Şifre Kırmaca Oynuyoruz / Cevap

Şifre Kırmaca Oynuyoruz konusunda bir soru sormuştuk. Aslında bu konularla ilgili bir yazı yazacaktım ancak baktım 1 ay geçti hala bir şey yazacağım yok bari cevabı yazayım dedim.

Cevap şu ki nasıl kıracağınızı bende bilmiyorum :P

Neyse espri yapmaya çalışmayı bırakıp işimize bakalım. Öncelikle şifrenin hanesi kaç haneli olduğu, hangi karakterlerin kullanıldığı vs. önemli değil. Burada önemli olan işlemleri sırayla yapmak.

Amaç EFS ile şifrelenmiş dosyalara ulaşmak bunu yapabilmek için kırmamız gereken 3 şey var.

1. Windows kulanıcı hesabı şifresi 2. System Key(Syskey) 3. EFS.

• Direkt hadi ERD' yi takıp bas reseti demiyoruz zaten ERD kullanıcı hesabı şifresinde başarılı olsada Syskey' i kaldıramıyor.
  
  Öncelikle sistemi ERD Commander veya bir live linux dağımı gibi bir CD ile açıyoruz ve Windows dizininde "system32\config" klasörüne inip "SAM" ve "SYSTEM" dosyalarını başka bir sisteme kopyalıyoruz.
  
  
• Sonra pwdump, SAM Inside veya L0phtCrack gibi bir programa daha önce kopyaladığımız "SAM" dosyasını göstererek ilgili kullanıcının LM veya NT Hash' ini öğreniyoruz. Bu konuda tavsiyem SAM Inside Pro' dur.
  
  
• Şimdi elimizdeki hash' ten kullanıcının şifresini öğrenmemiz gerek. "Neden şifre bulmakla uğraşıyoruz? resetleyelim gitsin" diyebilirsiniz, encrypt edilmiş dosyalara ulaşmak için gerekli.
  
  Tavsiyem şifreyi Astalavista, RainbowTables.net, Plain-Text gibi bir Online Rainbow Table ile kırmanız. Bunların içinde en hızlısı öncedende bahsettiğimiz Astalavista.
  Tabii Online Rainbow Table kullanacaksınız diye bir şey yok, elinizde karakter uzunluğu ve içeriği bakımından yeterli LM veya NT Hash Table' lar varsa onlarıda Cain & Abel veya SAM Inside gibi bir program yardımıyla kullanabilirsiniz.
  
  Buradada EFS' i kırmak için şifreyi öğrendik diğer şifrelerle uğraşmaya gerek yok diyebilirsiniz ancak durum böyle değil, hafızam beni yanıltmıyorsa o userın sisteminden oturum açmamız gerek. Neyse güzel oluyor zaten devam edelim.
  

• Şimdi Hash' ten kullanıcın şifresini bulduk ve ilk kısım bitti. Şimdi ise Syskey' i kaldırmalıyız.
  
  Offline NT Password & Registry Editor programının disket veya CD imajını indirin. Syskey' i kaldırabilen tek uygulama şimdilik bu. Bilgisayarı bu programla açıp Syskey' i kaldırın. Syskey' i kaldırınca sizden admin hesabınıda resetlemenizi isteyecek.
  
  Syskey ve kullanıcı hesabı şifresi kalktı, artık o kullanıcının hesabıyla login olup şifrelediği dosyaları şimdilik görebiliyorsunuz, sonraki adımda görmekle kalmayıp dokunacağız :P
  
  Bu arada görüp dokunamamızın nedeni şifresini resetlemiş olmamız.
  
  
• Bu adımda kullanıcının şifrelediği dosyalara nasıl ulaşabileceğimizden bahsedeceğim.
  
  Bu adımda ailenizin şifre kurtarma yazılımlarını üreten rus yazılım firması ElcomSoft' un başarılı ürünü Advanced EFS Data Recovery' yi kullanacağız.
  
  Bura işin en kolay kısmı zaten, programa diskteki şifreli dosyaları taratacağınız gibi expert moda geçip kendinizde gösterebilirsiniz. Şifrelenmiş dosyaları gösterdikten sonra kullanıcı adı ve 3. adımda öğrendiğimiz kullanıcının şifresini girin sonra gidip patrondan maaşınıza zam isteyin :)
  
  Başka bir şifre kurtarma yazısında görüşmek üzere, esen kalın. Unutmadan şu üstteki amca "Profesör Windows" kendisiyle TechNet' te dolaşırken tanıştım.