本帖最后由 JDCTS5 于 2024-6-21 14:18 编辑
PC-3000数据提取程序(Data Extractor)。FileVault解密的一个实用示例 在本文中,我们将演示使用数据提取程序(Data Extractor)来识别使用FileVault加密的Macintosh系统中的加密密钥地点。我们还将分享一些使用数据提取程序(Data Extractor)以获得最大效果的技巧和技术。有关FileVault选项的基本介绍,请参阅简介。
我们首先探索了“(Mac OS X)Boot恢复HD”磁盘一段时间,我们注意到有FileVault分区的加密密钥。
当我们输入FileVault分区的密码时,会应用此密钥。它名为“EncryptedRoot.plist.wipekey”,位于“com.apple.corestorage”文件夹中。 我们正在获取此文件并将其保存在本地磁盘上的特殊位置。
在某些情况下,此文件可以位于其他位置或被删除。 我们的目标是在输入加密分区的密码时上传这个文件,所以尽管我们不知道这个文件的写入位置,但我们知道文件的确切名称,可以在其他地方找到它。 当文件被删除或分区被格式化时,我们分别使用“扫描目录文件”选项或“分区分析”。 我们创建了一个加密分区的数据位图。 当您为加密分区建立数据位图时,这是一个重要参数:数据提取程序(Data Extractor)要求您创建驱动器的子映射。它看起来是这样的:
关键是FileVault解密过程对扇区地点敏感。当我们建立驱动器的子映射时,扇区被移动,数据提取程序(Data Extractor)无法找到支持扇区并解密分区。所以,我们的选择是“否”。 应用数据位图作为加密磁盘并输入密码。
这重新生成了以下报告:
最后,我们得到了文件结构:
打开文件:
当您无法使用数据提取程序(Data Extractor)解密FileVault分区时,请密切关注这些功能。这可能不是一个常见的问题,但我们希望在某些情况下对您有所帮助。 数据恢复快乐! | 
发表于 2024-6-21 14:14:12
收藏