MetaShield Protector limpiar metadatos en office y otros

Esta una solución para evitar la fuga de información en documentos ofimáticos a través de su publicación en sitios web. Para ello, el documento ofimático antes de ser entregado será limpiado en memoria por el componente, llegando al cliente una copia totalmente limpia de metadatos e información oculta.

Para cada uno de los sitios se podrá personalizar cuales son los formatos de documento que han de ser limpiados de metadatos para ese sitio. En esta versión del producto se puede activar la limpieza para documentos Microsoft Office en binario, es decir, versiones desde Microsoft Office 97 a 2003, de ficheros .doc, .xls, .pps o .ppt, ficheros de versiones OOXML para Microsoft Office 2007, tipo docx, xlsx, ppsx o pptx, ficheros en formato PDF y ficheros de OpenOffice de tipo sxw, ods, odp, odt y odg.

Fuente: http://www.metashieldprotector.com/

Descarga:
Version 32bits
Version 64bits

Limpiar metadatos con Metaextractor (SOLO para usuarios de OpenOffice)

Este software está diseñado para proteger las webs corporativas contra la fuga de metadatos por medio de documentos ofimáticos creados en Open Office de tipo sxw, ods, odp, odt y odg.

Fuente:  http://oometaextractor.codeplex.com/  
Descarga

Recopilacion de Evidencia

Cuando procedemos a recopilar informacion de un medio que ha sido comprometido en un delito, hay que utilizar algunas herramienta de Software y Hardware para recuperar la posible evidencia e información sin manipular el medio de investigacion, ya que, podriamos resultar implicados.

Si el medio de investigacion se encuentra encendido en el momento de la incautación, se tiene que realizar la extraccción de todo el contenido del medio sin apagar el equipo, es decir, hay que hacer una copia exacta del disco duro(copia bit a bit del medio), memoria ram, etc; es necesario para ello utilizar algunas herramientas(algunas de ellas se encuentran publicadas en este blog)  que permitan la captura de esta información sin tocar tecla de este equipo, es decir es necesario utilizar un equipo que se conecte mediante alguno de los puertos de la computadora bajo analisis.

El número de copias que se realicen de las evidencias, fotografias del ambiente de donde se encontraba el medio instalado junto a las demás evidencias, deben quedar bajo la custodía del Fiscal que intervino en esta diligencia. Este Fiscal posteriormente, o en este mismo acto derivara las evidencias para que estas puedan ser evaluadas por un Perito Forense(La "opinión" de este es valida en el proceso legal).Esto permitira que nuestra evidencia tenga valides en la corte.

Por ningun motivo se debe realizar la instalación de software en el medio a analizar, se debe tratar de inmovilizar el equipo (es decir realizar una incautación de la evidencia y ponerla bajo resguardo).Mientras que el caso no cuente autoridad juridica pertinente no se podrá proceder la incautación de la evidencia.

En Perú, se requiere la presencia de un representante del Ministerio Publico (FISCAL), y la incautación de las evidencias deberan realizarlo los agente policiales o alguna persona especializada en estos casos (con autorización y designación por parte del Ministerio Público)



Recopilado por Maverick

Cabezeras de las extensiones de Archivos

Aqui una ayudita con las cabezeras en hexadecimal de algunas extensiones con las que no podemos encontrar en una investigación.Se ordena por:

Codigo hexadecimal
Extensión del Archivo
Descripción ASCII



Fuente: http://www.garykessler.net/library/file_sigs.html

Análisis de Documentos .Doc con DocScrubber

 DocScrubber permite el análisis de “Comprometedores” documentos de Word, ya que, almacenan más datos de los que se pueden ver.


Un Script creado en Perl, read_open_xml.pl para obtener los metadatos de los archivos de Office Word 2007 en formato docx.

Existe una herramienta escrita en perl de Harlan Carvey. Este módulo extrae información. Otro beneficio del módulo es que extrae información adicional del contenido OLE(Object Linking and Embedding ) del archivo. Primero extrae información sobre el OLE “trash bin” donde puede ser ocultada data útil.

Fuente: http://www.javacoolsoftware.com/docscrubber.html
Descarga

Análisis de thumbs con vinetto desde Linux

    Tipos de Thumbsnails

 Los sistemas Windows (98, ME, 2000, XP y Server 2003) puede almacenar Thumbsnails (miniaturas) y los metadatos de los archivos de imagen contenidos en los directorios de sus sistemas de archivos FAT32 o NTFS.


Las miniaturas y los metadatos asociados se almacenan en archivos Thumbs.db.

Los archivos Thumbs.db son indocumentados OLE(Object Linking and Embedding for Databases, algunas veces tambien denominado OLEDB u OLE-DB ) archivos estructurados.

Una vez que un archivo de imagen ha sido eliminado del sistema de archivos, la imagen de metadatos relacionados y asociados permanecen almacenados en el archivo Thumbs.db. Así, los datos contenidos en esos archivos Thumbs.db son una fuente útil de información para el investigador forense.

Requerimientos:


Python-2.3 o más reciente.

PIL (Python Imaging Library) 1.1.5 o más reciente. PIL es usada para la reconstruccion de Thumbnails(Miniaturas) del tipo 1  
 
Uso:

vinetto [OPTIONS] [-s] [-U] [-o DIR] Archivo
options:

--version show program's version number and exit

-h, --help show this help message and exit

-o DIR write thumbnails to DIR

-H write html report to DIR

-U use utf8 encodings

-s create symlink of the image realname to the numbered name in

DIR/.thumbs

Por Ejemplo:

Como mostrar los metadatos de un archivo Thumbs.db

$ vinetto /path/to/Thumbs.db

Cómo extraer las imágenes relacionadas con una carpeta o directorio

$ vinetto -o /tmp/vinetto_output /path/to/Thumbs.db

Como extraer los thumbnails relacionados a una carpeta y crear un reporte en html previsualizando los thumbnails a travez del buscador de mis favoritos.

$ vinetto -Ho /tmp/vinetto_output /path/to/Thumbs.db

Cómo obtener un reporte de metadatos de todos los archivos no borrados  Thumbs.db contenidos en una partición

$ find /mnt/hda2 -iname thumbs.db -printf "\n==\n %p \n\n" -exec vinetto {} \; 2>/tmp/vinetto_err.log >/tmp/vinetto_hda2.txt


Fuente: http://vinetto.sourceforge.net/
Descargas

Herramienta Forense para el Analisis de Archivos

Windows File Analizer

Cuando se realizan pruebas forenses sobre equipos Windows hay ciertos ficheros que tienen una especial importancia, vital en algunos casos.Esta aplicación decodifica y analiza algunos archivos especiales usados por Windows . Estos archivos contienen información muy interesante para el examinador forense. Por ejemplo el fichero thumbs.db consiste en una pequeña base de datos en donde se guardan las últimas imagenes que se han visto en Windows por el usuario, es una forma mas de acelerar las futuras consultas de las imágenes. Otro fichero importante puede ser el index.dat que contiene todo el registro por donde el usuario ha navegado.


Windows File Analyzer nos permite analizar los siguientes tipos de ficheros:

•Thumbs.db: permite analizar las imagenes que ha registrado este fichero

•Papelera de reciclaje: nos permite analizar los archivos que hay en la papelera de reciclaje

•Accesos directos: WFA nos permite analizar los accesos directos en busca de fechas de última modificación y fechas de creación

•Index.dat: nos permite analizar la información de la navegación (páginas visitadas, cookies, etc)

•Carpeta Prefetch: el prefetch es el sistema que utiliza Windows para mejorar el rendimiento del SO y lo utiliza sobre las aplicaciones mas empleadas. Con esta información podemos saber cuales son las aplicaciones mas utilizadas y sus ultimas fechas de utilización por el usuario.
 
 Fuente: http://www.mitec.cz/wfa.html
 
 Consultas: Prefetch 
 
 Descarga
                

Cómo usar el IE 8 de navegación InPrivate?

Para mantener tu historial de navegación sin  registros. InPrivate navegación en IE 8 ayuda a prevenir que alguien más podría estar usando su computadora de ver donde ha visitado y lo que miró en la web.
Básicamente te permite navegar por Internet anónimamente. Cuando se inicia la navegación InPrivate, Internet Explorer abre una nueva ventana.
La protección que ofrece la navegación InPrivate sólo es en efecto durante el tiempo que utilice esa ventana. Puede abrir tantas fichas como desee en la ventana, y todos serán protegidos por la navegación InPrivate.
Para abrir la navegación InPrivate, haga clic a continuación, elija Seguridad de exploración InPrivate:

Aparecerá una nueva ventana. Usted debería ver el InPrivate etiqueta de la nueva ventana. Utilícelo para navegar por páginas web que usted no debe registrarse.

Tome nota, sólo con las ventanas InPrivate etiquetas no se registran - todas las demás ventanas de IE se registran en la historia.
Esta es una buena opción si desea visitar una página en privado en un ordenador compartido. La forma tradicional es para borrar la historia después de navegar manualmente la dirección URL - podría ser problemático y puede perder otros temas como "cookies" y subsidiarios URL.
Si lo que desea es borrar la historia, puede hacerlo haciendo clic en el borrar historial de navegación bajo el menú de Seguridad:

Todas las páginas de su navegado en la historia registrada en IE serán borrados.

Fuente : http://www.online-tech-tips.com/

PhotoRec, Digital Picture and File Recovery

Software de recuperación de datos diseñado para recuperar archivos perdidos incluyendo video, documentos, archivos de los discos duros, CD-ROM, y por imágenes perdidas de memoria de la cámara digital(de ahí el nombre de FotoRec) . PhotoRec ignora el sistema de archivos y va después de los datos subyacentes, por lo que seguirá funcionando incluso si su sistema de archivo de los medios de comunicación se ha visto gravemente dañado o formateado.

Fuente: http://www.cgsecurity.org/wiki/PhotoRec


Descarga

Windows
Linux kernel 2.6
Linux kernel 2.4

AnalogX TextScan

Proporciona una forma rápida y fácil de encontrar los detalles de casi cualquier programa. AnalogX textSCAN busca cualquier archivo binario para una cadena de longitud mínima y máxima, para luego, devolver todas las apariciones de forma ordenada . Pero no se detiene allí, sino que también tiene la capacidad de identificar la mayoría de las funciones y dentro del DLL de un archivo, e incluso tiene la capacidad de extraer tanto cadenas char y unichar. Este es un gran primer paso para conseguir una mejor comprensión de lo que está sucediendo dentro de un programa que te interesa.

Fuente : http://www.analogx.com/
Descarga

Winen.exe herramienta para creación de imagen bit a bit de la memoria RAM

Los ejecutables Winen puede funcionar como una herramienta de línea de comandos. Puede ejecutar Winen.exe desde una unidad USB que se enchufan en la máquina objetivo. Usted necesita privilegios de administrador local.

Si puede ejecutar Winen.exe desde una unidad USB y le solicitará la información necesaria necesarias para crear el archivo de imagen.

Winen 64 bits
Winen 32bits

Disk Explorer

Este explorardor de discos brinda acceso a bajo nivel de su disco duro. Puede cambiar varios a puntos de vista, como hexadecimal, texto, directorio, las entradas de MFT, la tabla de particiones, registro de inicio.

Fuente : http://www.runtime.org/diskexplorer.htm
Desacargas:
Versión NTFS
Versión FAT
Verisón LINUX

Facebook se convierte en prueba de infidelidad ante un divorcio

Evidencias llegan a través de las principales redes sociales. Álbumes, perfiles o tweets sirven en los juicios

Hace poco una clienta de unos 30 años llegó al despacho de Ken Altshuler, abogado de Carolina del Norte, solicitando el divorcio de su marido. La mujer demandó a su cónyuge por haber vuelto a caer en el alcoholismo y quería alejarse de él por eso.

El marido lo negó, pero un amigo en común de la pareja encontró unas fotos en Facebook en que se observa al hombre con una botella de cerveza en la mano y bebiéndola. Las imágenes fueron presentadas en el juzgado y la mujer ganó el caso.

PRUEBAS SÓLIDAS

“Facebook es una gran fuente de evidencia “, dijo Altshuler. “Son pruebas sólidas, porque él es el autor. ¿Cómo se puede negar eso?”, indicó a la CNN.
El letrado explicó que las redes sociales han creado pruebas de valor incalculable para el mundo jurídico, sobre todo en los casos de divorcio.

En ese sentido, los álbumes de fotos, perfiles, comentarios en el muro, actualizaciones de estado o tweets se convierten en pruebas y pistas en los juicios.

Por estas razones, algunos abogados ya están aconsejando a sus clientes que se enfrenten a un divorcio o custodia, que tengan cuidado con la actualización de estados y verifiquen quién es realmente un “amigo”.

Fuente: http://elcomercio.pe/

Cálculo de Hash

Para el cálculo de has pueden visitar FileFormat donde prodan ver en cálculo del hash con los diferentes algoritmos.

Fuente : http://www.fileformat.info/tool/hash.htm

Función del hash en el Computo Forense

Una función de hash es una función para resumir o identificar probabilísticamente un gran conjunto de información, dando como resultado un conjunto imagen finito generalmente menor (un subconjunto de los números naturales por ejemplo). Varían en los conjuntos de partida y de llegada y en cómo afectan a la salida similitudes o patrones de la entrada. Una propiedad fundamental del hashing es que si dos resultados de una misma función son diferentes, entonces las dos entradas que generaron dichos resultados también lo son.

El hash puede ser utilizado para posteriormente la integridad de la evidencia de la imagen forense cuando es creada.

Existen dos Tipos de algoritmos de hashing MD5 Y SHA:

MD5
En criptografía, MD5 (abreviatura de Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5) es un algoritmo de reducción criptográfico de 128 bits ampliamente usado

La codificación del MD5 de 128 bits es representada típicamente como un número de 32 dígitos hexadecimal. El siguiente código de 28 bytes ASCII será tratado con MD5 y veremos su correspondiente hash de salida:

MD5("Esto sí es una prueba de MD5") = e99008846853ff3b725c27315e469fbc

Un simple cambio en el mensaje nos da un cambio total en la codificación hash, en este caso cambiamos dos letras, el «sí» por un «no».

MD5("Esto no es una prueba de MD5") = dd21d99a468f3bb52a136ef5beef5034

Otro ejemplo serí­a la codificación de un campo vací­o:
MD5("") = d41d8cd98f00b204e9800998ecf8427e

VER MAS SOBRE MD5
 
SHA
 
La familia SHA (Secure Hash Algorithm, Algoritmo de Hash Seguro) es un sistema de funciones hash criptográficas relacionadas de la Agencia de Seguridad Nacional de los Estados Unidos y publicadas por el National Institute of Standards and Technology (NIST). El primer miembro de la familia fue publicado en 1993 es oficialmente llamado SHA. Sin embargo, hoy día, no oficialmente se le llama SHA-0 para evitar confusiones con sus sucesores. Dos años más tarde el primer sucesor de SHA fue publicado con el nombre de SHA-1. Existen cuatro variantes más que se han publicado desde entonces cuyas diferencias se basan en un diseño algo modificado y rangos de salida incrementados: SHA-224, SHA-256, SHA-384, y SHA-512 (llamándose SHA-2 a todos ellos).

En 1998, un ataque a SHA-0 fue encontrado pero no fue reconocido para SHA-1, se desconoce si fue la NSA quien lo descubrió pero aumentó la seguridad del SHA-1.

VER MAS SOBRE SHA

Fuente: es.wikipedia.org/wiki/Hash

Analisis Forense a Dispositivos Moviles

Tulp2g es una herramienta sólo para plataformas Windows y que requiere, desde esta nueva versión, .NET 2.0 para poder funcionar. Es un buen producto, sobre todo teniendo en cuenta que la gran mayoría de herramientas forenses para móviles es de tipo comercial y no se caracterizan precisamente por ser baratas.

Este es un desarrollo del Netherlands Forensic Institute, y su principal objetivo es la extracción y decodificación de datos de dispositivos móviles, concretamente, teléfonos móviles y tarjetas SIM, ya que pese a que TULP2G pretende ser un framework de forensia completo, en la actualidad los plugins que trae están orientados a teléfonos y SIMs exclusivamente.

Fuente: http://tulp2g.sourceforge.net/
Descarga

Rastreo de emails

Cuándo ingresemos a nuestras bandejas de entrada casi pasa inadvertida la forma en que nuestros emails se distribuyen a través de la red. Sin embargo por la misma razón nosotros como investigadores podemos saber desde donde fue enviado un email.Por ejemplo, en el caso especifico de hotmail, si le hacemos click derecho a un email (Lo he probado con un email que venga desde hotmail también) y seleccionamos en donde dice ver código fuente nos  mostrará algo así :

X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0xO0Q9MTtTQ0w9MA==
X-Message-Status: n:0
X-SID-PRA: Nombre del Remitente xxxxxxxxxxx@hotmail.com
X-SID-Result: Pass

X-AUTH-Result: PASS

X-Message-Info: JGTYoYF78jHQDSMsSC45TCUp1O1fhD9+piHXJ0isbvxn8tfP2hdBZ4M81oIH1nukzxfaZB/5eSoaBpn2rz4LhCsG6DXZUl0Q

Received: from snt0-omc3-s26.snt0.hotmail.com ([65.55.90.165]) by BAY0-PAMC1-F7.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Tue, 8 Jun 2010 19:29:45 -0700
Received: from SNT114-W26 ([65.55.90.136]) by snt0-omc3-s26.snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Tue, 8 Jun 2010 19:29:44 -0700
Message-ID:
Return-Path: XXXXXXXXX@hotmail.com
Content-Type: multipart/alternative;

boundary="_ef52347c-0378-4afc-8836-4e13cfe63efd_"

X-Originating-IP: [XXX.XXX.XXX.XXX]

La cabezera de este mail puede ser analizada en http://www.gaijin.at/olsmailheader.php .Por seguridad cambie los datos originales.En el lugar de las aspas rojas nos va mostrar la ip de donde se originó el email, y algunos datos del mail.La examinación en este tipo de casos es desde abajo hacia arriba, es decir, los datos de mas abajo son datos del remitente y los de arriba del receptor.

Luego una vez que se tiene la ip pueden acudir a esta página http://www.whois.sc/ en la cual se les dará información acerca del servidor que los envió.

Por otro lado para entender un poco más el recorrido que hace el email pueden ver la siguiente imágen.

Deshabilitar la escritura de los USB

Es muy impotante antes de hacer una imagen bit a bit por ejemplo de una memoria USB se debe realizar un cambio al registro de Windows, porque de no ser asi modificariamos la evidencia  (USB) con lo cual podriamos resultar implicados de alguna manera.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
“WriteProtect”=dword:00000001  
 
EnableUSB
 
DisableUSB
Una vez que hace el cambio en el registro, tendras que reiniciar el sistema para que los cambios surtan efecto. También se debe tener en cuenta que si estas usando este truco, debes asegurarte que los usuarios no son administradores en el equipo, ya que podría fácilmente cambiar esta configuración.

Esto funciona en Windows Vista también.

Fuente: http://www.howtogeek.com/

Partition Find and mount 2.31

Partition Find & Mount implementa un nuevo concepto recuperación de particiones perdidas o borradas, también trabajará en el caso que el boot record (incluyendo el Master Boot Record) esta dañada, sobrescrita o perdida.

Fuente: http://findandmount.com/
Descarga

Forense al registro de Windows

El registro de Windows contiene jerarquicamente valores de configuracion almacenados en archivos con extension propia. Dentro de los archivos hay un conjunto organizado de hives(colmenas) que conforman bloques en si mismos del registro. En cada hive existe una lista keys(llaves), todas estas llaves tienen un nombre/valor y subkeys. Todas estas se encutran ubicadas en una de las 5 hives del registro.

El registro contiene informacion valiosa para el investigador que apoya en el aspecto del analisis forense.Aqui se almacenan configuraciones y opciones que contiene el Sistema Operativo Windows tanto como a bajo nivel como tambien las ejecuciones en la plataforma:Kernel, Drivers, services, SAM, interfaze de usuario, aplicaciones de tercero, todos estos utilizan el registro de Windows.

En ejecutar >Regedit o que es lo mismo win + r >Regedit


En el Regitro tenemos las 5 llaves Matriz que son:

HKEY_CLASSES_ROOT  (HKCR): Almacena asociación de archivos, e información

de Microsoft Component Object Model (DCOM).

HKEY_CURRENT_USER (HKCU): Almacena información específica del usuario,

perfiles de usuarios, uso de aplicaciones, actividad individual de internet.

HKEY_LOCAL_MACHINE (HKLM):  Almacena configuración del hardware y software

como también la configuración de seguridad del sistema.

HKEY_USERS (HKU): Almacena toda la información de configuración de todos los

usuarios del sistema.

HKEY_CURRENT_CONFIG (HKCC):  Almacena cualquier información de la

configuración del hardware existente. No es muy utilizado en una investigación.

HKEY_DYN_DATA (HKDD) (Win 9X) Almacena datos dinámicos.
 
El editor de registro nos muestra la estrucuta logica.Fisicamente es almacenado en varios archivos.Windows almacena el registro en archivos binarios separados llamados hives, para cada hive, windows crea copia de respaldo de cada respectivo hive que restaura el hive durante una falla en el boot del sistema
 
HKLM\SAM ­>  SAM, SAM.LOG
HKLM\SECURITY ­> SECURITY, SECURITY.LOG
HKLM\SOFTWARE ­> software, software.LOG, software.sav
HKLM\SYSTEM ­> system, system.LOG, system.sav
HKLM\HARDWARE ­> (Dynamic/Volatile Hive)
HKU\.DEFAULT ­> default, default.LOG, default.sav
HKU\SID ­> NTUSER.DAT // HKU\SID_CLASSES ­> UsrClass.dat, UsrClass.dat.LOG

Ubicaciones del registro de archivo Windows: (Windows NT/2000/XP/2003 )

* HKEY_CURRENT_USER: Ubicado bajo el directorio del perfil del usuario
(Documents and Settings\Profilename\NTUser.dat en 2000/XP/2003 o
%SYSTEMROOT%\profiles\Profilename\NTUser.dat en NT)
* HKEY_CURRENT_CONFIG: Tomado del archivo HKEY_LOCAL_MACHINE\SYSTEM
* HKEY_CLASSES_ROOT: Tomado de los archivos HKEY_CURRENT_USER y
HKEY_LOCAL_MACHINE\SOFTWARE.
* HKEY_LOCAL_MACHINE\
 ­ HARDWARE: Una llave dinámica construida por Windows al inicio.
 ­ SAM: %SYSTEMROOT%\System32\Config\SAM
 ­ SECURITY: %SYSTEMROOT%\System32\Config\SECURITY
 ­ SOFTWARE: %SYSTEMROOT%\System32\Config\SOFTWARE
 ­ SYSTEM: %SYSTEMROOT%\System32\Config\SYSTEM
 ­ HKEY_USERS: Construida de los archivos de perfil de usuario NTUser.dat.
 
 
Para visualizar  los archivos del registro estan en C:\Windows\System32\config , para verlos tienen que hacer la imagen bit a bit que esta en una de las entradas de mayo en este blog, y luego usar el registry que esta aqui mismo.Espero que les sirva.

Borra de forma segura Discos duros y memorias USB con Disk Wipe

Formatear una tarjeta de memoria o un disco externo no asegura que quede totalmente limpio. Normalmente suelen quedar restos de los ficheros eliminados.

Disk Wipe es un borrador de discos en dos pasos. Primero formatea la unidad, y luego aplica uno de los siete algoritmos de borrado seguro disponibles, como el GOST, el HMG o los del DoD.

Disk Wipe es un borrador de discos ideal en aquellas situaciones en las que necesites asegurarte que el disco quede libre de información confidencial

Fuente: http://www.diskwipe.org/
Descarga

Npros .... Una muy buena opción para iniciar en el Computo Forense en el Peru

Bueno el motivo por el cual deje de postear por poco mas de una semana es porque segui un curso de Fundamentos de Computo Forense con esta empresa altamente recomendable y el capacitador Alonso Caballero  a mi parecer hizo una exposicion del tema  muy objetiva con interesantes propuestas, tambien dictan otros temas como hacking etico, etc.

Para mas informacion: http://www.npros.com.pe/

Registry viewer 1.6 Herramienta para analizar el registro de Windows

                       

AccessData  Registry Viewer  te permite ver el contenido del sistema de registros de Windows en funcionamiento. A diferencia de Windows Editor del Registro, que muestra sólo el sistema actual del Registro, Registry Viewer te permite ver archivos de registro de cualquier del sistema. Registry Viewer también permite acceder a un registro de almacenamiento protegido, que contiene las contraseñas, nombres de usuario, y otra información no accesible en el Editor del Registro de Windows.

Descarga

Fuente: http://www.accessdata.com/