FileVault是Mac OS X 10.3及更高版本中使用的高端磁盘加密程序。2003年之后,苹果公司推出的大多数产品都使用FileVault为用户提供了一个可靠的工具来解密主页文件夹和个人数据。FileVault通过防止未经授权访问加密的硬盘驱动器内容,很好地完成了这项工作。没有正确的工具和专业知识,恢复数据专家将无法在苹果电脑上访问数据。
在这种情况下,当加密的驱动器被损坏以启动时,即使对熟练的专业人员来说,也可能是一个严重的挑战。在这篇文章中,我们将描述一种绕过FileVault保护的算法,并给出一些关于从损坏的加密苹果硬盘恢复数据的提示。
以下是FileVault加密方法的示意图:
1. 正在读取包含分区表的MBR(0扇区)。
2. 可选择的高容量驱动器可能有一个附加的GUID分区表(GPT),该表位于MBR之后。
3. MBR或GPT提供3个分区:
A. EFI系统分区:包含Mac OS服务信息;
B. 核心存储(CS):此分区包含加密数据;
C. 恢复HD:需要服务信息来解密用户数据的分区。
4. 恢复HD的卷头是读取首先。然后这个分区的目录文件被加载,目录目录树变得可用。
5. 此分区具有EncryptedRoot.plist.wipekey–一个包含加密卷主密钥(VMK)的文件。访问此VMK需要一个特殊密码。
6. 核心存储分区(卷头、元数据块和卷组描述符)将被解密。
7. 通过元数据,我们可以访问加密数据。
此图仅触及解密受FileVault保护的数据的整个过程的表面。这一过程中任何一步的任何额外并发症都可能使其更具挑战性。
让我们检查一下这样的案例。
最常见的问题是不良行业。通常,位于磁盘开始的扇区获得了大部分写入和重写,因此它们更容易变得不好。MBR、GPT以及FAT元数据可能已损坏。这个特殊的问题看起来可能不是很复杂,但标准的工具集无法解决它。
解决方案是使用主动实用程序和快速磁盘分析从扇区中读取中。数据提取程序(Data Extractor)提供了多种分析方法,如整个驱动器的快速磁盘分析、FAT分区的FAT表扫描、目录文件扫描和HFS+分区的HFS+元数据解析器。
另一个问题是损坏的恢复HD分区的HFS+元数据,其中持有加密密钥。
在这里,最好的解决方案需要制作驱动器的副本并使用该副本。首先,需要找到EncryptedRoot.plist.wipekey。RAW恢复和目录文件的分析是这个案例的强大工具。
在另一个案例中,驱动器的开始和结尾都会出现损坏的零件。在这种案例下,标准工具是完全无用的。
该解决方案需要使用一组特殊的读取中参数创建驱动器的副本,然后扫描副本以查找文件结构。对找到结构的深入分析需要通过建立虚拟文件系统来完成。不得对原始数据进行任何修改。最坏的情况可能需要对文件结构进行GREP搜索。为了在这种案例中取得成功,工程师不仅需要对文件系统和结构有很好的了解,还需要运气好。
解密的核心存储分区上的文件系统可能会出现一些问题。
文件系统分析的不同方法,包括基于位图的已使用和未使用扇区的研究——这些方法将有助于恢复数据并获得完整的报告。
总结,我们一直在说,每个数据恢复工程师都应该跟上时代,因为技术在不断发展。使用适当的设备,即使是像FileVault加密的驱动器损坏这样严重的挑战,有经验的专家也能解决。
附件: 3.jpg (2024-6-19 13:10:56, 30.27 KB) / 下载次数 37附件: 2.png (2024-6-19 13:10:55, 75.24 KB) / 下载次数 37附件: 1.png (2024-6-19 13:10:55, 62.12 KB) / 下载次数 38| 欢迎光临 PC3000 军达成数据恢复论坛 (http://www.jundacheng.com/bbs/) | Powered by Discuz! X2 |