来源:盘石软件PANSAFE(ID:Pansafe)
作者:Jared Palmer
译者:皮浩
分区表,如果你不太熟悉的话,可以简单的理解成硬盘被划分成逻辑卷(分区)。有时,用户希望有两个单独的卷来存储不同类型的数据,或者有时操作系统本身会分配一个小的隐藏区域(隐藏分区),在这里可以存储数据而不受来自最终用户的干扰。一种简单的分区思路是,它就像一个房间的隔间(也称为分区),实际上是在同一个存储设备上。
分区表记录如何跟踪这种划分,通常写在硬盘或其他存储设备的起始位置。它通常只占第一扇区或前33个扇区,这取决于分区表类型。分区表备份副本通常存储在设备的尾部。
分区表丢失或损坏的可能方式有几种。坏扇区扩散正好在磁盘的开始无法正常读取时,这也许是个简单的问题。然而,通常如果说可以读取后部扇区的情形(指有备份分区表),那么仍然可以挂载分区。另一种更常见的情况是当用户尝试修改分区结构,做一些改动时发生一些错误,如软件故障、意外停电等。我们看到越来越多甚至是由病毒攻击引起的。
丢失的Mac FileVault分区的挑战是不得不去面对加密。
苹果FileVault丢失分区恢复的挑战有很多分区恢复和数据恢复程序,通常可以通过分析磁盘来还原丢失的分区。然而,如果分区是苹果FileVault加密的话,这些程序都没用。原因是:
一般地,未加密的分区通常在起始位置有一个可识别的起始签名。如下图所示,普通的Windows NTFS文件系统没用加密,在起始位置有一些编码包含字母“NTFS”在签名中。
分区恢复软件总是依赖于寻找这些起始签名来识别丢失分区的起始位置。
由于苹果FileVault是整个分区加密,即使是第一个扇区也是用随机密钥进行加密的。由于分区加密密钥是随机生成的,永远是不一样的,也不符合标准的模板。
丢失的苹果FileVault分区怎样才能被恢复由于数据被加密,普通的数据恢复软件将失去作用。即便是能够解密并从FileVault加密容器中恢复数据的R-Studio,也是要求分区表完整的,因此它能知道在哪里查找DEK(磁盘加密密钥),并知道提示输入用户密码。
那么怎么去完成?答案仅仅是…人工!
在Data Medics,我们通过手工重建分区表,成功地恢复了几个丢失的苹果FileVault分区。是的,我们实际上是通过键盘在hex编辑器中键入,编写一个新的分区表,就像你在上面的图片中看到的那样。我们的基本过程如下:
首先,我们仔细分析hex编辑器中的数据,以确定用户分区的起始位置和结束位置。由于他们没有明确的签名,这通常是通过一个排除的过程来完成的。在FileVault用户分区前后,通常有未加密的小的系统分区。通过在健康系统中的这些常规系统分区与用户分区对比,我们通常可以确定近似的开始/结束扇区。
其次,我们必须手工重写GPT分区表并插入我们从第一步的分析中确定的适当值。通常,我们将使用之前收集的表中的一个表作为模板,这个表在布局上相似,然后只需对这些值进行必要的调整即可。
GPT分区表(苹果使用的)包含两个校验值,使用表的编码中的所有数据计算而得。因此,即使单个值被改变,校验也必须手动重新计算和更新。这种机制可以允许MacOS尝试挂载分区,因为它会识别分区表是否有效。如果不是将被拒绝且无法挂载。
挂载卷。如果失败,返回第1步,看看我们哪里出错了,然后再试一次。有时我们取得正确结果只需在几天试验的错误结果后。如果卷成功挂载,我们就输入用户密码并准备为客户复制数据了。
在一些案例中,可能有文件系统损坏,甚至在我们得到正确的表后仍然无法挂载。这确确实实是真的,如果原始磁盘损坏、有坏扇区等,我们无法读取到100%的数据。在那些情况下,我们这里的数据恢复软件可以做剩余的工作。
原文链接
https://www.data-medics.com/data-recovery-blog/apple-filevault-lost-partition-data-recovery/
推荐阅读:
忘了Mac密码?这3个方法可以解锁用苹果FileVault加密的启动磁盘
http://netsecurity.51cto.com/art/201804/571543.htm