Неотдавна NirSoft пусна безплатен инструмент, наречен EncryptedRegView, който ви помага да намерите, декриптирате и покажете данните в регистъра, който е защитен от системата за криптиране на DPAPI от Windows. Тази схема не се използва често, дори и от продуктите, притежавани от Microsoft, но тази програма все още е в състояние да намери подробности от Microsoft Edge, пароли в Outlook и други интересни неща на компютър.

Наистина е лесен за използване и разбиране. Препоръчва се да го стартирате като администратор. Щракнете върху OK, когато се появи диалоговият прозорец за отваряне и вижте как програмата ще сканира вашия регистър. Той ще ви покаже всеки елемент, защитен от DPAPI, който може да бъде намерен на машината, като има колони за стойности на хеш и криптиране, път на регистъра, декриптирани и оригинални стойности и много други. Ако обаче сте просто обикновен потребител, това няма да означава много за вас. Просто ще видите път там, подобен на HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ IdentityCRL \ Immersive \ production \ Token {60782261-81D18-4323-9C64-10DE93176363}, и нищо друго.

Въпреки това има и други неща, които могат да ви се сторят интересни, като например, че една тестова система може да има различни имена на стойности „POP3 Password“. Това всъщност е действителен имейл адрес, показан като „Декриптирана стойност“. Всеки има път в регистъра и включва Microsoft \ Office \ 16.0 \ Outlook \ Profiles, което показва със сигурност, че това, което виждате, е парола на Outlook.

Разбира се, това е полезно, но програмата не ви казва точно коя парола принадлежи към какъв акаунт в Outlook, така че трябва да проучите допълнително пътя на профила, намерен в системния регистър, ако искате да разберете това.

За щастие, има много други неща, които можете да направите и да проучите програмата. Можете да запазите желаните елементи като HTML отчет, текст или csv, ако искате да ги анализирате по-късно. Има и опция за стартиране на разширено търсене, което ви позволява да сканирате външен твърд диск.