DataProtectionDecryptor

今天來認識 DataProtectionDecryptor 這個工具！

他是一個很強的 Windows 工具，可以解密由 Windows 操作系統的 DPAPI（數據保護 API）系統加密的密碼和其他信息。您可以使用此工具解密當前運行系統上的 DPAPI 數據並解密存儲在外部硬盤驅動器上的 DPAPI 數據。

• DPAPI 是什麼？
  DPAPI 是微軟產品以及第三方用的一種加解密系統，用於 Windows 系統上的密碼和其他機敏訊息進行解密和加密的系統。 DPAPI 解密資料都是以下字元開頭，因此您可以快速的檢測到它：
  01 00 00 00 D0 8C 9D DF 01 15 D1 11 8C 7A 00 C0 4F C2 97 EB

下面是用 DPAPI 加密和其他資料的一些範例：

• Microsoft Outlook 的帳號密碼, 存在這機碼值底下：HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles 或HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Profiles 或 HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Profiles (會根據 Outlook 版本不同有異)
• Windows 的憑證 (e.g: C:\Users[User Profile]\AppData\Roaming\Microsoft\Credentials , C:\Users[User Profile]\AppData\Local\Microsoft\Credentials )
• 無線網路 keys (存儲在 XML 檔案中 C:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces )
• 某些版本的 IE 中的密碼會存在以下註冊表中： HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2
• 存在 Chrome 瀏覽器中的密碼檔中的密碼 (在 Chrome 設定檔中的 “Login Data” 檔)
• Chrome 瀏覽器的加密 cookie 在 Chrome 設定檔中的“Cookies” 檔。