Home > Обозреватель Vault
Анализ и расшифровка Windows Vault
05.05.2022
Reset Windows Password v11.4
Windows activity timeline, Windows clipboard history, etc.
20.04.2022
Windows Password Recovery v14.3
Preliminary support for Windows 11
15.04.2022
Outlook Password Recovery v3.2.1
Support for Windows 11 and the latest version of MS Outlook
21.03.2022
Reset Windows Password v11.3
New forensic utilities, support for Windows 11 and Windows Server 2022

Articles and video

You may find it helpful to read our articles on Windows security and password recovery examples. Video section contains a number of movies about our programs in action

Windows Password Recovery - расшифровщик Windows Vault

 

Что такое Windows Vault

Windows Vault представляет собой защищенное хранилище секретов, паролей и другой персональной информации пользователя и системы. Данные, хранимые в Windows Vault, структуизированы и представляют собой набор записей, принадлежащих определенной схеме Vault.

Windows Vault

На физическом уровне Vault - дисковый каталог с минимальным набором следующих файлов:

  • Policy.vpol - набор ключей шифрования для записей Vault. Данные ключи могут быть защищены при помощи двух основным методов: с помощью DPAPI, либо с помощью пароля пользователя. Последний тип защиты не используется в Windows 8 и в настоящее время не поддерживается программой.
  • .vsch - схема Vault, содержащая описатели структур, флаги и др. служебную информацию.
  • .vcrd - запись Vault, в которой находятся исходные зашифрованные данные, относящиеся к определенной схеме. Данные могут состоять и, как правило, состоят из нескольких полей.


 

Обозреватель и расшифровщик Windows Vault

Обозреватель Windows Vault представляет собой утилиту для анализа и расшифровки записей Vault в офлайн режиме. Для этого Мастер расшифровки разбивает весь процесс на несколько последовательных этапов.

  1. Поиск каталога Vault
  2. Поиск Мастер Ключа пользователя или системы
  3. Указание файлов реестра и другой информации, необходимой для расшифровки Мастер Ключа
  4. Выбор схемы Vault
  5. Поиск записей Vault, принадлежащих выбранной схеме
  6. Расшифровка записи


 

Поиск каталога Vault

Поиск каталога Vault

В настоящее время существует два типа хранилища Vault: системное и пользовательское. Пользовательский Vault может быть расположен в следующих каталогах:

%USER_APPDATA%\Microsoft\Vault\
%USER_LOCAL_APPDATA%\Microsoft\Vault\
Например,
С:\Users\John\AppData\Local\Microsoft\Vault\18289F5D-9783-43EC-A50D-52DA022B046E
С:\Users\Helen\AppData\Roaming\Microsoft\Vault\4BF4C442-9B8A-41A0-B380-DD4A704DDB28

Системный Vault по-умолчанию расположен в:
%SYSTEM_APPDATA%\Microsoft\Vault\
%SYSTEM_LOCAL_APPDATA%\Microsoft\Vault\
%PROGRAMDATA%\Microsoft\Vault\
Например,
С:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Vault\4BF4C442-9B8A-41A0-B380-DD4A704DDB28
С:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Vault\4BF4C442-9B8A-41A0-B380-DD4A704DDB28
C:\ProgramData\Microsoft\Vault\AC658CB4-9126-49BD-B877-31EEDAB3F204

 

Учтите, некоторые из указанных каталогов имеют системный атрибут, делающий эти каталоги скрытыми.


 

Выбор Мастер Ключа

Выбор Мастер Ключа

После того, как выбран определенный каталог Vault, необходимо указать путь к Мастер Ключу, использующегося в защите ключей шифрования Vault. Мастер Ключ пользователя всегда располагается в каталоге %APPDATA%\Microsoft\Protect\%SID%, а Мастер Ключи системной учетной записи хранятся в директории %SYSTEMDIR%\Microsoft\Protect. Надо отметить, что Мастер Ключей может быть несколько, а для расшифровки определенного объекта подойдет только один, имя которого хранится внутри файла Policy.vpol. При поиске Мастер Ключа, программа может отфильтровывать ненужные имена.



 

Расшифровка Мастер Ключа

Расшифровка Мастер Ключа

Для расшифровки Мастер Ключа пользователя необходимо задать как минимум два параметра: пароль пользователя на вход и его идентификатор безопасности (SID), который обычно прописан в пути к Мастер Ключу. Программа определяет SID пользователя автоматически. Если это по какой-либо причине сделано не было, укажите его самостоятельно. Для расшифровки системного Мастер Ключа задавать пароль не нужно, всю необходимую информацию программа получает из двух файлов реестра: SYSTEM и SECURITY.

Расшифровка Мастер Ключа пользователя в некоторых случаях требует указания пути к файлу реестра SAM. Это необходимо сделать только в том случае, если учетная запись владельца данных Windows 8 имеет тип LiveID.

Имейте в виду, иногда возможна расшифровка Мастер пароля пользователя и, следовательно, записей Vault без знания пароля владельца.

Начиная с версии 9.7, Windows Password Recovery имеет встроенный механизм для обнаружения и использования уязвимости в защите Мастер Ключей DPAPI. Так, для расшифровки _любых_ записей Windows Vault доменного пользователя, пароль владельце больше не обязателен.

WPR v11.7 поддерживает функцию автоматического доверенного входа в систему Windows 10. Если программа обнаруживает, что для пользователя установлен доверенный автоматический вход, для расшифровки данных пароль на вход не потребуется.



 

Выбор схемы Vault

Выбор схемы Vault

На четвертом шаге, если предыдущие прошли успешно, программа предложит выбрать из выпадающего списка одну из схем, принадлежащих нашему Vault. Чуть ниже списка показаны общие характеристики выбранной схемы: ее имя, версия, GUID, флаги, количество атрибутов и записей.



 

Выбор записи Vault

Выбор записи Vault

Аналогичным способом выбираем одну из интересующих нас записей, принадлежащих выбранной на предыдущем шаге схеме.



 

Расшифровка записи Vault

Расшифровка записи Vault

Ну и, наконец, финальная стадия, где можно просмотреть расшифрованную запись, скопировать ее в буфер обмена или сохранить в файл для дальнейшего анализа. На рисунке показан расшифрованный пароль (он затерт) учетной записи администратора, настроенной на вход при помощи отпечатка пальцев.