it-swarm-ja.com

FileVaultで暗号化されたディスクからファイルを回復できますか?

AppleのFileVaultで暗号化されたHFS +パーティションを持つUSBスティックをフォーマットしました。当時はこれは良い考えのようでしたが、今度はデータの一部を元に戻したいと思います。

ドライブはゼロで上書きされておらず、それ以降何も変更されていないため、理論的にはほとんどのデータがまだそこにあります。そして、私はFileVaultパスワードを持っています。

通常のドライブのようにR-Studioでスキャンしてみましたが、役に立ちませんでした。それはいくつかの以前のパーティションを見る(そしてそれらからファイルを回復することさえできる)が、最新のものは見ない。

データを回復する方法はありますか?

2
Smokey

私はFileVaultにある程度精通していますが、マスターパスフレーズが含まれている可能性があります。マスターパスフレーズはAppleも(有効な場合))に保持できるため、運が良ければ Appleのリカバリ情報 。リカバリ情報が破損したイメージ/ドライブで機能するかどうかはわかりませんが、試してみる価値はあります。

2008年のこの詳細で見栄えの良いページ 破損したAES-128暗号化スパースイメージを回復/修復 情報といくつかのハウツー手順そのページを読んでください! FileVaultはTrueCrypt&LUKSと同様のヘッダーを使用し、「[t]キー、ソルト、iv(初期化ベクトル)およびその他の情報が画像ヘッダー、4kbブロックに格納される」と書かれています。 、3DES-EDEを使用して暗号化されます。このデータがないと、パスフレーズを覚えていても、コンテンツを復元できません。 "新しいバージョン2かどうかはわかりません。のFileVaultは同じタイプのヘッダーを使用するか、ドライブがバージョン1または2を使用していた場合。

それでもキーまたはマスターキーまたはバックアップヘッダーでマウントし、上書きされていないデータを読み取ることができる場合があります。

ヘッダーを上書きし、バックアップヘッダーがない場合は、(上書きされていないままの)データに再度アクセスすることはおそらくありません。総当たりのキー推測で運を得る。これは、このシステムタイプの主張されている利点の1つです。ヘッダー/キーを消去するだけで、暗号化されたすべてのデータを「完全に」消去でき、実際のデータを上書きする必要はありません。

  • これAppleサポートディスカッション ログインパスワードの受け入れを拒否する、またはマスターパスワード/セキュリティキーが推奨されない破損したFileVaultメインドライブについて、彼らの唯一の解決策は消去することでした/ドライブを再パーティション化し、最初からやり直します。
  • このApple.stackexchange.comの質問 同様の外部FileVaultドライブですが、正しくマウント解除されておらず、破損しています。残念ながら、そこには解決策がありません(一般的な「ドライブに書き込まないで、バックアップコピーを作成し、それで遊ぶ」というアドバイスがあります)。
  • 別のApple.stackexchange.comの質問 試してみることができるターミナルコマンドがあります(どうやらrootとして実行しますか?):

    diskutil cs unlockVolume XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
    

    それで、あなたのドライブのUUIDでそれを試すことができますか?彼らの場合、それはこれで答えました:

    Passphrase:
    Started CoreStorage operation
    Logical Volume successfully unlocked
    Logical Volume successfully attached as disk13
    Error: -69842: Couldn't mount disk
    

    どうやら「ロック解除」されていますが、マウントできませんでしたが、少なくとも「disk13」(またはあなたの言うこと)でファイルの回復を試みることができるかもしれません。 「disk13」が復号化されたボリュームである場合、そこから部分的なファイルを読み取ったり、R-Studioをポイントしたり、バックアップコピーを作成して(fsck)で再生したりできる場合があります。

1
Xen2050