2

Я отформатировал USB-накопитель с разделом HFS+, зашифрованным с помощью Apple FileVault. В то время это казалось хорошей идеей, но теперь я хотел бы вернуть некоторые данные.

Диск не был перезаписан нулями, и с тех пор ничто его не трогало, поэтому теоретически большая часть данных все еще там. И у меня есть пароль FileVault.

Я пробовал сканировать его с помощью R-Studio, как обычный диск, но не помогло. Он видит несколько предыдущих разделов (и даже может восстановить файлы из них), но не самый последний.

Есть ли способ восстановить мои данные?

1 ответ1

1

Я немного знаком с FileVault, но у него может быть главная фраза-пароль, которую можно сохранить и в Apple (если она включена), так что вам может повезти с информацией о восстановлении Apple. Я не уверен, может ли информация для восстановления работать с поврежденным образом / диском, но стоит попробовать.

Эта подробная, полезная на вид страница 2008 года Восстановление / восстановление поврежденного зашифрованного разреженного изображения AES-128 содержит информацию и некоторые инструкции, так что читайте эту страницу! В нем говорится, что FileVault использует заголовок, аналогичный TrueCrypt & LUKS, где « [t] ключ, соль, iv (вектор инициализации) и другая информация хранятся в заголовке изображения, блоке 4 КБ, который в свою очередь шифруется с использованием 3DES-EDE. Без этих данных вы не сможете восстановить свои данные, даже если вы помните ключевую фразу. «Я не уверен, использует ли более новая версия 2 FileVault такой же тип заголовка или если ваш диск использовал версию 1 или 2.

Возможно, вы сможете смонтировать его с вашим ключом, главным ключом или резервным заголовком и, возможно, прочитать некоторые не перезаписанные данные.

Если вы перезаписали заголовок и у вас нет резервного заголовка, то вы, вероятно, никогда не получите доступ к (оставшимся не перезаписанным) данным снова, если только вам не повезет с предположением с помощью грубой силы ключа. Это одно из заявленных преимуществ этого типа системы: вы можете "навсегда" стереть все зашифрованные данные, просто стерев заголовок / ключ, и не нужно перезаписывать реальные данные.

  • Это обсуждение службы поддержки Apple о поврежденном главном диске FileVault, который отказывается принимать пароль для входа в систему или главный пароль / ключ безопасности, не внушает оптимизма, единственное решение состояло в том, чтобы стереть / переразбить диск и начать заново.
  • Этот вопрос apple.stackexchange.com похож на внешний накопитель FileVault, но он был неправильно размонтирован и поврежден. К сожалению, там нет решения (просто какой-то общий совет «не пиши на диск, сделай резервную копию и играй с ним»).
  • Другой вопрос apple.stackexchange.com содержит команду терминала, которую вы можете попробовать (очевидно, от имени пользователя root):

    diskutil cs unlockVolume XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
    

    Так можно попробовать это с UUID вашего диска? В их случае он ответил так:

    Passphrase:
    Started CoreStorage operation
    Logical Volume successfully unlocked
    Logical Volume successfully attached as disk13
    Error: -69842: Couldn't mount disk
    

    по-видимому, "разблокирован", но не может быть смонтирован, хотя, по крайней мере, он может позволить вам попытаться восстановить файл на "disk13" (или как там у вас). Если "disk13" - это дешифрованный том, то вы можете прочитать с него частичные файлы, указать на него R-Studio, сделать резервную копию для воспроизведения (fsck) и т.д.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .