Eu não tenho um computador de sacrifício para testar isso, mas acho que você está correndo para o System Integrity Protection no El Capitan. Principalmente, o que o SIP faz é impedir que você modifique as áreas do sistema (/ System, / sbin, / bin / maior parte do / usr, etc), mexendo com processos do sistema, carregando kexts assinados incorretamente, etc. Mas, para reforçar essa proteção de pastas do sistema, também impede gravações brutas no dispositivo em que o volume do sistema está ativado. Sim, mesmo se você for root (esse é o objetivo - é limitar os danos causados por malware que obtém acesso root).
Eu acho que esse limite não será aplicado no modo de recuperação . Segure Command-R quando o computador for iniciado e ele será inicializado a partir de uma partição de emergência oculta. Abra o Terminal (ele está no menu Utilitários) e experimente o dd a partir dele. dd pode não existir no sistema de recuperação (é mínimo), mas você pode usar /Volumes/Macintosh\ HD/bin/dd . Você não precisará de sudo , você já é root.
Se isso não funcionar, tente desabilitar o SIP com csrutil disable e reinicialize normalmente (consulte documento da Apple sobre como configurar o SIP ). Então, quando terminar, recomendo reativá-lo - é um recurso de segurança útil.