Недавно NirSoft выпустила бесплатный инструмент EncryptedRegView, который помогает вам находить, дешифровать и отображать данные в реестре, который защищен системой шифрования DPAPI Windows. Эта схема не так часто используется, даже продуктами, принадлежащими Microsoft, но эта программа все еще способна находить подробности из Microsoft Edge, пароли в Outlook и другие интересные вещи на ПК.

Это действительно легко использовать и понять. Рекомендуется запустить его от имени администратора. Нажмите OK, когда появится открывающееся диалоговое окно и посмотрите, как программа будет сканировать ваш реестр. Он покажет вам каждый элемент, защищенный DPAPI, который можно найти на компьютере, со столбцами для значений хеш-функции и шифрования, пути к реестру, дешифрованных и исходных значений и многих других. Однако, если вы обычный пользователь, это не будет много значить для вас. Вы просто увидите путь, похожий, например, на HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ IdentityCRL \ Immersive \ production \ Token {60782261-81D18-4323-9C64-10DE93176363} и больше ничего.

Тем не менее, есть и другие вещи, которые могут показаться вам интересными, например, тот факт, что тестовая система может иметь различные имена значений «Пароль POP3». Фактически это фактический адрес электронной почты, отображаемый как «Расшифрованное значение». Каждый из них имеет путь в реестре и включает в себя Microsoft \ Office \ 16.0 \ Outlook \ Profiles, который точно показывает, что вы видите пароль Outlook.

Конечно, это полезно, но программа не сообщает точно, какой пароль принадлежит какой учетной записи Outlook, поэтому вам нужно дополнительно изучить путь к профилю, найденный в реестре, если вы хотите это выяснить.

К счастью, есть много других вещей, которые вы можете сделать и изучить программу. Вы можете сохранить элементы, которые вы хотите, в виде HTML-отчета, текста или CSV, если вы хотите проанализировать их позже. Существует также возможность запуска расширенного поиска, который позволяет сканировать внешний жесткий диск.