Các Registry Editor trong Windows lưu trữ dữ liệu được mã hóa để giữ cho thông tin an toàn và bảo mật. Nó rất hữu ích khi bạn muốn bảo vệ dữ liệu nhạy cảm như mật khẩu tài khoản người dùng, chứng chỉ cơ sở dữ liệu, v.v. vào sổ đăng ký. Tuy nhiên, đôi khi bạn có thể muốn nhìn vào dữ liệu được lưu trữ trong các khóa đăng ký được mã hóa này. EncryptedRegView là một công cụ miễn phí có thể giải mã dữ liệu đăng ký bí mật đã được lưu trữ dưới dạng mã hóa.
Giải mã dữ liệu đăng ký với EncryptedRegView
Bạn có thể dùng EncryptedRegView để tiết lộ dữ liệu mã hóa được lưu trữ trong trình chỉnh sửa Registry hoặc nạp bất kỳ tệp đăng ký (phần mở rộng.reg) nào được lưu cục bộ. Chương trình không cần cài đặt vì bạn chỉ có thể tải xuống và chạy tệp thi hành để khởi chạy công cụ. Có sẵn dưới dạng cả hai 32 bit và Phiên bản 64 bit, tiện ích hoạt động trơn tru trên tất cả các phiên bản của Windows.
Khi thực hiện, nó tìm kiếm dữ liệu được lưu trữ ở bất cứ đâu trong Registry Editor được mã hóa bằng DPAPI (API bảo vệ dữ liệu), một API mã hóa được phát triển bởi Microsoft và có sẵn trong Windows OS cho các lứa tuổi. Chúng ta hãy xem cách công cụ hoạt động.
Khi bạn mở tiện ích, bạn sẽ được chào đón bằng Tùy chọn nâng cao cửa sổ nơi bạn có thể chọn quét trình chỉnh sửa đăng ký hệ thống hoặc quét đăng ký của một ổ đĩa ngoài. Bạn cũng có thể chọn chạy ứng dụng với tư cách quản trị viên để giải mã dữ liệu được bảo vệ hệ thống mà bạn không thể giải mã bằng các đặc quyền thông thường.
Khi tất cả các thiết lập được thiết lập, và bạn nhấn OK để vào cửa sổ EncryptedRegView chính, nó bắt đầu quét trình soạn thảo đăng ký để mã hóa dữ liệu với DPAPI thuật toán. Nếu thành công giải mã dữ liệu, bạn có thể xem thông tin ẩn (trong Hex-Dump định dạng) trong ngăn bên dưới bằng cách chọn mục đăng ký tương ứng từ ngăn trên.
Để giải mã dữ liệu đăng ký được lưu trữ trên ổ cứng ngoài, bạn cần phải điều chỉnh lại cài đặt trong cửa sổ Tùy chọn nâng cao mà bạn có thể truy cập bằng cách nhấp vào F9 trên bàn phím của bạn.
Lựa chọn Quét registry của ổ đĩa ngoài từ trình đơn thả xuống trên cùng và điền thông tin chi tiết cho thư mục gốc, tệp đăng ký người dùng, thư mục phát hành đăng ký, v.v. Bạn cũng có thể chọn tự động điền chi tiết bằng cách nhấp vào Tự động điền nút. Lưu ý rằng tất cả thông tin có liên quan cũng sẽ được lấp đầy vì vậy nếu bạn muốn thay đổi điều gì đó, hãy nói giá trị đăng ký cho một số người dùng khác thì bạn sẽ phải nhập đường dẫn theo cách thủ công.
EncryptedRegView có một số cột trong ngăn trên cùng và các trường tương ứng được tự động điền khi quét qua sổ đăng ký. Chúng ta hãy xem xét ý nghĩa của từng cột:
- Đường dẫn khóa đăng ký: Đường dẫn đầy đủ của khóa Registry.
- Tên giá trị: Tên của giá trị Registry nơi dữ liệu được mã hóa DPAPI được tìm thấy.
- Kết quả giải mã: Kết quả giải mã - Thành công hoặc Không thành công.
- Giá trị được giải mã: Nếu dữ liệu được giải mã có chứa một chuỗi đơn giản thì dữ liệu được hiển thị trong cột này. Toàn bộ dữ liệu được giải mã được hiển thị trong khung bên dưới.
- Độ dài dữ liệu được mã hóa: Tổng chiều dài của dữ liệu được mã hóa.
- Độ dài dữ liệu đã giải mã: Tổng chiều dài của dữ liệu được giải mã.
- Thuật toán băm: Thuật toán băm được sử dụng trong dữ liệu được mã hóa DPAPI. Trong Windows 7 trở lên, thường là SHA512.
- Thuật toán mã hóa: Thuật toán mã hóa được sử dụng trong dữ liệu được mã hóa DPAPI. Trong Windows 7 trở lên, thường là AES256.
- Tên: Tên của khối dữ liệu được mã hóa DPAPI.
- Tài liệu quan trọng: Tên của tệp khóa được sử dụng để mã hóa dữ liệu. Tệp khóa nằm trong thư mục ‘Bảo vệ’ (ví dụ: C: Users admin AppData Roaming Microsoft Protect)
Sử dụng EncryptedRegView bạn có thể tìm thấy mật khẩu và các dữ liệu bí mật khác được lưu trữ trong các sản phẩm Đăng ký của Microsoft cũng như các sản phẩm của bên thứ ba. Nếu bạn sử dụng công cụ này, bạn có thể tải xuống từ Nirsoft.
