admin PC-3000 数据提取器。Apple FileVault Drive 加密:问题和解决方案
FileVault 是 Mac OS X 10.3 及更高版本中使用的高端磁盘加密程序。2003 年之后推出的大多数 Apple 产品都使用 FileVault 为用户提供了解密个人文件夹和个人数据的可靠工具。FileVault 通过防止未经授权访问加密硬盘内容来很好地完成这项工作。没有合适的工具和专业知识的数据恢复专家将无法访问Apple计算机上的数据。
加密硬盘驱动器损坏以启动的情况,即使对熟练的专业人员来说也可能构成严峻的挑战。在本文中,我们将介绍一种绕过FileVault保护的算法,并提供一些从损坏的加密Apple硬盘驱动器中恢复数据的提示。
以下是FileVault加密方法的示意图:
- 读取包含分区表的 MBR(0 扇区)。
- 自选!高容量驱动器可能具有位于 MBR 之后的附加 GUID 分区表 (GPT)。
- MBR 或 GPT 给出了 3 个分区的位置:
- EFI 系统分区:包含 Mac OS 服务信息;
- 核心存储 (CS):此分区包含加密数据;
- Recovery HD:包含解密用户数据所需的服务信息的分区。
- 首先读取 Recovery HD 的卷头。然后,加载此分区的目录文件,目录树变为可用。
- 此分区具有 EncryptedRoot.plist.wipekey – 一个包含加密卷主密钥 (VMK) 的文件。访问此 VMK 需要特殊密码。
- 核心存储分区(卷头、元数据块和卷组描述符)被解密。
- 通过元数据,我们可以访问加密数据。
此图仅触及了解密受FileVault保护的数据的整个过程的表面。此程序的任何步骤的任何额外并发症都可能使其更具挑战性。
让我们检查一些这样的情况。
最常见的问题是坏扇区。通常,位于磁盘开头的扇区会进行大部分写入和重写,因此它们更容易变坏。MBR、GPT 和 FAT 元数据可能已损坏。这个特定问题可能看起来不是很复杂,但标准工具集将无法解决它。
解决方案是读取具有活动效用和快速磁盘分析的扇区。Data Extractor 提供了广泛的分析方法,例如整个驱动器的快速磁盘分析、FAT 分区的 FAT 表扫描、HFS+ 分区的目录文件扫描和 HFS+ 元数据解析器。
另一个问题是Recovery HD分区的HFS +元数据损坏,该分区包含加密密钥。
在这里,最好的解决方案是制作驱动器的副本并使用该副本。首先,需要找到 EncryptedRoot.plist.wipekey。RAW恢复和目录文件分析是这种情况的强大工具。
另一种情况是在驱动器的开始和结束时看到损坏的部件。在这种情况下,标准工具绝对没用。
该解决方案需要使用一组特殊的读取参数创建驱动器副本,然后扫描副本以查找文件结构。需要通过构建虚拟文件系统来对发现的结构进行深入分析。不应对原始数据进行任何修改。最坏的情况可能需要对文件结构进行 GREP 搜索。为了在这种情况下取得成功,工程师不仅需要对文件系统和结构有很好的理解,还需要很好的运气。
解密的核心存储分区上的文件系统可能会出现一些问题。
文件系统分析的不同方法,包括基于位图的已用和未使用扇区的研究——这些东西将有助于恢复数据并获得完整的报告。
总之,我们一直在说每个数据恢复工程师都应该与时俱进,因为技术在不断发展。使用适当的设备,博学的专家将能够解决诸如FileVault加密的损坏驱动器之类的严重挑战。
