在本文中,我们将演示使用数据提取程序(Data Extractor)来识别使用FileVault加密的Macintosh系统中的加密密钥地点。我们还将分享一些使用数据提取程序(Data Extractor)以获得最大效果的技巧和技术。有关FileVault选项的基本介绍,请参阅简介。
我们首先探索了“(Mac OS X)Boot恢复HD”磁盘一段时间,我们注意到有FileVault分区的加密密钥。
当我们输入FileVault分区的密码时,会应用此密钥。它名为“EncryptedRoot.plist.wipekey”,位于“com.apple.corestorage”文件夹中。
我们正在获取此文件并将其保存在本地磁盘上的特殊位置。
在某些情况下,此文件可以位于其他位置或被删除。
我们的目标是在输入加密分区的密码时上传这个文件,所以尽管我们不知道这个文件的写入位置,但我们知道文件的确切名称,可以在其他地方找到它。
当文件被删除或分区被格式化时,我们分别使用“扫描目录文件”选项或“分区分析”。
我们创建了一个加密分区的数据位图。
当您为加密分区建立数据位图时,这是一个重要参数:数据提取程序(Data Extractor)要求您创建驱动器的子映射。它看起来是这样的:
关键是FileVault解密过程对扇区地点敏感。当我们建立驱动器的子映射时,扇区被移动,数据提取程序(Data Extractor)无法找到支持扇区并解密分区。所以,我们的选择是“否”。
应用数据位图作为加密磁盘并输入密码。
这重新生成了以下报告:
最后,我们得到了文件结构:
打开文件:
当您无法使用数据提取程序(Data Extractor)解密FileVault分区时,请密切关注这些功能。这可能不是一个常见的问题,但我们希望在某些情况下对您有所帮助。
数据恢复快乐!
附件: title.jpg (2024-6-21 14:15:21, 31.92 KB) / 下载次数 23附件: 07.jpg (2024-6-21 14:15:20, 197 KB) / 下载次数 29附件: 06.jpg (2024-6-21 14:15:20, 62.49 KB) / 下载次数 21附件: 05.jpg (2024-6-21 14:15:20, 39.3 KB) / 下载次数 28附件: 04.jpg (2024-6-21 14:15:20, 26.84 KB) / 下载次数 25附件: 03.jpg (2024-6-21 14:15:20, 85.57 KB) / 下载次数 29附件: 02.jpg (2024-6-21 14:15:19, 43.71 KB) / 下载次数 24附件: 01.jpg (2024-6-21 14:15:19, 100.5 KB) / 下载次数 29| 欢迎光临 PC3000 军达成数据恢复论坛 (http://www.jundacheng.com/bbs/) | Powered by Discuz! X2 |