的 macOS 系统中获取钥匙串文件，需要执行以下操作：

• 在某个地方创建一个新文件夹（例如桌面上的“KEYCHAINS”）
• 打开Terminal并输入以下命令
  cd Desktop/KEYCHAINS

• 将以下文件复制到当前文件夹（“KEYCHAINS”）中：
  cp /Users/<username>/Library/Keychains/login.keychain .
  cp /Library/Keychains/System.keychain .sudo cp /private/var/db/SystemKey .

注意：

• 您需要超级用户权限才能提取 SystemKey，该文件包含用于解密系统钥匙串的加密元数据。系统会提示您输入密码。
• 在 macOS 10.12 及更高版本中，钥匙串文件名（在第一个命令中）是 login.keychain-db
• 每个“复制”命令的末尾都有一个句点。这不是格式错误；这个句点表示该文件将被复制到当前文件夹（在我们的例子中是“KEYCHAINS”）。
• <用户名> 是您要提取其钥匙串的用户的名称（当前登录的用户显示在“$”符号之前）。
• 将“KEYCHAINS”文件夹的内容传输到安装了 EPD 的 Windows PC；系统可能会再次提示您输入 Mac 管理员密码（因为 SystemKey 文件上设置了特殊权限）。

如果您有磁盘镜像而不是活动的系统，则提取文件会更容易，因为您不需要超级用户访问权限或管理员密码。只需挂载磁盘镜像并使用您喜欢的文件管理器将所需的文件复制到您的 Windows 计算机。

挂载磁盘镜像通常不是问题。如果您处理的是 DMG 镜像，macOS 有内置的工具来挂载它。如果磁盘镜像采用 EnCase .E01 格式，您需要使用第三方工具来挂载镜像，例如 AccessData FTK Imager 或 GetData Forensic Imager。