Pred nedávnom vydala spoločnosť NirSoft bezplatný nástroj s názvom EncryptedRegView, ktorý vám pomôže nájsť, dešifrovať a zobraziť údaje v registri, ktorý je chránený šifrovacím systémom DPAPI systémom Windows. Táto schéma nie je často používaná ani produktmi spoločnosti Microsoft, ale tento program stále dokáže nájsť podrobnosti z programu Microsoft Edge, heslá v programe Outlook a ďalšie zaujímavé veci na počítači.

Je to skutočne ľahké a zrozumiteľné. Odporúča sa spustiť ho ako správca. Po zobrazení úvodného dialógového okna kliknite na tlačidlo OK a zistite, ako program prehľadá váš register. Ukáže vám každú položku chránenú pomocou DPAPI, ktorú nájdete na počítači, ktorá obsahuje stĺpce pre hodnoty hash a šifrovanie, cestu k registru, dešifrované a pôvodné hodnoty a mnoho ďalších. Ak ste však iba bežný používateľ, pre vás to nebude veľa znamenať. Uvidíte tam iba cestu podobnú napríklad HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ IdentityCRL \ Immersive \ production \ Token {60782261-81D18-4323-9C64-10DE93176363} a nič iné.

Napriek tomu sú pre vás zaujímavé ďalšie veci, napríklad skutočnosť, že testovací systém môže mať rôzne názvy hodnôt „Heslo POP3“. V skutočnosti ide o skutočnú e-mailovú adresu zobrazenú ako „dešifrovaná hodnota“. Každý má v registri cestu a obsahuje Microsoft \ Office \ 16.0 \ Outlook \ Profiles, čo ukazuje, že to, čo vidíte, je heslo programu Outlook.

Je to samozrejme užitočné, ale program vám presne nehovorí, ktoré heslo patrí k akému účtu Outlook, takže ak to chcete zistiť, musíte ďalej preskúmať cestu k profilu nájdenú v registri.

Našťastie existuje veľa ďalších vecí, ktoré môžete urobiť a preskúmať program. Položky, ktoré chcete uložiť, môžete uložiť ako html správu, text alebo CSV, ak ich chcete neskôr analyzovať. K dispozícii je tiež možnosť spustenia rozšíreného vyhľadávania, ktoré vám umožní skenovať externý pevný disk.