Home > DPAPI
Инструменты для анализа и расшифровки DPAPI
05.05.2022
Reset Windows Password v11.4
Windows activity timeline, Windows clipboard history, etc.
20.04.2022
Windows Password Recovery v14.3
Preliminary support for Windows 11
15.04.2022
Outlook Password Recovery v3.2.1
Support for Windows 11 and the latest version of MS Outlook
21.03.2022
Reset Windows Password v11.3
New forensic utilities, support for Windows 11 and Windows Server 2022

Articles and video

You may find it helpful to read our articles on Windows security and password recovery examples. Video section contains a number of movies about our programs in action

Windows Password Recovery - анализ и расшифровка DPAPI


Начиная с Windows 2000, Microsoft стали предоставлять в своих операционных системах специальный интерфейс для защиты данных: Data Protection Application Programming Interface (DPAPI). В настоящее время DPAPI получила очень широкое распространение и используется во многих приложениях и подсистемах Windows. Например, в системе шифрования файлов, для хранения беспроводных паролей сети, в Microsoft Vault, Internet Explorer, Outlook, Skype, Google Chrome и т.д. Эта система стала популярной у программистов в первую очередь благодаря простоте использования, поскольку она состоит всего лишь из пары функций для шифрования и расшифровки данных: CryptProtectData и CryptUnprotectData. Однако несмотря на свою кажущуюся простоту, техническая реализация DPAPI довольно сложна.

Passcape Software (первой в мире!) предлагает набор из 6 инструментов для полноценного анализа и расшифровки данных, зашифрованных при помощи DPAPI. С помощью этих утилит можно:

  • Расшифровывать данные DPAPI для любой учетной записи
  • Выполнять поиск DPAPI объектов на диске
  • Расшифровывать объекты DPAPI, зашифрованные под учетной записью SYSTEM (например, пароли WiFi)
  • Производить анализ и расшифровку Мастер Ключей пользователя
  • Проверять пароль пользователя без дампа хэшей из SAM или NTDS.DIT
  • Расшифровывать хэши истории всех введенных ранее паролей (без использования SAM или NTDS.DIT)
И многое другое.

 
 

Расшифровка объектов DPAPI

Утилита для офлайн расшифровки данных, хранящихся в объектах DPAPI (DPAPI blobs)...
Читать далее...

Расшифровщик DPAPI

Анализ объектов DPAPI

DPAPI объект (DPAPI blob) - это прозрачная структура данных, содержащая зашифрованные данные приложения. Многие программы и подсистемы Windows хранят пароли, секреты и приватные данные в DPAPI объектах...
Читать далее...

Анализ объектов DPAPI

Поиск объектов DPAPI

Эта утилита производит поиск как двоичных, так и текстовых объектов DPAPI на диске и сохраняет их в отдельные файлы для последующего анализа или расшифровки....
Читать далее...

Поиск объектов DPAPI

Анализ Мастер Ключей

Мастер Ключ представляет собой 64 байта данных, которые используются в качестве первичного ключа при расшифровке любого DPAPI объекта. Мастер Ключ пользователя зашифрован при помощи пароля на вход пользователя...
Читать далее...

Анализ Мастер Ключей DPAPI

Дамп хэшей истории паролей пользователя

Из-за особенности реализации DPAPI, для того, чтобы гарантированно расшифровывать все объекты DPAPI, Windows приходится хранить все предыдущие пароли пользователя в системе. История паролей пользователя хранится в файле CREDHIST...
Читать далее...

Дамп хэшей из файла CREDHIST

Анализ файла с хэшами истории паролей

CREDHIST - файл истории паролей, выполненный в виде цепочки, каждое звено которой представляют собой хэши предыдущих паролей пользователя. Каждый раз, когда пользователь меняет свой пароль, хэш старого пароля добавляется к концу файла и шифруется новым паролем...
Читать далее...
Анализ файла CREDHIST