le Éditeur de registre dans Windows stocke les données cryptées pour protéger les informations. Il est utile lorsque vous souhaitez sauvegarder des données sensibles telles que mot de passe du compte utilisateur, informations d'identification de la base de données, etc. dans le registre. Cependant, il peut arriver que vous souhaitiez consulter les données stockées dans ces clés de registre cryptées. EncryptedRegView est un outil gratuit qui peut déchiffrer les données de registre secrètes qui ont été stockées sous une forme chiffrée.
Déchiffrer les données de registre avec EncryptedRegView
Vous pouvez utiliser EncryptedRegView pour divulguer les données cryptées stockées dans l’éditeur de registre ou alimenter tout fichier de registre (extension.reg) enregistré localement. Le programme n'a pas besoin d'être installé car vous pouvez simplement télécharger et exécuter le fichier exécutable pour lancer l'outil. Disponible à la fois 32 bits et Version 64 bits, l’utilitaire fonctionne sans problème sur toutes les versions de Windows.
Lors de l’exécution, il recherche les données stockées n’importe où dans l’Éditeur du Registre qui est chiffré à l’aide de DPAPI (API de protection des données), une API cryptographique développée par Microsoft et disponible sous Windows pour les générations passées. Voyons comment fonctionne l’outil.
Une fois que vous ouvrez l'utilitaire, vous êtes accueilli par le Options avancées fenêtre dans laquelle vous pouvez choisir d’analyser l’éditeur de registre système ou d’analyser le registre d’un lecteur externe. Vous pouvez également choisir d’exécuter l’application en tant qu’administrateur afin de déchiffrer les données protégées par le système que vous ne pouvez pas déchiffrer avec les privilèges normaux.
Une fois que tous les paramètres sont définis et que vous cliquez sur OK pour accéder à la fenêtre principale EncryptedRegView, le logiciel commence à analyser l'éditeur de registre pour rechercher les données chiffrées avec DPAPI algorithme. S'il réussit à déchiffrer les données, vous pouvez afficher les informations cachées (en Décharge Hex format) dans le volet inférieur en sélectionnant l’entrée de registre correspondante dans le volet supérieur.
Pour décrypter les données de registre stockées sur un disque dur externe, vous devez réajuster les paramètres de la fenêtre Options avancées auxquels vous pouvez accéder en cliquant sur F9 sur votre clavier.
Sélectionner Scannez le registre du lecteur externe dans le menu déroulant supérieur et renseignez les détails du dossier racine, du fichier de registre des utilisateurs, du dossier des ruches du registre, etc. Vous pouvez également choisir de remplir automatiquement les détails en cliquant sur Remplissage automatique bouton. Notez que toutes les informations pertinentes seront également renseignées. Par conséquent, si vous souhaitez modifier quelque chose, par exemple une valeur de registre pour un autre utilisateur, vous devez entrer manuellement le chemin.
EncryptedRegView comporte plusieurs colonnes dans le volet supérieur et les champs correspondants sont automatiquement renseignés lors de l'analyse du registre. Examinons brièvement le sens de chaque colonne:
- Chemin de la clé de registre: Le chemin complet de la clé de registre.
- Nom de la valeur: Nom de la valeur de registre où les données cryptées DPAPI ont été trouvées.
- Résultat de décryptage: Résultat du déchiffrement - réussi ou échoué.
- Valeur décryptée: Si les données déchiffrées contiennent une simple chaîne, elles sont affichées dans cette colonne. L'ensemble des données déchiffrées est affiché dans le volet inférieur.
- Longueur des données cryptées: Longueur totale des données cryptées.
- Longueur des données décryptées: Longueur totale des données déchiffrées.
- Algorithme de hachage: Algorithme de hachage utilisé dans les données cryptées DPAPI. Sous Windows 7 et versions ultérieures, il s’agit généralement de SHA512.
- Algorithme de cryptage: Algorithme de cryptage utilisé dans les données cryptées DPAPI. Sous Windows 7 et versions ultérieures, il s’agit généralement du format AES256.
- Prénom: Le nom du bloc de données crypté DPAPI.
- Fichier clé: Nom du fichier de clé utilisé pour chiffrer les données. Le fichier de clé est situé dans un dossier "Protéger" (par exemple, C: Utilisateurs admin AppData Roaming Microsoft Protect).
En utilisant EncryptedRegView vous pouvez trouver des mots de passe et autres données secrètes stockés dans le Registre par les produits Microsoft ainsi que par des produits à trois parties. Si vous avez une utilisation pour cet outil, vous pouvez le télécharger à partir de Nirsoft.
