例如,当加密的硬盘驱动器损坏以便启动时,即使对于熟练的专业人员也是如此。 在本文中,我们将介绍一种绕过FileVault保护的算法,并提供有关从损坏的加密Apple硬盘恢复数据的一些提示。
下面是FileVault加密方法的示意图:
读取包含分区表的MBR(0扇区)。
可选的!高容量驱动器可能具有位于MBR之后的附加GUID分区表(GPT)。
MBR或GPT给出3个分区的位置:
EFI系统分区:包含Mac OS服务信息;
核心存储(CS):此分区包含加密数据;
Recovery HD:具有解密用户数据所需的服务信息的分区。
首先读取Recovery HD的卷标题。然后加载此分区的目录文件,并且目录树变为可用。
此分区具有EncryptedRoot.plist.wipekey – 包含加密的卷主密钥(VMK)的文件。访问此VMK需要特殊密码。
核心存储分区(卷标题,元数据块和卷组描述符)将被解密。
通过元数据,我们可以访问加密数据。
此图仅涉及解密受FileVault保护的数据的整个过程的表面。此过程的任何步骤的任何其他复杂性可能使其更具挑战性。
让我们检查几个这样的案例。
最常见的问题是坏道。 通常,位于磁盘开头的扇区会获得大部分写入和重写,因此它们更容易变坏。 MBR,GPT和FAT元数据可能已损坏。 这个特殊问题可能看起来不是很复杂,但标准的工具集将无法修复它。
解决方案是通过活动实用程序和快速磁盘分析读出扇区。 Data Extractor提供多种分析方法,例如整个驱动器的快速磁盘分析,FAT分区的FAT表扫描,目录文件扫描和HFS +分区的HFS +元数据解析器。
另一个问题是恢复HD分区的HFS +元数据损坏,其中包含加密密钥。
这里最好的解决方案是需要制作驱动器的副本并使用该副本。 首先,需要找到EncryptedRoot.plist.wipekey。 RAW恢复和目录文件分析是这种情况下的强大工具。
另一种情况是在驱动器的开始和结束都会看到损坏的部件。在这种情况下,标准工具绝对无用。
该解决方案需要使用一组特殊的读取参数创建驱动器的副本,然后扫描副本以查找文件结构。需要通过构建虚拟文件系统来深入分析找到的结构。不应该对原始数据进行任何修改。最糟糕的情况可能需要GREP搜索文件结构。为了在这种情况下取得成功,工程师不仅需要对文件系统和结构有一个很好的理解,而且还要非常好运。
可能会出现解密的Core Storage分区上的文件系统的一些问题。
文件系统分析的不同方法,包括基于位图的已使用和未使用扇区的研究 – 这些将有助于恢复数据和获得完整的报告。
总之,我们一直在说每个数据恢复工程师都应该跟上时代的步伐,因为技术在不断发展。使用适当的设备,学习的专家将能够解决由FileVault加密的损坏驱动器等严峻挑战。
本文由苏州盘首发布 Admin,转载请务必保留本文链接:https://www.fixssd.cn/12369.html