Bugünkü makalemde, Windows işletim sistemine sahip bir bilgisayarın Registry dosyalarının nasıl ayrıştırıldığından ve kullanıcı parolalarının nerede nasıl tutulduğundan bahsediyor olacağım.
SAM (Security Account Manager) dosyası, SYSTEM dosyasındaki SYSKEY anahtarı ile şifrelenmiştir. Şifrelenmiş SAM dosyası içerisinde, yerel kullanıcı hesaplarının parolalarına ait LM ve NTLM hash değerleri bulunmaktadır.
SAM (Security Account Manager) dosyası, SYSTEM dosyasındaki SYSKEY anahtarı ile şifrelenmiştir. Şifrelenmiş SAM dosyası içerisinde, yerel kullanıcı hesaplarının parolalarına ait LM ve NTLM hash değerleri bulunmaktadır.
“C:\WINDOWS\system32\config” dizini altında yer alan SAM ve SYSTEM dosyalarını “reg save hklm\sam C:\sam” ve “reg save hklm\system C:\system” komutlarını kullanarak C: dizini altına kopyalabilirsiniz.
SAM ve SYSTEM dosyaları SAMInside yazılımı ile ayrıştırarak bilgisayarda yer alan kullanıcı hesaplarını ve bu hesaplara ait NTLM Hash'lerini elde edebilirsiniz. Elde edilen NTML Hash değerine karşılık gelen parolayı, Rainbow tabloları ile karşılaştırma imkânı sunan internet sitelerini kullanarak elde edebilirsiniz. (Aşağıda yer alan internet sitesi: https://crackstation.net/)
Ayrıca, SYSTEM dosyasını Regripper isimli yazılım ile ayrıştırarak, bilgisayara takılan harici depolama aygıtlarının bilgilerini ve bilgisayarın almış olduğu son IP adresi bilgisi gibi birçok veriyi elde edebilirsiniz.
RegRipper, SAM, SYSTEM, SOFTWARE ve NTUSER.DAT dosyalarını ayrıştırabilen otomatik bir Registry ayrıştırıcısıdır. Kayıt defteri dosyalarının içeriğini incelemek için kullanılmaktadır.