admin PC-3000 数据提取器。FileVault解密的实际示例
在本文中,我们将演示如何使用数据提取器来识别使用 FileVault 加密的 Macintosh 系统中的加密密钥位置。我们还将分享一些使用数据提取器以达到最大效果的技巧和技术。有关 FileVault 选项的基本介绍,请参阅简介。
我们从探索“(Mac OS X)Boot Recovery HD”磁盘开始一段时间,我们注意到有FileVault分区的加密密钥。
当我们输入FileVault分区的密码时,将应用此密钥。它被称为“EncryptedRoot.plist.wipekey”,位于“com.apple.corestorage”文件夹中。
我们得到了这个文件并保存在本地磁盘上的特殊位置。
在某些情况下,此文件可以位于其他位置或被删除。
我们的目标是在输入加密分区的密码时上传此文件,因此尽管我们不知道此文件的写入位置,但我们知道文件的确切名称并且可以在另一个地方找到它。
当文件被删除或分区被格式化时,我们分别使用“扫描目录文件”选项或“分区分析”。
我们创建了一个加密分区的映射。
当您为加密分区创建映射时,这是一个重要参数:Data Extractor 要求您创建驱动器的子映射。它看起来像这样:
关键是FileVault解密过程对扇区位置很敏感。当我们创建驱动器的子映射时,扇区会移动,Data Extractor 无法找到支持扇区并解密分区。因此,我们的选择是“否”。
应用映射作为加密磁盘并输入密码。
这重新生成了以下报告:
最后,我们得到了文件结构:
并且可以打开文件:
当您无法使用数据提取器解密FileVault分区时,请密切关注这些功能。这可能不是一个常见问题,但我们希望它在某些情况下对您有所帮助。
祝您数据恢复愉快!
