我格式化了一个 USB 记忆棒,里面有一个使用 Apple 的 FileVault 加密的 HFS+ 分区。当时这似乎是个好主意,但现在我想找回一些数据。
该驱动器未被零覆盖,此后也没有任何东西触碰过它,因此理论上大部分数据仍然存在。而且我有 FileVault 密码。
我尝试使用 R-Studio 扫描它,就像扫描普通驱动器一样,但毫无效果。它可以看到几个以前的分区(甚至可以从中恢复文件),但看不到最新的分区。
有没有什么方法可以恢复我的数据?
答案1
我对 FileVault 比较熟悉,但它可能有一个主密码,也可以保存在 Apple 那里(如果启用了),所以你可能会有运气Apple 的恢复信息。我不确定恢复信息是否可以与损坏的图像/驱动器一起使用,但值得一试。
这是 2008 年的一份详细实用的页面恢复/修复损坏的 AES-128 加密稀疏图像有信息和一些操作说明所以请阅读该页面!它说 FileVault 使用类似于 TrueCrypt 和 LUKS 的标头,其中“密钥、盐、iv(初始化向量)和其他信息都存储在图像头(一个 4kb 块)中,该块又使用 3DES-EDE 加密。如果没有这些数据,即使您记得密码,您也无法恢复您的内容。“我不确定 FileVault 的新版本 2 是否使用相同类型的标头,或者您的驱动器是否使用版本 1 或 2。
你也许还能使用你的密钥或主密钥或备份头来挂载它并可能读取一些未被覆盖的数据。
如果你覆盖了标题并且没有备份标题那么您可能再也无法访问(剩余的未被覆盖的)数据,除非您幸运地通过暴力破解密钥。这是该系统类型的一个优点,您只需擦除标头/密钥即可“永久”擦除所有加密数据,而不必覆盖实际数据。
- 此 Apple 支持讨论关于损坏的 FileVault 主驱动器拒绝接受登录密码或主密码/安全密钥的消息并不令人鼓舞,他们唯一的解决方案是擦除/重新分区驱动器并重新开始。
- 此 apple.stackexchange.com 问题类似,一个外部 FileVault 驱动器,但它被错误地卸载并且损坏了。不幸的是,那里没有解决方案(只是一些一般的“不要写入驱动器,制作备份并使用它”的建议)。
另一个 apple.stackexchange.com 问题有一个您可以尝试的终端命令(显然以 root 身份运行?):
diskutil cs unlockVolume XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX那么可以用你的驱动器的 UUID 尝试一下吗?在他们的情况下,它回复了以下内容:
Passphrase: Started CoreStorage operation Logical Volume successfully unlocked Logical Volume successfully attached as disk13 Error: -69842: Couldn't mount disk显然“已解锁”但无法安装,但至少它可能允许您尝试在“disk13”(或您所说的任何内容)上恢复文件。如果“disk13”是解密卷,那么您可能能够从中读取部分文件、将 R-Studio 指向它、制作备份副本以供使用(fsck)等。