EncryptedRegView不需要任何安装过程或其他DLL文件。为了开始使用它,只需运行可执行文件 - EncryptedRegView.exe
运行后,将打开“高级选项”窗口,并允许您选择注册表扫描的设置。默认情况下,EncryptedRegView提供您扫描您当前运行的系统和当前用户的注册表,无需提升(以管理员身份运行)。如果选中“以管理员身份运行以解密系统受保护的数据”选项,EncryptedRegView将作为管理员(高程)执行,然后它可能能够解密无法使用正常用户权限解密的系统受保护的数据。
按下“确定”按钮后,EncryptedRegView开始扫描注册表并搜索DPAPI加密的数据。当它找到加密的数据,它试图解密它。如果EncryptedRegView成功解密数据,则会在“解密结果”列和绿色图标中的上方窗格中添加一个新项目“成功”。您可以通过在上部窗格中选择所需的项目,在下部窗格中查看整个解密信息为Hex-Dump格式。如果解密的信息是字符串,它也显示在“解密值”列的上窗格中。
如果解密过程失败,则会在“解密结果”列中显示“失败”,并在上部窗格中添加一个新项,并显示红色图标。
EncryptedRegView还允许您扫描插入计算机的外部硬盘驱动器的注册表。为了轻松扫描外部硬盘驱动器中的注册表,选择“扫描外部驱动器注册表”选项在顶部组合框中,然后选择或键入外部驱动器的路径,然后单击“自动填充”按钮。 EncryptedRegView会自动为您填充外部驱动器上的正确文件夹(注册表配置文件夹,用户注册表文件,用户类注册表文件,保护文件夹)。请注意,EncryptedRegView选择具有最近修改时间的用户配置文件(c:\\ users \\ [配置文件名称]),因此如果要扫描其他用户配置文件,可能需要手动替换路径。
此外,为了解密外部驱动器上的用户加密数据(通常存储在HKEY-CURRENT-USER密钥下),您必须提供用户的正确登录密码。为了解密外部驱动器上的系统加密数据(通常存储在HKEY-LOCAL-MACHINE密钥下),不需要登录密码以解密数据。