[Deðerli Ziyaretci, linki görmeniz icin bu mesaja cevap yazmanýz gerekiyorÜye olmak icin burayý týklayýnýz]
Tüm disk þifrelemesini kýrmak için þifrelenmiþ birim anahtarlarýný elde edebileceðiniz boot edilebilir bir USB belleði nasýl hazýrlayacaðýnýzý bu yazýmýzda anlatýyoruz.

Tam disk þifreleme, biliþim uzmanlarýnýn karþýsýna ciddi bir engel olarak çýkýyor. Þifrelenmiþ sistem birimlerine sahip bilgisayarlar ele geçirildiði zaman, þifreleme kýrýlmadan araþtýrmayý ilerletmek mümkün olmuyor. Geleneksel olarak, uzmanlar öncelikle sabit diskleri çýkarýr ve disk imajlarýný alýp bunun üzerinde çalýþýr. Ancak tüm disk þifrelemesini kýrmak için bir USB bellek aracýlýðýyla bilgisayarý boot etmek de yeterli. Elcomsoft tarafýndan üretilen araçlar sayesinde þifreleme için kullanýlan anahtarlarý elde etmek ve hatta sistem yüklü olmayan bölümler için sistem dosyalarýný kullanarak bu anahtarlarý kolaylýkla elde etmek mümkün.
Sistem dizini þifrelendiði zaman þifrelemeyi kýrmak dýþýnda yapýlacak bir þey bulunmuyor. Elcomsoft System Recovery, baþlangýç parolasýný kurtarmak için çeþitli yöntemler deniyor ve þifrelenmiþ dizinleri koruyan þifreleme anahtarlarýný sistemin hazýrda beklet dosyasýný kullanarak dakikalar içinde elde edebiliyor.
Özellikle ultrabook’lar, laptoplar, Windows tabletler gibi çýkarýlamayan, lehimlenmiþ ya da standart olmayan depolama alanlarý kullanan cihazlarda bu yöntem oldukça faydalý. Uzmanlar þifrelenmiþ birimlere yapacaklarý saldýrý için gerekli bilgiyi birkaç týklama ile elde edebiliyor.
Elcomsoft System Recovery, tüm bu iþlemler için üst düzey bir uyumluluk ve güvenlik sunuyor. Lisanslý Windows PE ortamý kullanarak tam donaným uyumluluðunu ve güvenli baþlatma özelliði ile korunan sistemler için boot desteðini saðlýyor. Üstelik iþlemler sýrasýnda disklere ve depolama birimlerine sadece okuma modu ile baðlanarak adli açýdan mantýklý bir veri elde etme imkaný sunuyor.
Elcomsoft System Recovery Aracýný Kullanarak Boot Edilebilir USB Bellek Oluþturmak

Orijinal parolalarý kýrmak amacýyla kullanýlacak bilgileri elde etmek için þifrelenmiþ birimin küçük bir parçasýna ihtiyaç duyuyorsunuz. Sistemi Windows PE USB belleði üzerinden boot edip Elcomsoft System Recovery aracýný kullanarak Windows hesaplarýnýn kilidini açabilir ve þifrelenmiþ birimlere eriþebilirsiniz. Üstelik araç USB belleði kolaylýkla oluþturabilmeniz için size kolaylýk da saðlýyor.

  1. Ýlk olarak [Deðerli Ziyaretci, linki görmeniz icin bu mesaja cevap yazmanýz gerekiyorÜye olmak icin burayý týklayýnýz] aracýný yükleyin.
  2. Boþ bir USB belleði bilgisayarýnýza takýn ve aracý çalýþtýrýn.
  3. Hedef sürücüyü seçin ve dosya sistemini tanýmlayýn. Doðru bölümleme þemasýný seçtiðinizden emin olun. FAT32 MBR, BIOS eski bilgisayarlar çalýþýrken; FAT32 MBR, UEFIx64 Secure Boot özelliðine sahip yeni bilgisayarlar için gereklidir. Bazý cihazlar 64-bit iþlemcilerle yüklü olmasýna raðmen 32-bit modu içerisinde çalýþýr (Lenovo ThinkPad 8 gibi) ve FAT32 MBR, UEFIx32 þemasýnýn seçilmesini gerektirir.
  4. Format seçeneðine týklayýn. Elcomsoft System Recovery, Windows PE ortamý ve ESR aracýnýn yüklü ve ayarlý olduðu bir boot edilebilir USB bellek oluþturacak.

Gerekli bilgiye eriþmek için kullanabileceðiniz iki farklý yöntem bulunuyor.
Ýlk Yöntem : Þifreleme Anahtarlarýna Eriþmek Ýçin Hazýrda Bekletme Dosyalarýný Elde Etmek

Þifrelenmiþ birimler, parolalarý üzerine yapýlacak saldýrýlara dayanacak þekilde tasarlanmýþtýr. Fakat sýklýkla tercih edilen BitLocker cihaz þifrelemesi ise tam disk þifreleme sunmasýna raðmen bir parola da kullanmaz. Parolalarý kaba kuvvet yoluyla elde etmek zaman tüketici olduðu için farklý yöntemler ortaya çýkarýlmýþtýr.
Tüm þifrelenmiþ birimler ayný zamanda güvenlik açýðý oluþturan bir özelliðe sahiptir. OTFE (on-the-fly encryption) anahtarlarý, normal iþlemler sýrasýnda sistem tarafýndan verileri þifreleyip þifresini çözmek için kullanýlan ikili anahtarlardýr. Þifrelenmiþ veriye okuma yazma iþlemi gerçekleþtirildiði sýrada anahtarlar sistemin kýsa süreli belleðinde depolanýr. Bu anahtarlarý Elcomsoft Forensic Disk Decryptor aracýný kullanarak elde etmek de mümkündür.
Kullanýcý bilgisayarýný uykuya aldýðýnda (kapatmak yerine) Windows hibrit uyku olarak adlandýrýlan bir moda geçer. Bu uyku sýrasýnda Windows, kýsa süreli belleði bilgisayarýn sabit diskine kaydeder. Böylelikle kaydedilen durum güç kesintisinden kurtulabilir. Ayý zamanda bilgisayarýn RAM çipleri veriyi tutmak için güç çekmeye devam eder. Eðer uyku boyunca güç kesilmezse bilgisayar neredeyse anýnda çalýþmaya devam eder. Ancak batarya tükendiðinde ya da güç kesintisi olduðunda Windows, sabit disk üzerine kaydedilmiþ RAM içeriðini yükler. Yüklenilen bu dosyaya da hazýrda bekletme dosyasý adý verilir. Windows bu dosyayý “hiberfil.sys” adýyla depolar. Bu dosya þifrelidir ancak bu þifrelemeyi kýrmak mümkündür.
Eðer bilgisayar þifrelenmiþ bölüm baðlanmýþ halde uykuya alýnýrsa OTFE anahtarlarý da sistemin hazýrda bekletme dosyasý içinde depolanýyor olabilir. Bir USB bellek aracýlýðýyla bilgisayar baþlatýldýðýnda hazýrda bekletme dosyasý elde edilebilir ve bilgisayar uyku moduna alýndýðýnda baðlý olan þifrelenmiþ bölümlerin OTFE anahtarlarý elde edilebilir. Elcomsoft Forensic Disk Decryptor aracý, OTFE anahtarlarýný çýkartmanýzý ve þifrelenmiþ bölümleri baðlanmanýzý ya da bölümlerin þifresini çözmenizi saðlar.
Sistemin hazýrda bekletme dosyasýný elde etmek için aþaðýdaki adýmlarý uygulayýn:

  1. Elcomsoft System Recovery 6.0 veya daha yeni sürümünü kendi bilgisayarýnýza yükleyin.
  2. Boot edilebilir bir USB bellek oluþturun. Daha önce bahsettiðimiz gibi uygun seçenekleri kullanýn. Hazýrda bekletme dosyasý büyük olabileceðinden en az 32 GB’lýk bir bellek kullanýlmasý tavsiye ediliyor.
  3. Oluþturduðunuz USB belleði hedef bilgisayardan boot edin.
  4. Elcomsoft System Recovery aracý boot iþlemi tamamlandýktan sonra baþlatýlacak. Gelen pencerede “Disk tools” seçeneðini iþaretleyin.
  5. Ardýndan “Copy hiberfil.sys” seçeneðini seçin. Tüm hazýrda bekletme dosyasý USB belleðinize kopyalanacak. Bu yüzden USB sürücüde yeterli alan olduðundan emin olun.
  6. Dosyanýn nerede depolanacaðýný belirtin. Varsayýlan olarak ESR, boot edilen sürücüyü kullanmanýzý tavsiye edecektir. Eðer USB sürücüde yeterli alan yoksa baþka bir ortam da seçebilirsiniz.
  7. Daha sonra hazýrda bekletme dosyasýný bilgisayarýna aktarabilirsiniz. Elcomsoft Forensic Disk Decryptor aracý ile OTFE anahtarlarýný elde edebilir ve þifrelenmiþ birimleri baðlayabilir ya da birimlerin þifresini çözebilirsiniz. Özellikle hazýrda bekletme dosyasý büyükse bu iþlem dakikalar sürebilir.

Eðer þifreleme anahtarlarý hazýrda bekletme dosyasýnda bulunmuyorsa (Þifrelenmiþ birim uyku ya da hazýrda bekletme sýrasýnda otomatik olarak çýkarýlacak þekilde ayarlandýysa) þifreli bölümün parolasýna saldýrý düzenlenmesi gerekir. Bunun için de þifrelenmiþ bölümün birkaç kilobaytlýk þifreleme üstverisini elde etmek gerekiyor.
Ýkinci Yöntem : Þifreleme Üstverisini Elde Etmek ve Parolaya Kaba Kuvvet Saldýrýsý Düzenlemek

Geleneksel yaklaþým, bilgisayarýn ve daha sonra da depolama cihazlarýnýn sökülüp imajýnýn alýnmasý þeklinde gerçekleþtirilir. Ancak saldýrý için gereken yalnýzca birkaç kilobayt deðerindeki þifreleme üstverisidir. Bu üstveriyi elde etmek tüm sabit diskleri sökmeden hýzlýca elde edilebilir.
Elcomsoft System Recovery, USB bellek ile boot edilerek bilgisayarýn depolama cihazlarýna sadece okuma modlu eriþim saðlamaya olanak tanýyor. Araç otomatik olarak, tüm dahili ve çýkarýlabilir sürücüler için tüm disk þifrelemeyi tespit ediyor. Daha sonra þifrelenmiþ disk birimlerinin orijinal parolasýna kaba kuvvet saldýrýsý gerçekleþtirmek için gerekli þifreleme üstverisini elde ediyor. Þifrelenmiþ birimler, parolalara yapýlacak saldýrýlarýn çok yavaþ gerçekleþmesini saðlayacak þekilde tasarlandýðý için sözlük temelli saldýrýlarý Elcomsoft Distributed Password Recovery aracýyla gerçekleþtirmek de iþinizi hýzlandýrabilir.
TrueCrypt ve VeraCrypt benzer formatlarý kullandýðý için bu araçlarý birbirinden ayýrmak çok mümkün deðil. Ne yazýk ki iki araç þifre kýrmaya geldiðinde oldukça farklý bir yol izliyor ve bu yüzden parolaya saldýrý düzenlemeden önce doðru aracý belirtmek gerekiyor.
Ek olarak TrueCrypt ve VeraCrypt kullanýcýlara birçok þifreleme algoritmasý arasýnda seçim yapma imkaný sunuyor. Her algoritma opsiyonel olarak istenilen sayýda tekrarlama ile düzenlenebiliyor. Eðer kullanýcý standart olmayan bir tekrarlama sayýsý belirttiyse bu sayýyý bilmeden parolayý elde etmeniz mümkün olmayacaktýr. Tüm olasý kombinasyonlarý denemek de saldýrý süresini çok uzatacaktýr.
Þifreleme üstverisini elde etmek için aþaðýdaki adýmlarý izleyin:

  1. Daha önce bahsettiðimiz adýmlarý uygulayarak boot edilebilir USB belleði oluþturun ve oluþturduðunuz USB bellek ile hedef bilgisayarý boot edin.
  2. Elcomsoft System Recovery aracý boot iþlemi tamamlandýðýnda açýlacaktýr. Gelen pencereden “Disk tools” seçeneðini iþaretleyin.
  3. Ardýndan “Drive encryption keys” seçeneðini iþaretleyin.
  4. Elcomsoft System Recovery otomatik olarak tüm disk þifrelemeye sahip bölümleri tespit edecek.
  5. Üzerinden çalýþmak istediðiniz birim veya birimleri seçin.
  6. TrueCrypt ya da VeraCrypt birimleri ayný birim formatýný kullandýðý için bunlarý otomatik olarak ayýrt etmek mümkün deðildir. Bu aþamada þifreleme birinin tipini elle seçmeniz gerekecektir.
  7. Hem TrueCrypt hem de VeraCrypt farklý þifreleme ve hash algoritmalarýný kullanmaya olanak tanýdýðý için birimin þifresini çözmek için bunlarý bilmeniz gerekiyor. Bu adýmda bunlarý tanýmlayacaksýnýz.
  8. Eðer kullanýcýnýn þifreleme ve hash algoritmasý tercihi ile ilgili bir þüpheniz varsa bu deðerleri “Unknown” olarak býrakýn. Bu seçenek saldýrýyý yavaþlatacak ve araç birden fazla kombinasyonu denemeye çalýþacak ancak yine de bu yol yanlýþ þifreleme tipini seçmekten daha iyidir.
  9. Þifreleme üstverisi elde edildiði zaman bu dosyalarý Elcomsoft Distributed Password Recovery aracýna aktararak orijinal parolayý elde edebilirsiniz. Parola saldýrýlarý güçlü donanýmlarla bile ciddi miktarda zaman alýr.

Eðer parolayý baþarýyla bulursanýz Elcomsoft Forensic Disk Decryptor aracýný kullanarak þifreli bölümleri baðlayabilir ya da çevrýmdýþý analiz için þifresini çözebilirsiniz.
Ek : RAM Ýmajýný Kullanmak

Aktif bir sistemi analiz ediyorsanýz ve kullanýcý sisteme giriþ yapmýþsa OTFE anahtarlarýný kýsa süreli RAM yedeði alarak elde edilebilirsiniz. RAM imajýný elde etmek için Elcomsoft Forensic Disk Decryptor aracýný kullanýcýnýn aktif sisteminde çalýþtýrmanýz gerekir. Kullanýcý hesabýna giriþ yapýlmýþ ve hesabýn yönetici haklarýna sahip olmasý gerekmektedir.
Ancak aktif sistemlerin analizi tehlikelidir. Elcomsoft System Recovery, güvenli ve sadece okuma modunda iþlem yaparken aktif sistem analizi tam tersi yönde çalýþýr.
RAM imajýný elde etmek için Elcomsoft Forensic Disk Decryptor aracýný USB belleðe yükleyin ve hedef sisteme USB belleði baðlayarak “Dump physical memory” seçeneðini iþaretleyin.

Daha sonra RAM imajýnýn kaydedileceði konumu belirtin ve aktarma iþlemini baþlatýn. Elcomsoft Forensic Disk Decryptor aracýný OTFE anahtarlarýný elde etmek için kullanabilirsiniz.