PC3000 Data Extractor Apple FileVault硬盘加密问题和解决方案

FileVault是Mac OS X 10.3及更高版本中使用的高端磁盘加密程序。 2003年以后推出的大部分Apple产品都使用FileVault为用户提供了解密主文件夹和个人数据的可靠工具。 FileVault通过防止未经授权访问加密的硬盘驱动器内容来完成这项工作。 没有合适工具和专业知识的数据恢复专家将无法访问Apple计算机上的数据。
例如,当加密的硬盘驱动器损坏以便启动时,即使对于熟练的专业人员也是如此。 在本文中,我们将介绍一种绕过FileVault保护的算法,并提供有关从损坏的加密Apple硬盘恢复数据的一些提示。
下面是FileVault加密方法的示意图:
PC3000 Data Extractor Apple FileVault硬盘加密问题和解决方案

读取包含分区表的MBR(0扇区)。
可选的!高容量驱动器可能具有位于MBR之后的附加GUID分区表(GPT)。
MBR或GPT给出3个分区的位置:
EFI系统分区:包含Mac OS服务信息;
核心存储(CS):此分区包含加密数据;
Recovery HD:具有解密用户数据所需的服务信息的分区。
首先读取Recovery HD的卷标题。然后加载此分区的目录文件,并且目录树变为可用。
此分区具有EncryptedRoot.plist.wipekey – 包含加密的卷主密钥(VMK)的文件。访问此VMK需要特殊密码。
核心存储分区(卷标题,元数据块和卷组描述符)将被解密。
通过元数据,我们可以访问加密数据。

此图仅涉及解密受FileVault保护的数据的整个过程的表面。此过程的任何步骤的任何其他复杂性可能使其更具挑战性。

让我们检查几个这样的案例。

PC3000 Data Extractor Apple FileVault硬盘加密问题和解决方案

最常见的问题是坏道。 通常,位于磁盘开头的扇区会获得大部分写入和重写,因此它们更容易变坏。 MBR,GPT和FAT元数据可能已损坏。 这个特殊问题可能看起来不是很复杂,但标准的工具集将无法修复它。
解决方案是通过活动实用程序和快速磁盘分析读出扇区。 Data Extractor提供多种分析方法,例如整个驱动器的快速磁盘分析,FAT分区的FAT表扫描,目录文件扫描和HFS +分区的HFS +元数据解析器。
另一个问题是恢复HD分区的HFS +元数据损坏,其中包含加密密钥。
这里最好的解决方案是需要制作驱动器的副本并使用该副本。 首先,需要找到EncryptedRoot.plist.wipekey。 RAW恢复和目录文件分析是这种情况下的强大工具。

PC3000 Data Extractor Apple FileVault硬盘加密问题和解决方案

另一种情况是在驱动器的开始和结束都会看到损坏的部件。在这种情况下,标准工具绝对无用。
该解决方案需要使用一组特殊的读取参数创建驱动器的副本,然后扫描副本以查找文件结构。需要通过构建虚拟文件系统来深入分析找到的结构。不应该对原始数据进行任何修改。最糟糕的情况可能需要GREP搜索文件结构。为了在这种情况下取得成功,工程师不仅需要对文件系统和结构有一个很好的理解,而且还要非常好运。
可能会出现解密的Core Storage分区上的文件系统的一些问题。
文件系统分析的不同方法,包括基于位图的已使用和未使用扇区的研究 – 这些将有助于恢复数据和获得完整的报告。
总之,我们一直在说每个数据恢复工程师都应该跟上时代的步伐,因为技术在不断发展。使用适当的设备,学习的专家将能够解决由FileVault加密的损坏驱动器等严峻挑战。

本文由苏州盘首发布 Admin,转载请务必保留本文链接:https://www.fixssd.cn/12369.html

(0)
上一篇 2020年7月30日 15:46
下一篇 2020年7月30日 16:41

相关文章推荐

工程师微信
联系我们

联系我们

24 小时服务热线:
18913587620
在线咨询:点击这里给我发消息
电话: 0512-68051520
地址:苏州市高新区滨河路588号赛格数码广场4楼4F61室
QQ

在线咨询:点击这里给我发消息

地图
分享本页
返回顶部