DPAPI 最大的特点是,它将加密数据和加密密钥都存储在本地。这意味着,只要我们能够以目标用户的身份登录系统,或者能够获取到该用户的主密钥(Master Key),我们就能解密所有被 DPAPI 加密的数据
而这个“主密钥”通常是和用户的登录密码哈希相关联的。一旦我们通过各种手段(如内存转储、LSASS 进程攻击)获取了用户的凭证哈希,我们就可以利用专门的工具来解密主密钥,进而解密所有 DPAPI 加密的数据