EncryptedRegView(扫描注册表加密信息)

　　EncryptedRegView是一款简单易用的扫描注册表加密信息软件，通过该程序，您可以分析计算机的注册表或外部驱动器的注册表，并找到使用Data Protection API（或简称为DPAPI）加密的密钥。它不是标准的注册表浏览器，而是可以帮助您更深入地研究注册表并搜索通常无法显示的条目的工具，其具备了简单直观的操作界面，设置扫描类型、根文件夹、注册表配置单元文件夹、用户注册表文件夹等及基本参数，即可执行扫描，扫描的结果还支持导出为html报告，使用非常方便。

软件功能

　　EncryptedRegView是Windows的工具，可扫描您当前正在运行的系统的注册表或您选择的外部硬盘驱动器的注册表，并搜索使用DPAPI（数据保护API）加密的数据。

　　当它在注册表中找到加密的数据时，它将尝试对其解密并在EncryptedRegView的主窗口中显示解密的数据。

　　使用此工具，您可能会发现Microsoft产品和第三方产品在注册表中存储的密码和其他机密数据。

　　先进的选择工具可以帮助您选择要导出的数据。您可以选择要包含在报告中的行（并且可以通过单击选择偶数或奇数行，因此您不必手动执行此操作），并消除不需要的列。

软件特色

　　分析本地注册表或外部驱动器注册表

　　启动后，您必须通过高级选项来选择要扫描的目标（本地或外部）。选择外部驱动器要求您填写根文件夹，注册表配置单元，用户和类注册表文件的位置。给定的根目录也可以自动填充。要解密系统保护的数据，必须具有管理员权限。

　　按下“确定”按钮后，EncryptedRegView将开始扫描注册表，并以结构化方式逐项显示找到的数据。除了每个注册表项的路径外，EncryptedRegView还公开其加密和解密值。此外，它还显示解密状态，加密和解密的数据的长度，哈希和所使用的加密算法。单击任何键都会显示该键的十六进制编码形式。

　　高级选择和报告选项

　　EncryptedRegView具有令人满意的报告工具，使您能够以各种格式（即TXT，CSV，HTML或XML）保存选定的数据块。右键菜单中也提供HTML报告。

　　在系统注册表中解密数据

　　EncryptedRegView可以公开加密的数据，其中可以包含Microsoft或第三方产品的密码。为方便起见，它无需修改注册表即可扫描系统，并将所有信息放置在有组织的表中。

使用方法

　　1、启动EncryptedRegView，进入如下所示的高级设置界面，可以对扫描类型、根文件夹、注册表配置单元文件夹、用户注册表文件夹等参数进行配置。

　　2、正在执行扫描操作，用户等待扫描完成。

　　3、扫描完成后，用户可以查看注册表项路径、值名称、解密值等信息。

　　4、在编辑菜单下提供了查找功能，您可以快速查找并复制注册项。

　　5、在视图一栏下，您可以以多种方式进行显示，并支持生成html报告。

使用说明

　　开始使用EncryptedRegView

　　EncryptedRegView不需要任何安装过程或其他DLL文件。为了开始使用它，只需运行可执行文件-EncryptedRegView.exe

　　运行它之后，将打开“高级选项”窗口，并允许您选择注册表扫描的设置。默认情况下，EncryptedRegView可让您扫描当前正在运行的系统和当前用户的注册表，而无需提升权限（以管理员身份运行）。如果选中“以管理员身份运行以解密系统保护的数据”选项，则EncryptedRegView将以管理员身份（提升）身份执行，然后它可能能够解密无法以普通用户权限解密的系统保护数据。

　　按下“确定”按钮后，EncryptedRegView开始扫描注册表并搜索DPAPI加密的数据。找到加密数据后，它将尝试对其解密。如果EncryptedRegView成功解密了数据，则将一个新项目添加到上部窗格，在“解密结果”列中带有“成功”并且带有绿色图标。通过在上方窗格中选择所需的项目，您可以在下方窗格中以十六进制转储格式查看整个解密信息。如果解密的信息是字符串，它也会显示在上方窗格的“解密的值”（Decrypted Value）列下方。

　　如果解密过程失败，则会将一个新项目添加到上部窗格，在“解密结果”列中带有“失败”并带有红色图标。

　　扫描外部硬盘驱动器中的注册表

　　EncryptedRegView还允许您扫描插入计算机的外部硬盘驱动器的注册表。为了轻松扫描外部硬盘驱动器中的注册表，请在顶部组合框中选择“扫描外部驱动器注册表”选项，然后选择或键入外部驱动器的路径，然后单击“自动填充”按钮。 EncryptedRegView会自动为您填充外部驱动器上的正确文件夹（注册表配置单元文件夹，用户注册表文件，用户类注册表文件，保护文件夹）。请注意，EncryptedRegView选择具有最新修改时间的用户配置文件（c：\ users \ [配置文件名称]），因此，如果要扫描其他用户配置文件，可能需要手动替换路径。

　　另外，为了解密外部驱动器上的用户加密数据（通常存储在HKEY_CURRENT_USER密钥下），您必须提供用户的正确登录密码。为了在外部驱动器上解密系统加密的数据（通常存储在HKEY_LOCAL_MACHINE密钥下），无需使用登录密码即可解密数据。

　　失败原因

　　由于以下原因之一，EncryptedRegView可能无法解密DPAPI数据：

　　DPAPI数据使用其他密钥/密码加密。例如：Internet Explorer将密码存储在HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2密钥下，并且密码已使用网页的URL加密，因此EncryptedRegView无法解密这些加密的值。

　　EncryptedRegView无法解密数据，因为它需要访问系统密钥。您可以通过以管理员身份运行EncryptedRegView来解决此问题。

　　提供的用户登录密码不正确（仅与外部驱动器扫描有关）

　　缺少加密密钥（存储在“保护”文件夹中）

　　列说明

　　注册表项路径：注册表项的完整路径。

　　值名称：在其中找到DPAPI加密数据的注册表值的名称。

　　解密结果：解密结果-成功或失败。

　　解密后的值：如果解密后的数据包含一个简单的字符串，那么它将显示在此列中。整个解密的数据显示在下部窗格中。

　　加密数据长度：加密数据的总长度。

　　解密数据长度：解密数据的总长度。

　　哈希算法：DPAPI加密数据中使用的哈希算法。在Windows 7及更高版本中，通常为SHA512。

　　加密算法：DPAPI加密数据中使用的加密算法。在Windows 7及更高版本中，通常为AES256。

　　名称：DPAPI加密数据块的名称。

　　密钥文件：用于加密数据的密钥文件的名称。密钥文件位于“保护”文件夹中（例如C：\ Users \ admin \ AppData \ Roaming \ Microsoft \ Protect）

　　将EncryptedRegView转换为其他语言

　　为了将EncryptedRegView转换为其他语言，请按照以下说明进行操作：

　　使用/ savelangfile参数运行EncryptedRegView：

　　EncryptedRegView.exe / savelangfile

　　将在EncryptedRegView实用工具的文件夹中创建一个名为EncryptedRegView_lng.ini的文件。

　　在记事本或任何其他文本编辑器中打开创建的语言文件。

　　将所有字符串条目翻译成所需的语言。您也可以选择将您的姓名和/或链接添加到您的网站。 （TranslatorName和TranslatorURL值）如果添加此信息，它将在“关于”窗口中使用。

　　完成翻译后，运行EncryptedRegView，所有翻译后的字符串将从语言文件中加载。