Не так давно NirSoft випустив безкоштовний інструмент під назвою EncryptedRegView, який допомагає знаходити, розшифровувати та відображати дані в Реєстрі, який захищений системою шифрування DPAPI від Windows. Ця схема не так часто використовується навіть у продуктах, що належать корпорації Майкрософт, але ця програма все ще вміє знаходити деталі з Microsoft Edge, паролі в Outlook та інші цікаві речі на ПК.

Це дуже просто у використанні та розумінні. Рекомендується запустити його як адміністратор. Коли з'явиться діалогове вікно відкриття, натисніть кнопку ОК і подивіться, як програма буде сканувати ваш реєстр. Він покаже вам кожен захищений DPAPI елемент, який можна знайти на машині, зі стовпцями для значень хешу та шифрування, шлях до реєстру, розшифровані та вихідні значення та багато інших. Однак якщо ви просто звичайний користувач, це для вас мало значить. Ви просто побачите шлях, схожий на HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ IdentityCRL \ Immersive \ production \ Token {60782261-81D18-4323-9C64-10DE93176363}, і нічого іншого.

Незважаючи на це, є й інші речі, які можуть здатися вам цікавими, такі як тест, що тестова система може мати різні назви значень “POP3 Пароль”. Це насправді фактична адреса електронної пошти, показана як «Розшифроване значення». Кожен має шлях до реєстру, і він включає Microsoft \ Office \ 16.0 \ Outlook \ Profiles, який точно показує, що ви бачите пароль Outlook.

Звичайно, це корисно, але програма не вказує, який саме пароль належить до облікового запису Outlook, тому вам доведеться додатково дослідити шлях до профілю, який можна знайти в реєстрі, якщо ви хочете це дізнатися.

На щастя, є багато іншого, що ви можете зробити та вивчити програму. Ви можете зберегти потрібні елементи як HTML-звіт, текст чи csv, якщо ви хочете їх потім проаналізувати. Також є можливість запуску розширеного пошуку, що дозволяє сканувати зовнішній жорсткий диск.