PC-3000针对Apple FileVault驱动器加密的问题和解决方案
- 时间:6年前
- 浏览:2031次
FileVault是Mac OS X 10.3及更高版本中使用的高端磁盘加密程序。2003年以后推出的Apple产品大多使用FileVault为用户提供可靠的工具来解密家庭文件夹和个人数据。FileVault通过防止未经授权访问加密的硬盘驱动器内容来完成这项工作。没有合适工具和专业知识的数据恢复专家将无法访问Apple计算机上的数据。
例如,当加密的硬盘驱动器损坏以便启动时,即使对于熟练的专业人员也是如此。在本文中,我们将介绍绕过FileVault保护的算法,并提供有关从损坏的加密Apple硬盘恢复数据的一些提示。
下面是FileVault加密方法的示意图:
读取包含分区表的MBR(0扇区)。
可选的!高容量驱动器可能具有位于MBR之后的附加GUID分区表(GPT)。
MBR或GPT给出3个分区的位置:
EFI系统分区:包含Mac OS服务信息;
核心存储(CS):此分区包含加密数据;
Recovery HD:具有解密用户数据所需的服务信息的分区。
首先读取Recovery HD的卷标题。然后加载此分区的目录文件,并且目录树变为可用。
此分区具有EncryptedRoot.plist.wipekey - 包含加密的卷主密钥(VMK)的文件。访问此VMK需要特殊密码。
核心存储分区(卷标题,元数据块和卷组描述符)被解密。
通过元数据,我们可以访问加密数据。
此图仅涉及解密受FileVault保护的数据的整个过程的表面。此过程的任何步骤的任何其他复杂性可能使其更具挑战性。
让我们检查几个这样的案例。
最常见的问题是坏道。通常,位于磁盘开头的扇区会获得大部分写入和重写,因此它们更容易变坏。MBR,GPT和FAT元数据可能已损坏。这个特殊问题可能看起来不是很复杂,但标准的工具集将无法修复它。
解决方案是通过活动实用程序和快速磁盘分析读出扇区。Data Extractor提供了多种分析方法,例如整个驱动器的快速磁盘分析,FAT分区的FAT表扫描,目录文件扫描和HFS +分区的HFS +元数据解析器。
另一个问题是恢复HD分区的HFS +元数据损坏,其中包含加密密钥。
这里最好的解决方案是需要制作驱动器的副本并使用该副本。首先,需要找到EncryptedRoot.plist.wipekey 。RAW恢复和Catalog文件分析是这种情况下的强大工具。
另一种情况是在驱动器的开始和结束时都会看到损坏的部件。在这种情况下,标准工具绝对无用。
解决方案需要使用一组特殊的读取参数创建驱动器的副本,然后扫描副本以查找文件结构。需要通过构建虚拟文件系统来深入分析找到的结构。不应该对原始数据进行任何修改。最坏的情况可能需要GREP搜索文件结构。为了在这种情况下取得成功,工程师不仅需要对文件系统和结构有一个很好的理解,而且还要非常好运。
可能会出现解密的Core Storage分区上的文件系统的一些问题。
文件系统分析的不同方法,包括基于Bitmap对已使用和未使用扇区的研究 - 这些将有助于恢复数据和获取完整的报告。
总之,我们一直在说每个数据恢复工程师都应该跟上时代的步伐,因为技术在不断发展。使用适当的设备,学习的专家将能够解决由FileVault加密的损坏驱动器等严重挑战。
