För inte så länge sedan släppte NirSoft ett gratisverktyg med namnet EncryptedRegView, som hjälper dig att hitta, dekryptera och visa data i registret som är skyddat av DPAPI-krypteringssystemet av Windows. Detta schema används inte så ofta, inte ens av de produkter som ägs av Microsoft, men det här programmet kan fortfarande hitta information från Microsoft Edge, lösenord i Outlook och andra intressanta saker på en PC.

Det är verkligen lätt att använda och förstå. Det rekommenderas att du kör det som administratör. Klicka på OK när öppningsdialogrutan visas och se hur programmet skannar ditt register. Det visar dig alla objekt som är skyddade av DPAPI som kan hittas på maskinen, med kolumner för hash- och krypteringsvärden, registerväg, dekrypterade och ursprungliga värden och många andra. Men om du bara är en vanlig användare kommer det inte att betyda mycket för dig. Du ser bara en sökväg där som liknar HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ IdentityCRL \ Immersive \ produktion \ Token {60782261-81D18-4323-9C64-10DE93176363} och ingenting annat.

Trots det finns det andra saker som kan tyckas intressanta för dig, till exempel det faktum att ett testsystem kan ha olika värdenamn "POP3-lösenord". Detta är i själva verket en verklig e-postadress som visas som "Dekrypterat värde". Var och en har en sökväg i registret och den innehåller Microsoft \ Office \ 16.0 \ Outlook \ Profiles, som med säkerhet visar att det du ser är ett Outlook-lösenord.

Naturligtvis är detta användbart, men programmet säger inte exakt vilket lösenord som tillhör vilket Outlook-konto, så du måste undersöka profileringsvägen som hittas i registret om du vill ta reda på det.

Tack och lov finns det många andra saker du kan göra och utforska programmet. Du kan spara de objekt du vill ha som en html-rapport, text eller csv om du vill analysera dem senare. Det finns också möjlighet att köra en avancerad sökning, som låter dig skanna extern hårddisk.