Редактор реестра в Windows хранит зашифрованные данные, чтобы обеспечить безопасность и безопасность информации. Это полезно, когда вы хотите защитить конфиденциальные данные, такие как пароль учетной записи пользователя, учетные данные базы данныхи т. д. в реестр. Однако иногда вы можете заглянуть в данные, хранящиеся в этих зашифрованных разделах реестра. EncryptedRegView это бесплатный инструмент, который может расшифровать секретные данные реестра, которые были сохранены в зашифрованном виде.
Расшифровать данные реестра с помощью EncryptedRegView
Ты можешь использовать EncryptedRegView раскрывать данные шифрования, хранящиеся в редакторе реестра, или передавать любой файл реестра (расширение.reg), сохраненный локально. Не нужно устанавливать программу, так как вы можете просто загрузить и запустить исполняемый файл для запуска инструмента. Доступны как для 32-битный а также 64-разрядная версия, утилита работает плавно во всех версиях Windows.
После выполнения он ищет данные, хранящиеся в любом месте редактора реестра, который зашифрован с использованием DPAPI (API защиты данных), криптографический API, разработанный Microsoft и доступный в ОС Windows на протяжении веков. Давайте посмотрим, как работает инструмент.
После того как вы откроете утилиту, вас приветствуют Расширенные настройки в котором вы можете выбрать сканирование редактора системного реестра или проверку реестра внешнего диска. Вы также можете запустить приложение в качестве администратора, чтобы расшифровать защищенные системой данные, которые невозможно расшифровать, используя обычные привилегии.
После того, как все настройки установлены, и вы нажмете OK, чтобы войти в главное окно EncryptedRegView, он начнет сканирование редактора реестра для данных, зашифрованных с помощью DPAPI алгоритм. Если он успешно расшифровывает данные, вы можете просмотреть скрытую информацию (в Hex-Dump формат) в нижней панели, выбрав соответствующую запись реестра из верхней панели.
Для дешифрования данных реестра, хранящихся на внешнем жестком диске, вам необходимо изменить настройки в окне «Дополнительные параметры», к которым вы можете получить доступ, щелкнув F9 на клавиатуре.
Выбрать Сканирование реестра внешнего диска в верхнем раскрывающемся меню и заполнить сведения о корневой папке, файле реестра пользователя, папке с краями реестра и т. д. Вы также можете автоматически заполнить данные, нажав Автоматическая заливка кнопка. Обратите внимание, что вся соответствующая информация будет заполнена, поэтому, если вы хотите что-то изменить, скажите значение реестра для другого пользователя, тогда вам придется вручную ввести путь.
EncryptedRegView имеет несколько столбцов в верхней панели, и соответствующие поля автоматически заполняются при сканировании через реестр. Давайте кратко рассмотрим, что означает каждый столбец:
- Путь ключа реестра: Полный путь к ключу реестра.
- Имя значения: Имя значения реестра, в котором были найдены зашифрованные данные DPAPI.
- Результат дешифрования: Результат расшифровки - преуспел или сработал.
- Расшифрованное значение: Если дешифрованные данные содержат простую строку, то она отображается в этом столбце. Все дешифрованные данные отображаются в нижней панели.
- Шифрованная длина данных: Общая длина зашифрованных данных.
- Расшифрованная длина данных: Общая длина дешифрованных данных.
- Алгоритм хеширования: Хэш-алгоритм, используемый в зашифрованных данных DPAPI. В Windows 7 и более поздних версиях это обычно SHA512.
- Алгоритм шифрования: Алгоритм шифрования, используемый в зашифрованных данных DPAPI. В Windows 7 и более поздних версиях это обычно AES256.
- Название: Имя зашифрованного блока данных DPAPI.
- Файл ключа: Имя ключевого файла, который использовался для шифрования данных. Ключевой файл находится в папке «Защитить» (например, C: Users admin AppData Roaming Microsoft Protect)
С помощью EncryptedRegView вы можете найти пароли и другие секретные данные, хранящиеся в реестре продуктами Microsoft, а также 3-сторонние продукты. Если у вас есть возможность использовать этот инструмент, вы можете скачать его из NirSoft.
