Перед нами інструмент, який можна застосувати для розшифрування даних DPAPI, які зберігаються у реєстрі. Ви можете працювати із реєстром поточного комп’ютера або підключити зовнішній диск.
EncryptedRegView проведе сканування реєстру та спробує знайти записи, які зашифровані за допомогою DPAPI (Data Protection API). Як тільки такі записи будуть знайдені, то програма спробує їх розшифрувати. Використовуючи даний інструмент, можна знайти та розшифрувати паролі й інші секретні дані продуктів компанії Microsoft та сторонніх розробників.
Для успішного розшифрування даних рекомендується запускати програму від імені адміністратора (правий клік мишкою на файлі програми та вибір із контекстного меню «Запуск от имени администратора»).
Для початку використання потрібно завантажити програму та розпакувати у зручне місце. Можна завантажити русифікатор, який також знаходиться в архіві. Для русифікації мовний файл із архіву потрібно помістити у папку із програмою. Якщо програма запущена, то її необхідно перезапустити. Для відновлення англійського інтерфейсу потрібно просто видалити мовний файл.
При першому завантаженні програми появиться вікно з вибором джерела для сканування. За замовчуванням пропонується поточна система (дане меню можна потім викликати клавішею F9, або перейти в «Настройки» → «Дополнительно F9»). Після натискання на кнопку «Ок» почнеться сканування реєстру. Через деякий час ви отримаєте результат у форматі Hex-Dump.
Ви зможете отримати таку інформацію: шлях ключа у реєстрі, ім'я значення, розшифроване значення, результат дешифрування, розмір зашифрованих даних, розмір розшифрованих даних, хеш-алгоритм, алгоритм шифрування, ім'я, ключовий файл.
Із отриманих даних можна формувати зручні HTML-звіти.
Програму можна спробувати використати для відновлення важливої інформації, проте результат не завжди буде позитивний.
