Niedawno NirSoft wydał bezpłatne narzędzie o nazwie EncryptedRegView, które pomaga znaleźć, odszyfrować i wyświetlić dane w Rejestrze chronionym przez system szyfrowania DPAPI przez Windows. Ten schemat nie jest tak często używany, nawet przez produkty należące do Microsoft, ale ten program wciąż jest w stanie znaleźć szczegóły z Microsoft Edge, hasła w Outlooku i inne ciekawe rzeczy na PC.

Jest naprawdę łatwy w użyciu i zrozumiały. Zaleca się, aby uruchomić go jako administrator. Kliknij przycisk OK, gdy pojawi się okno dialogowe otwierania, i zobacz, jak program skanuje rejestr. Pokaże każdy element chroniony przez DPAPI, który można znaleźć na komputerze, zawierający kolumny wartości skrótu i ​​szyfrowania, ścieżkę rejestru, wartości odszyfrowane i oryginalne oraz wiele innych. Jeśli jednak jesteś zwykłym użytkownikiem, nie będzie to dla ciebie wiele znaczyło. Zobaczysz tylko ścieżkę podobną do HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ IdentityCRL \ Immersive \ production \ Token {60782261-81D18-4323-9C64-10DE93176363} i nic więcej.

Mimo to istnieją inne rzeczy, które mogą wydawać się interesujące, na przykład fakt, że system testowy może mieć różne nazwy wartości „Hasło POP3”. Jest to faktycznie adres e-mail pokazany jako „Odszyfrowana wartość”. Każda z nich ma ścieżkę do rejestru i zawiera Microsoft \ Office \ 16.0 \ Outlook \ Profiles, co pokazuje na pewno, że to, co widzisz, jest hasłem do programu Outlook.

Oczywiście jest to przydatne, ale program nie mówi dokładnie, które hasło należy do konta Outlooka, więc musisz dalej badać ścieżkę profilu znalezioną w rejestrze, jeśli chcesz się tego dowiedzieć.

Na szczęście istnieje wiele innych rzeczy, które możesz zrobić i poznać program. Możesz zapisać wybrane elementy jako raport HTML, tekst lub plik CSV, jeśli chcesz je później przeanalizować. Dostępna jest również opcja wyszukiwania zaawansowanego, która umożliwia skanowanie zewnętrznego dysku twardego.