İpucu: Kayıt Defteri’nden SAM ve SYSTEM Dosyalarının Elde Edilmesi

İpucu: Kayıt Defteri’nden SAM ve SYSTEM Dosyalarının Elde Edilmesi

Bir bilgisayardaki yerel hesapların parolaları LM ve NTLM ile özetlenerek, SYSKEY adlı verilen bir anahtarla da şifrelenerek Security Accounts Manager (SAM) dosyasında (veritabanında) tutulur. SYSKEY adı verilen bu anahtar SYSTEM dosyası içerisinde bulunur. SAM ve SYSTEM dosyaları, %SystemRoot%\System32\Config dizininde saklanır. Ancak işletim sistemi çalışıyorken bu dosyalara erişimler yasaklanmıştır. Bu sebeple, yerel kullanıcıların parolalarına ait özet bilgileri, bilgisayar çevrimdışı hale getirilerek alınabilir. Bunun için, bilgisayar USB/CD ile başlatılıp,  SAM ve SYSTEM dosyaları alınır.

• http://www.bilgiguvenligi.gov.tr/donanim-guvenligi/sam-dosyasi-ve-ramdeki-bilgilerin-guvenligi-2.html
• http://ertugrulbasaranoglu.blogspot.com/2012/12/ipucu-makineye-fiziksel-olarak-eriserek.html

Bunun yanında bilgisayarda yerel yönetici hakları elde edilebilmişse, çevrimiçi yollarla da parola özetleri elde edilebilir. Cain & Abel uygulaması bu amaçla kullanılabilir.

Ayrıca, SAM ve SYSTEM dosyaları kayıt defterinden de alınabilir. Bu işlem için, komut satırı yönetici modunda açılır ve aşağıdaki 2 komut çalıştırılabilir.

• reg save HKLM\SAM "C:\Users\Yerel Yonetici\Desktop\SAM”
• reg save HKLM\SYSTEM "C:\Users\Yerel Yonetici\Desktop\SYSTEM”

Bu dosyalardaki yerel kullanıcı parolalarının özetleri Ophcrack veya Cain & Abel gibi uygulamalarla elde edilebilir.