Перед нами инструмент, который можно использовать для расшифровки данных DPAPI, которые хранятся в реестре. Вы можете работать с реестром текущего компьютера или подключить внешний диск.
EncryptedRegView проведет сканирование реестра и попытается найти записи, которые зашифрованны с помощью DPAPI (Data Protection API). Как только такие записи будут найдены, программа попытается их расшифровать. Используя данный инструмент, можно найти и расшифровать пароли и другие секретные данные продуктов Microsoft, а также сторонних разработчиков.
Для успешной расшифровки данных рекомендуется запускать приложение от имени администратора (правый клик мышкой на файле приложения и выбор из контекстного меню «Запуск от имени администратора»).
Для начала использования нужно загрузить приложение и распаковать в удобное место. Можно скачать русификатор, который находится в архиве. Для русификации языковой файл из архива следует поместить в папку с программой. Если программа запущена, ее необходимо перезапустить. Для восстановления английского интерфейса нужно просто удалить языковой файл.
При первом запуске программы появится окно с выбором источника для сканирования. По умолчанию предлагается текущая система (данное меню можно вызвать клавишей F9 или перейти в «Настройки» → «Дополнительно F9»). После нажатия на кнопку «Ок» начнется сканирование реестра. Через некоторое время вы получите результат в формате Hex-Dump.
Вы сможете получить следующую информацию: путь ключа в реестре, имя значения, расшифрованное значение, результат дешифрования, размер зашифрованных данных, размер расшифрованных данных, хеш-алгоритм, алгоритм шифрования, имя, ключевой файл.
Из полученных данных можно формировать удобные HTML-отчеты.
Приложение можно попробовать использовать для восстановления важной информации, однако результат не всегда будет положительным.
