我根本不是黑客或安全人员。我只是两个孩子的父亲,喜欢旅行。我不知道在这里问是否合适,但你们谈论的内容超出了我的理解范围,但我认为你可能有一个想法。
几个月前,我的 2010 款 MacBook Air 运行速度非常慢,因此我决定使用 Time Machine 和 Time Capsule 制作系统的安全副本,并格式化我的 Mac SSD 驱动器以全新(重新)安装 Mac OS X。我没有使用 Time Machine 的备份重新开始,因为我希望一切都是全新的。但我当时不知道的是,Time Machine 会继续使用相同名称创建我的系统的备份。因此,我之前系统的所有孩子/旅行照片、视频、文档都消失了。我继续使用我的 MacBook Air 几个月,然后才意识到我的时间胶囊中的所有内容都消失了。现在,我有了一台新的 MacBook Pro,因此我取下了旧 MacBook Air 上的旧 SSD 驱动器,并购买了一个 Envoy 外壳,以便我可以将其用作外部驱动器来尝试恢复我的文件。我不知道这个驱动器上是否激活了防火墙,也不知道 TRIM。我只知道我可以使用此设置浏览我的旧系统文件。当我使用在互联网上能找到的任何数据恢复软件时,我发现的都是在我格式化并(重新)启动系统后“创建”的文件,而在此之前则什么都没有。
有没有办法让非博士或 masterrussianhacker 恢复这些文件?
非常感谢!
乔纳森
答案1
恢复的最佳机会是通过专业的磁盘恢复服务。如果数据可以恢复,他们就是那个人。当然,这些服务非常昂贵(不要对四位数的报价感到惊讶,因为这项任务需要大量劳动力),但如果文件对您来说值得,并且您有资源,请考虑一下。
如果你想自己玩一玩,首先要买一个硬件USB 写入阻止程序,如果它适用于你的SSD,也许像这个,以确保您在开始探索时不会意外或故意覆盖 SSD 上的任何数据。
接下来,查看侦探工具包(TSK)和尸检。Sleuth Kit 是一款免费的取证分析工具包,其中包含磁盘分析工具,包括恢复已删除文件的功能。Autopsy 是 TSK 和其他工具的图形前端,并包含执行查看图像等任务的模块。
使用 Autopsy 的诀窍是理解其步骤的语言。请始终记住,该工具旨在供执法调查人员使用,他们正在寻找犯罪活动的证据,例如儿童色情、毒品、联系人列表、旧电子邮件、最近编辑的文件、黑客工具等,他们说的是自己的语言。当然,这些都不适用于你,但从他们的角度看待这些步骤会有所帮助。
阅读文档,但您首先需要做的是创建一个案例。这只是一个文件,用于跟踪您所做的所有事情。然后,该案例将需要一个“数据源” - 您所要做的就是选择“本地驱动器”,然后选择您的写保护 SSD。
然后,您告诉 Autopsy “采集”数据源,它会在磁盘上运行一堆工具来查明磁盘上的内容。大多数执法工作都不适用于您,因此,当您采集数据源时,请关闭那些显然不适用的内容的采集模块,例如“哈希”、“虚拟机”、“电子邮件解析器”等。
然后 Autopsy 将开始处理磁盘。它在后台运行,可能需要很长时间;磁盘越大,需要的时间越长。它开始显示文件后,您就可以查看文件,但一旦您确认它正在运行,您最好退后一步,让它完成。
您可能最感兴趣的是使用名为“图库模块”的手动工具。这是一个快速查看器,可让您快速浏览它找到的所有图像。找到要保存的文件后,您可以右键单击它们并将其导出为本地文件。
请记住,该工具旨在查找已隐藏或删除的文件。如果您的驱动器上可能有图像(可能在您的浏览器历史记录中),而您不愿意与家人分享,请私下执行驱动器恢复!
祝你好运!
答案2
虽然我必须支持约翰的回答,将如此精细的工作交给适当的数据恢复专家,但请与 Apple 沟通!也许他们可以深入挖掘您的备份并为您检索您最初备份的文件。如果他们能做到,那肯定比数据恢复路线更快、更便宜,而且恢复的文件也会准确再现(使用数据恢复,您可能会丢失一些数据,这可能会导致从某些照片中难看的块到完全无法读取的文件)。
我不知道 Time Capsule 是如何工作的(我自己不是 Mac 用户),但通常使用备份,您应该能够检索文件的旧版本——或已删除的文件。时间跨度可能意味着他们已经清除了一些数据,我不知道。
您可能还想考虑调整您的备份设置(尽可能),以便如果文件从您的本地系统中删除,它“永远不会”从您的备份中删除文件(毕竟,这是备份的意义所在,不是吗?)。
答案3
通常发生的情况是,Time Machine 会启动新的备份,而您的其他备份只是闲置在那里未使用,因为 Time Machine 认为重新安装的计算机与它备份的“其他”计算机不是同一台。
您可能能够轻松查看其他备份,方法是按住选项键并单击菜单栏中的 Time Machine 图标。选择“浏览其他备份磁盘”。它可能不提供任何磁盘,在这种情况下,您需要先访问 Time Capsule 的驱动器。
如果您没有 Time Machine 的菜单栏图标,您可以通过系统偏好设置的 Time Machine 面板启用它。
请记住,Time Capsule 上的操作可能会非常慢。您可能需要启用 Finder 的状态栏(通过“查看”菜单),以便您可以在右下角看到旋转器。
要访问 Time Capsule 驱动器本身,请查看 Finder 的侧边栏。它应该在“共享”下显示 Time Capsule 本身的名称,通常会指向名为“数据”的卷。双击时它并不总是会选择它,因此如果几分钟后没有看到任何动作,请查看侧边栏。
打开后,您将看到各种备份的稀疏文件。每台备份到 Time Capsule 的计算机都会有自己的文件,在擦除后开始新备份集的计算机也可能有自己的文件。我不建议通过 Finder 打开 Time Capsule 备份文件,因为它很慢,而且直接复制文件可能会导致将来的备份出现问题。
无论您是否找到另一组备份,都可能出现另一个问题,即您当前的主文件夹可能不是使用与第一次相同的具体细节创建的,因此 Time Machine 可能没有意识到它应该向您显示它。通过 Time Machine 菜单栏图标进入 Time Machine,导航到 Macintosh HD,然后进入用户文件夹。然后查看右侧的时间线,将鼠标悬停在一条线上将显示该备份的日期。如果您找到正确时代的备份,那么您可能能够恢复这些项目。
我知道需要处理的信息很多,但如有任何问题请随时提出。