Password Recovery Software

Windows Password Recovery - дамп хэшей истории паролей

Из-за особенности реализации DPAPI, для того, чтобы гарантированно расшифровывать все объекты DPAPI, Windows приходится хранить все предыдущие пароли пользователя в системе. История паролей пользователя хранится в следующем файле:
%APPDATA%\Microsoft\Protect\credhist

Все предыдущие пароли пользователя (наряду с некоторой служебной информацией) хранятся в виде пары хэшей: SHA1 и NTLM. Причем, для того, чтобы расшифровать последнюю пару, надо знать хэш текущего пароля пользователя, для расшифровки предыдущих хэшей необходима последняя расшифрованная пара и т.д. по цепочке.

Windows Password Recovery - первая утилита в мире, которая позволяет расшифровывать хэши истории паролей из файлов CREDHIST.

Для этого необходимо на первом шаге мастера программы задать путь к файлу CREDHIST и каталогу Windows.



 

После этого возможна расшифровка и сохранение хэшей из CREDHIST в текстовый PWDUMP файл, если выбрано сохранение в формате NTLM, либо в простой текстовый файл, если выбран формат SHA1 хэшей.



Важно знать, что для расшифровки хэшей CREDHIST необходимо знать текущий пароль пользователя или его PIN код. Если производится расшифровка CREDHIST текущего залогиненного пользователя, выставите соответствующую опцию. В этом случае пароль для расшифровки вводить не надо - он будет взят из кэша системы.

Программа поддерживает частичную расшифровку хэшей истории. Это означает, что если текущий пароль пользователя неизвестен, но есть один из старых паролей, то программа сможет расшифровать те пароли, которые использовались пользователем ранее, т.е. до того, как был введен этот старый пароль.