Há pouco tempo, a NirSoft lançou uma ferramenta gratuita chamada EncryptedRegView, que ajuda a encontrar, descriptografar e exibir os dados no Registro, que é protegido pelo sistema de criptografia DPAPI do Windows. Esse esquema não é tão frequentemente usado, nem mesmo pelos produtos de propriedade da Microsoft, mas ainda é possível encontrar detalhes do Microsoft Edge, senhas no Outlook e outras coisas interessantes em um PC.

É realmente fácil de usar e entender. É recomendável que você o execute como administrador. Clique em OK quando a caixa de diálogo de abertura aparecer e veja como o programa examinará seu registro. Ele mostrará todos os itens protegidos por DPAPI que podem ser encontrados na máquina, com colunas para valores de hash e criptografia, caminho do Registro, valores descriptografados e originais e muitos outros. No entanto, se você é apenas um usuário comum, isso não significa muito para você. Você verá apenas um caminho semelhante ao HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ IdentityCRL \ Immersive \ production \ Token {60782261-81D18-4323-9C64-10DE93176363}, por exemplo, e nada mais.

Mesmo assim, há outras coisas que podem lhe parecer interessantes, como o fato de um sistema de teste ter vários nomes de valores "Senha POP3". Na verdade, esse é um endereço de e-mail real mostrado como "Valor Decodificado". Cada um possui um caminho no Registro e inclui Microsoft \ Office \ 16.0 \ Outlook \ Profiles, que mostra com certeza que o que você está vendo é uma senha do Outlook.

Obviamente, isso é útil, mas o programa não informa exatamente qual senha pertence a qual conta do Outlook; portanto, você precisa investigar mais o caminho do perfil encontrado no Registro, se quiser descobrir isso.

Felizmente, existem muitas outras coisas que você pode fazer e explorar o programa. Você pode salvar os itens que deseja como um relatório html, texto ou csv, se desejar analisá-los posteriormente. Há também a opção de executar uma pesquisa avançada, que permite digitalizar o disco rígido externo.