Nog niet zo lang geleden heeft NirSoft een gratis tool uitgebracht genaamd EncryptedRegView, waarmee u de gegevens in het register kunt vinden, decoderen en weergeven die door Windows worden beschermd door het DPAPI-coderingssysteem. Dit schema wordt niet zo vaak gebruikt, zelfs niet door de producten van Microsoft, maar dit programma is nog steeds in staat om details van Microsoft Edge, wachtwoorden in Outlook en andere interessante dingen op een pc te vinden.

Het is echt gemakkelijk te gebruiken en te begrijpen. Het wordt aanbevolen dat u het als beheerder uitvoert. Klik op OK wanneer het openingsdialoogvenster verschijnt en kijk hoe het programma uw register zal scannen. Het toont u elk item beschermd door DPAPI dat op de machine kan worden gevonden, met kolommen voor hash- en coderingswaarden, registerpad, gedecodeerde en originele waarden en vele anderen. Als u echter een gewone gebruiker bent, betekent dit niet veel voor u. U ziet daar gewoon een pad dat lijkt op bijvoorbeeld HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ IdentityCRL \ Immersive \ production \ Token {60782261-81D18-4323-9C64-10DE93176363} en verder niets.

Toch zijn er andere dingen die u misschien interessant lijken, zoals het feit dat een testsysteem verschillende waarden met de naam 'POP3-wachtwoord' kan hebben. Dit is in feite een e-mailadres dat wordt weergegeven als "Decrypted Value". Elk heeft een pad in het register en het bevat Microsoft \ Office \ 16.0 \ Outlook \ Profiles, dat zeker laat zien dat u een Outlook-wachtwoord ziet.

Natuurlijk is dit handig, maar het programma vertelt je niet precies welk wachtwoord bij welk Outlook-account hoort, dus je moet het profielpad in het register verder onderzoeken als je dat wilt weten.

Gelukkig zijn er nog veel meer dingen die je kunt doen en het programma verkennen. U kunt de gewenste items opslaan als een HTML-rapport, tekst of csv als u ze later wilt analyseren. Er is ook de optie om een ​​geavanceerde zoekopdracht uit te voeren, waarmee u externe HDD kunt scannen.