本帖最后由 JDCTS5 于 2024-6-18 13:24 编辑
PC-3000数据提取程序(Data Extractor)。APFS。第1部分 朋友们,您好, 众所周知,文件系统在数据恢复中起着至关重要的作用。在过去的30-40年里,它们发展了很多。某些文件系统是特定于特定操作系统的。例如,HFS和HFS+已经在苹果设备中使用了30多年。 APFS是从开发的,自2017年起成为苹果设备的标准文件系统。
HFS于1985年首先推出,并于1998年推出HFS+时进行了重大更新。HFS和HFS+文件系统的主要问题是缺乏功能、性能低、容量有限、不适合SSD驱动器以及安全级别低。 APFS于2016年9月作为MacOS 10.12的一部分推出,代号为“Sierra”。APFS不是HFS+的扩展。HFS+的特殊文件,如目录文件、属性文件、分配文件和扩展溢出文件,在APFS中已不存在。APFS使用不同的方法来确保文件系统中的安全更改。
以下是APFS容器的主要块
其中,APFS容器是APFS“域”,同时具有文件、文件夹和其他结构的元数据和数据。容器被划分为多个卷,这些卷是容器的逻辑部分。容器是在GUID中定义的,但卷不是。但是,在操作系统GUI中,我们可以在Finder应用中看到卷,但看不到容器本身。 APFS不使用像HFS+那样的日志系统。当每个文件系统状态都基于以前的状态时,APFS以原子样式运行。此功能称为原子安全保存(ASS),可确保操作的原子性。当内存中的文件系统数据存储到APFS容器中时,将创建一个新检查点。每个检查点都有一个检查点超级块(CSB)。最近的CSB成为主超级块(MSB)。每个CSB都知道在哪里可以找到上一个和下一个CSB。MSB知道原始CSB的位置。 APFS文件系统的主要部分有: § 容器超级块。它包含有关整个APFS容器的信息,如块大小限制、块总数和以前的检查点。容器超级块是文件系统的最高级别。 § 检查点超级块描述符。它包含有关元数据和CB的信息。该块中最重要的信息是位图结构(BMS)的地点,即HFS+中的前一个分配文件。 § 位图结构。它保存了已使用和未使用块的记录。它覆盖了整个容器,对文件系统的所有卷都是通用的。 § 体积超级块。它包含有关卷的信息。 § 文件和文件夹B树。它记录卷中的所有文件和文件夹。它执行与HFS+中的目录文件相同的功能。 § 扩展B-树。范围是对文件内容的引用,其中包含有关数据内容开始位置和块长度的信息。包含该内容的文件至少有一个扩展区。碎片文件具有多个扩展数据块。扩展B-树是一个独立的结构。此单独的数据块结构是快照功能的一部分。 § 快照。它们是创建快照时卷的用户存储状态。快照覆盖的文件被固定,在快照被清除之前无法删除,即使该文件已从文件层次结构中“移除”。 § 检查点。这是集装箱的历史状态。每个检查点都处理CSB。 APFS的一些特点是: § 数据克隆。当在容器中复制数据时,独立于其从的确切卷,数据内容不会被复制,只有元数据会被复制。元数据在文件结构中多次存在,但共享相同的块。当其中一个文件被修改后时,只有被修改的块被显式地连接到被修改的文件。此功能使文件复制速度更快,所需存储空间更少。
§ 空间共享。在此功能中,容器中的所有卷共享相同的底层空间。例如,在具有两个卷的APFS容器上,所有卷都将报告相同的可用空间量。
§ 加密。HFS+不直接支持按文件加密。但是,通过将每个文件的密钥存储在每个文件的属性中,解决了这个问题。APFS支持不同的加密方案。 § 全磁盘加密(FileVault)。HFS+使用核心存储(CS)方法来组织物理和虚拟设备。未加密的HFS+系统卷对根目录用户完全可用,并且没有加密任何元数据。APFS改变了这一点。大多数文件系统元数据都是加密的,不可能完全解析。目录B树中的所有节点都已加密。 本文介绍了从APFS文件系统进行数据恢复的过程。 随着SSD驱动器和修剪功能的实现,一些强大的方法,如RAW恢复,现在成为一个挑战。在使用日记的HFS+中,我们只能在非常有限的时间内恢复元数据。 由于检查点的广泛使用,APFS为数据恢复提供了巨大的机会。当我们从以前的状态恢复APFS容器时,我们能够提取已删除的文件以及现有文件.的早期版本。 在我们的案例,我们有APFS文件系统和一个文件夹的照片,但文件夹是空的,照片丢失。
我们记得APFS创建原子状态——检查点。数据提取程序(Data Extractor)允许显示这些检查点(数据提取程序(Data Extractor)资源管理器中的选项“显示所有版本”)。
有一个基于CB的检查点列表。
我们的方法是从MSB(检查点超级块的最新状态)开始,从找到具有所需文件的CBS(2017文件夹中的照片)。 MSB是#140,它没有照片,所以我们在以前的CSB#139中搜索文件。
仍然是一个空文件夹。 深入回顾以前的CSB#76,并验证文件是否存在。
因此CSB#76具有被移除的数据。我们的策略是找到实际数据的最后一个检查点,并使用此CBS进行数据恢复过程。 经过一些步骤,我们找到CSB#102是最后一个检查点超级块,其中包含有关2017文件夹内容的信息。
快照使我们能够使时间倒流,恢复已删除的文件或将现有文件恢复到其原始状态。 我们展示了使用检查点在数据提取程序(Data Extractor)中恢复已删除文件的方法。在超过当前状态的情况下遍历文件系统的能力为恢复目的提供了巨大的机会。可以对数据和元数据都执行这种恢复。 APFS文件系统面临一些挑战。我们将介绍一个受密码保护的APFS容器。对于某些APFS,需要iCloud恢复密钥来解密数据。这个问题目前正在调查中。此外,一些APFS容器通过主板上的T2芯片进行硬件加密。根据我们目前的知识,解密这个APFS容器的唯一方法是使用带有T2芯片的原始苹果设备。无论如何,ACE团队正在不断为APFS文件系统实现新功能,许多新功能正在进行中。 如果您有任何问题,请随时在我们的技术支持系统中提交票证。 | 
发表于 2024-6-18 13:21:24
收藏