Como se menciona en la página de github que vinculaste:
Permite la extracción de material clave KeePass 2.X de la memoria, como
así como el backdooring y la enumeración del sistema de activación KeePass.
Hacia la parte inferior de la página:
El archivo KeeThief.ps1 de PowerShell contiene Get-KeePassDatabaseKey,
que carga / ejecuta el ensamblaje de KeeTheft en la memoria para extraer
Material KeePass de un proceso KeePass.exe con una base de datos abierta.
El archivo KeePassConfig.ps1 contiene un método para enumerar la configuración de KeePass
archivos en un sistema (Find-KeePassconfig), recupere los activadores establecidos para
un archivo KeePass.config.xml (Get-KeePassConfigTrigger), agregue un archivo malicioso
KeePass activa (Add-KeePassConfigTrigger), y elimina KeePass
desencadenantes (Remove-KeePassConfigTrigger).
Esta idea de tomar la contraseña de una base de datos KeyPass no es nueva. Esta utilidad se ajusta al propósito de eliminar la protección alrededor del proceso activo cuando está en un modo "desbloqueado" (por lo general, permanece inactivo antes del tiempo de espera, o en uso activo).