DataProtectionDecryptor
今天来认识 DataProtectionDecryptor 这个工具!
他是一个很强的 Windows 工具,可以解密由 Windows 操作系统的 DPAPI(数据保护 API)系统加密的密码和其他信息。您可以使用此工具解密当前运行系统上的 DPAPI 数据并解密存储在外部硬盘驱动器上的 DPAPI 数据。
- DPAPI 是什麽?
DPAPI 是微软产品以及第三方用的一种加解密系统,用於 Windows 系统上的密码和其他机敏讯息进行解密和加密的系统。 DPAPI 解密资料都是以下字元开头,因此您可以快速的检测到它:
01 00 00 00 D0 8C 9D DF 01 15 D1 11 8C 7A 00 C0 4F C2 97 EB
下面是用 DPAPI 加密和其他资料的一些范例:
- Microsoft Outlook 的帐号密码, 存在这机码值底下:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles 或HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Profiles 或 HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Profiles (会根据 Outlook 版本不同有异)
- Windows 的凭证 (e.g: C:\Users[User Profile]\AppData\Roaming\Microsoft\Credentials , C:\Users[User Profile]\AppData\Local\Microsoft\Credentials )
- 无线网路 keys (存储在 XML 档案中 C:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces )
- 某些版本的 IE 中的密码会存在以下注册表中: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2
- 存在 Chrome 浏览器中的密码档中的密码 (在 Chrome 设定档中的 “Login Data” 档)
- Chrome 浏览器的加密 cookie 在 Chrome 设定档中的“Cookies” 档。