Автор створено

Перед нами инструмент, который можно использовать для расшифровки данных DPAPI, которые хранятся в реестре. Вы можете работать с реестром текущего компьютера или подключить внешний диск.

EncryptedRegView проведет сканирование реестра и попытается найти записи, которые зашифрованны с помощью DPAPI (Data Protection API). Как только такие записи будут найдены, программа попытается их расшифровать. Используя данный инструмент, можно найти и расшифровать пароли и другие секретные данные продуктов Microsoft, а также сторонних разработчиков.

Для успешной расшифровки данных рекомендуется запускать приложение от имени администратора (правый клик мышкой на файле приложения и выбор из контекстного меню «Запуск от имени администратора»).

Для начала использования нужно загрузить приложение и распаковать в удобное место. Можно скачать русификатор, который находится в архиве. Для русификации языковой файл из архива следует поместить в папку с программой. Если программа запущена, ее необходимо перезапустить. Для восстановления английского интерфейса нужно просто удалить языковой файл.

При первом запуске программы появится окно с выбором источника для сканирования. По умолчанию предлагается текущая система (данное меню можно вызвать клавишей F9 или перейти в «Настройки» → «Дополнительно F9»). После нажатия на кнопку «Ок» начнется сканирование реестра. Через некоторое время вы получите результат в формате Hex-Dump.

Вы сможете получить следующую информацию: путь ключа в реестре, имя значения, расшифрованное значение, результат дешифрования, размер зашифрованных данных, размер расшифрованных данных, хеш-алгоритм, алгоритм шифрования, имя, ключевой файл.

Из полученных данных можно формировать удобные HTML-отчеты.

Приложение можно попробовать использовать для восстановления важной информации, однако результат не всегда будет положительным.

Страница программы EncryptedRegView