DataProtectionDecryptor(Windows文件密码恢复工具)

　　DataProtectionDecryptor是一款非常强大且功能完善的Windows文件密码恢复工具，它使用户可以解密由Windows操作系统的DPAPI(数据保护API)系统加密的密码和其他信息，用户可以使用此工具解密当前正在运行的系统上的DPAPI数据，以及解密存储在外部硬盘驱动器上的DPAPI数据；新版本添加了扫描子文件夹的选项，例如用户可以将 C:\ProgramData\Microsoft\Wlansvc指定为基本文件夹，在子文件夹深度字段中指定无限，然后DataProtectionDecryptor将解密您网络上所有网络接口的所有无线密钥系统；同时此版本还优化了下部窗格在高DPI模式下使用适当的字体大小的问题，添加了在下部窗格中显示加密数据选项；

软件功能

　　DPAPI是Microsoft产品以及三方产品使用的解密/加密系统

　　用于解密和加密Windows操作系统上的密码和其他机密信息

　　DPAPI解密的数据始终以以下字节序列开头，因此您可以轻松地检测到它：

　　01 00 00 00 D0 8C 9D DF 01 15 D1 11 8C 7A 00 C0 4F C2 97 EB

　　密码存储在Chrome网络浏览器的密码文件中（Chrome配置文件中的登录数据文件）。

　　Chrome Web浏览器中的加密Cookie（Chrome配置文件中的Cookies文件）

　　可以使用此工具以2种不同的方式解密DPAPI加密的数据：

　　解密当前系统和用户的数据-在这种模式下

　　您无需提供用户的登录密码或任何其他信息

　　但是您可能需要以管理员身份运行DataProtectionDecryptor。

　　解密当前系统上另一个系统或另一个用户的数据-在这种模式下

　　您必须提供注册表文件和Windows的Protect文件夹的路径

　　并且如果使用了密码，还可能需要提供用户的登录密码解密数据。

软件特色

　　解密结果： 解密过程的结果（成功或失败）。

　　解密大小： 解密数据块的大小（字节）。

　　加密大小： 加密数据块的大小（字节）。

　　说明： 说明存储在DPAPI数据块内部（可能为空）

　　哈希算法： 在DPAPI块（SHA1或SHA512）的加密过程中使用的哈希算法。

　　加密算法：在DPAPI块（3DES或AES256）的加密过程中使用的加密算法。

　　密钥加密方式： 指定是使用系统密钥（存储在注册表中）还是使用用户SID +密码对密钥文件进行加密。

　　密钥文件向导： 指定用于加密的密钥文件的向导。

　　密钥文件哈希算法： 密钥文件加密过程中使用的哈希算法。

　　密钥文件 加密算法：在密钥文件的加密过程中使用的加密算法。

　　密钥文件名： 指定用于加密的密钥文件名（位于“保护”文件夹中）。

　　数据文件名： 指定包含DPAPI加密数据的文件名。

使用说明

　　用户可以点击本网站提供的下载路径下载得到对应的程序安装包

　　只需要使用解压功能将压缩包打开，双击主程序即可弹出程序界面

　　以下是使用DPAPI加密的密码和其他数据的一些示例：

　　Microsoft Outlook帐户的密码，存储在注册表中的HKEY_CURRENT_USER\Software\Microsoft \ Windows NT \ CurrentVersion \ Windows Messaging Subsystem \ Profiles或HKEY_CURRENT_USER \ Software \ Microsoft \ Office \ 15.0 \ Outlook \ Profiles或HKEY_CURRENT_USER \ Software \ Microsoft \ Office \ 16.0 \ Outlook \ Profiles（取决于Outlook版本）

　　Windows的凭据文件（例如：C：\ Users \ [用户配置文件] \ AppData \ Roaming \ Microsoft \ Credentials，C：\ Users \ [用户配置文件] \ AppData \ Local \ Microsoft \ Credentials）

　　无线网络密钥（存储在XML文件中，位于C：\ ProgramData \ Microsoft \ Wlansvc \ Profiles \ Interfaces下）

　　某些版本的Internet Explorer的密码，存储在以下注册表项中：HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2

　　运行DataProtectionDecryptor.exe后，将显示“ DPAPI解密选项”窗口。您也可以通过按F9打开此窗口。

　　以下是使用“ DPAPI解密选项”窗口的说明：

　　选择“解密模式”。如果DPAPI数据已使用当前用户在自己的计算机上加密，请选择“从当前系统和当前用户解密DPAPI数据”选项。如果要解密在外部驱动器上存储的另一个系统上创建的DPAPI数据，请选择“从外部驱动器或另一个用户解密DPAPI数据”选项。

　　如果选择了外部驱动器解密模式：选择外部驱动器的根文件夹，单击“自动填充”按钮，其他字段（保护文件夹，注册表配置单元文件夹）将为您填充。您也可以使用正确的文件夹手动填充这些字段。如果DPAPI数据已使用登录密码加密，则必须在“ Windows登录密码”字段中输入此密码。

　　在“ DPAPI数据”部分中，可以选择以下选项之一：

　　解密存储在指定文件中的DPAPI数据：如果选择此选项，则可以将包含DPAPI加密数据的任何文件指定为二进制数据或文本。可以指定的文件示例：Windows注册表配置单元（ntuser.dat，C：\ windows \ system32 \ config中的SOFTWARE文件），从注册表中导出的.reg文件，Windows凭据文件，无线网络密钥文件（存储在C： \ ProgramData \ Microsoft \ Wlansvc \ Profiles \ Interfaces），Chrome Web浏览器的cookie和密码文件。

　　从指定的字符串解密DPAPI数据： 如果选择此选项，则应在DPAPI数据文本框中键入或粘贴DPAPI字节序列。例如：

　　01 00 00 00 D0 8C 9D DF 01 15 D1 11 8C 7A 00 C0 4F C2 97 EB ....

　　01,00,00,00，D0,8C，9D，DF，01,15，D1,11 ，8C，7A，00，C0,4F，C2,97，EB ...

　　01000000D08C9DDF0115D1118C7A00C04FC297EB ...

　　也可以从Windows的.reg文件中粘贴包含DPAPI加密数据的文本。

　　可选的熵：仅当DPAPI数据已使用附加密钥加密时，才应使用此选项。您可以以十六进制格式（例如：2A 3D B8 C9 ...）指定密钥，作为ANSI字符串或Unicode字符串。

　　在“ DPAPI解密选项”窗口中填写所有必填字段后，按“确定”按钮，DataProtectionDecryptor将开始解密DPAPI并将结果显示在主窗口中。

　　DPAPI解密失败时该怎么办...

　　如果尝试在当前运行的系统上解密DPAPI数据，请尝试按Ctrl + F11以管理员身份运行DataProtectionDecryptor。如果解密仍然失败，您也可以尝试打开以下选项：“尝试通过在lsass.exe进程内执行代码来解密数据（需要提升）”。要在64位系统上使用此选项，必须使用64位版本的DataProtectionDecryptor。

　　如果尝试解密外部驱动器上的DPAPI数据：

　　验证“ DPAPI解密选项”窗口中指定的所有文件夹均正确，并且您具有这些文件夹的读取权限。

　　如果“密钥加密方式”的值为“用户SID +登录密码”，请确认您在外部系统上键入了正确的用户登录密码。