Bir Önceki yazılarımızda EFS kullanımında başımıza gelebilecek kötü durumlarıve bu durumlarla thirtparty yazılım kullanmadan nasıl başa çıkabileceğimizi görmüştük.Ancak EFS ile dosya şifreleyen bir kullanıcının, kullanıcıhesabısilinirse ve kullanıcının EFS sertifikasıönceden yedeklenmediyse, ortamda da bir DRA yoksa dosyalarıkurtarmak mümkün değildir.

Böyle bir durumda kullanımıçok kolay olan Elcomsoft Advanced EFS Data Recovery ile kullanıcının şifreli dosyalarındaki bilgileri kurtarmamız mümkün. (http://www.elcomsoft.com adresinden deneme sürümüne ulaşabilirsiniz)

Senaryomuzda Zeynep kullanıcısıEFS kullanarak önemli bir dosyayışifreledikten sonra kullanıcıhesabısilinecek ve bu şifreli dosyada bulunan bilgileri kurtaracağız.

Zeynep kullanıcısının c:\zeynep_private\raporlar.txt dosyasıçok önemli ve gizli bilgiler içerdiğinden kullanıcıbu dosyayıEFS kullanarak şifrelemek istiyor.

KullanıcıEncrypt contents to secure data seçeneğini işaretleyerek dosyasınıEFS ile şifrelemiş oluyor.

şifreleme yapıldıktan sonra aktif hale gelen “Details” butonuna bastığımızda dosyaya sadece Zeynep kullanıcısının erişim hakkıolduğunu doğruluyoruz.

şekilde de görüldüğü gibi bu dosyadaki verileri kurtarmak için kullanılabilecek bir Data Recovery Agent yok.

Zeynep kullanıcısının hesabınısilip dosyayıkurtarılamaz hale getiriyoruz.

Kullanıcının hesabınısildik ve şimdi de şifrelediği dosyadaki verilere ulaşmaya çalışalım. Administrator olarak dosyanın sahipliğini alalım.

Dosyanın sahipliğini aldıktan sonra şifrelemeyi kaldırmaya çalışalım.

Ancak dosyanın şifresini kaldırabilmemiz için dosyanın sahipliğini bile almamız yetmez ve dosyanın sahibi bile olsak şekildeki gibi “Access is denied” mesajınıalırız. Çünkü EFS ile NTFS haklar birbirinden bağımsızdır. Bize tam olarak gereken kullanıcının EFS sertifikasındaki private key’dir. Eğer private key’i elde edersek dosyayıdeşifre edebiliriz.

Daha önceki yazılarımızda kullanıcının EFS sertifikasınıbir pfx dosyasına export edip kendimize import ederek kullanıcının EFS uyguladığıtüm dosyalara erişim sağlayabilmiştik. Ancak şu an kullanıcının sertifikasınıexport ettiği bir pfx dosyasına sahip değiliz. Sertifikayışimdi export etmek istersek de private keyi almamız engellenecek.

Private key bulunamadıbu yüzden sertifika ile birlikte export edemiyoruz. Halbuki private key kullanıcının profilinde duruyor ancak export işlemini yapan EFS’i uygulayan kişi olmadığıiçin export işleminde kullanıcının private key’inin export edilmesine izin vermiyor.

Aşağıdaki şekilde de görüldüğü gibi kullanıcının private keyi profilinde duruyor. Dosyalarındaki bilgilerini kurtarmamızıisteyen kullanıcıbize şifresini de söylüyor ancak third party araç kullanmadan elimizden bir şey gelmiyor.

Ä°şte bunun gibi bir durumda Elcomsoft programıile kullanıcının şifrelediği dosyasında bulunan bilgileri kurtarmamız mümkün.

Elcomsoft programının kurulumuna başlıyoruz.

Programın kurulum yerini belirledikten sonra next butonu ile ilerliyoruz.

Kurulum çok kısa bir süre içerisinde tamamlanıyor.

Program EFS ile birlikte bir çok uygulama için kurtarma aracıgetiriyor.

Elcomsoft programınıaçıp Advanced EFS Data Recovery aracına ulaşıyoruz.

Programıaçtığımızda sihirbaz otomatik olarak geliyor ve bu sihirbaz ile kolayca istediğimiz verilere ulaşabiliriz.

Next butonu ile bir sonraki adıma geçiyoruz.

Bu adımda EFS uygulayan kullanıcının private key’ini bulmak için taramamız gereken sürücüyü seçiyoruz. Private key hala kullanıcının profilinde duruyor (C:\Documents and Settings\zeynep\Application Data\Microsoft\Crypto\RSA klasöründen kullanıcının private key’ine erişebiliriz bu yüzden C sürücüsünü seçiyoruz.)

Private key’leri bulmak için belirlediğimiz sürücü üzerinde tarama gerçekleştiriliyor.

Kullanıcının private key’i bulundu ancak bunu deşifre edebilmemiz için kullanıcıadıve şifresine ihtiyacımız var. Kullanıcının adıve şifresini girdikten sonra “Add” butonuna tıklıyoruz ve “Next” ile devam ediyoruz. Eğer aynıdurumda olan birden fazla kullanıcıvarsa sonraki adımda onların da kullanıcıadıve şifrelerini ekleyip aynıanda birden fazla EFS uygulanmış farklıkişilerin dosyalarına ulaşabiliriz.

Kullanıcıadıve şifresini verdiğimiz kullanıcının private key’i deşifre edildi. Next butonu ile ilerleyip sonraki adımda dosyalarıtaramaya başlayacağız.

Bus adımda kullanıcınıverilerini kurtarmak istediğimiz EFS uygulanmış dosyalarınıtaratacağız bu yüzden de dosyaların bulunduğu sürücüyü seçiyoruz.

Belirlediğimiz sürücü üzerinde EFS uygulanan dosyalar taranıyor.

Kullanıcımızın EFS uyguladığıve şimdi de kullanıcıhesabısilindiği için ulaşamayıp içindeki verileri kurtarmamız için bize başvurduğu dosyayıbulduk. Dosyayıdeşifre etmek için “next” butonuna basıyoruz.

Bulduğumuz dosya deşifre ediliyor.

Dosya içeriği deşifre edildi ve dosyadaki verileri nereye çıkarmak istediğimizi belirliyoruz. Zira bu programın yaptığısadece kullanıcının private key’ini kullanarak dosyanın içindeki bilgileri başka bir lokasyona kurtarmak, orjinal dosyayıdeşifre etmek değil.

Dosyanın çıkaralıcağıyeri belirttikten sonra edşifre işleminin başarıyla bittiğini söylüyor ve “finish” butonuna basıp sihirbazdan çıkıyoruz.

Dosyanın çıkarılacağıdizine gittiğimizde EFS uygulanan dosyanın içeriğinin düzgün şekilde deşifre edildiğini görüyoruz.

şekilde de görüldüğü gibi Elcomsoft Advanced EFS Data Recovery ile EFS uygulanan dosyayı, dosyayıaçacak private key’i, bu key’in bulunduğu profili kullanan kullanıcının kullanıcıadı ve bu kullanıcının bu key’i kullanıyorken kullandığılogon password’ünü gösterdikten sonra çok kolay bir şekilde kurtarabiliyoruz.

Powered by MightyAdsense

Benzer Yazılar

• Vmware Workstation 6.0 (0)
• VMware kullanımı{sanal pc’ye xp kurulumu resimli anlatım} (1)