Os arquivos podem ser recuperados de um disco criptografado com o FileVault?

2

Formatei um dispositivo USB que tinha uma partição HFS + criptografada com o FileVault da Apple. Isso pareceu uma boa ideia na época, mas agora gostaria de alguns dados de volta.

A unidade não foi substituída por zeros e nada a tocou desde então, portanto, a maioria dos dados ainda está teoricamente lá. E eu tenho a senha do FileVault.

Eu tentei digitalizá-lo com o R-Studio como uma unidade normal, mas não ajuda. Ele vê várias partições anteriores (e é capaz de recuperar arquivos delas), mas não a mais recente.

Existe alguma maneira de recuperar meus dados?

    
por Smokey 10.11.2015 / 02:59

1 resposta

1

Estou um pouco familiarizado com o FileVault, mas ele pode ter uma senha mestre, que também pode ser mantida na Apple (se ativada), então você pode ter sorte com informações de recuperação da Apple . Não tenho certeza se as informações de recuperação podem funcionar com uma imagem / unidade corrompida, mas vale a pena tentar.

Esta página útil e detalhada de 2008 Recuperar / reparar uma imagem esparsa criptografada AES-128 corrompida tem informações e algumas instruções de como fazer então leia essa página! Ele diz que o FileVault usa um cabeçalho, semelhante ao TrueCrypt & LUKS, onde " [t] ele Key, o salt, o iv (vetor de inicialização) e outras informações são armazenadas no cabeçalho da imagem, um bloco de 4kb, que por sua vez é criptografado usando 3DES-EDE. Sem esses dados, você não poderá recuperar suas coisas mesmo se lembrar da frase secreta. "Não tenho certeza se a nova versão 2 do FileVault usa o mesmo tipo de cabeçalho ou se a sua unidade estava usando a versão 1 ou 2.

Você ainda pode montá-lo com sua chave ou com a chave mestra ou com um cabeçalho de backup e, possivelmente, ler alguns dados não sobrescritos.

Se você sobrescreveu o cabeçalho & não tem um cabeçalho de backup então você provavelmente nunca mais acessará os dados (restantes não sobrescritos), a menos que obtenha sorte com uma suposição de chave de força bruta. Essa é uma das vantagens reivindicadas desse tipo de sistema, você pode "permanentemente" apagar todos os dados criptografados simplesmente apagando o cabeçalho / chave, e não precisa sobrescrever os dados reais.

  • Esta discussão do Suporte da Apple sobre uma unidade principal do FileVault corrompida que se recusa a aceitar uma senha de login ou a senha mestra / chave de segurança não é encorajadora, sua única solução era apagar / re-particionar a unidade e começar de novo.
  • Esta questão do apple.stackexchange.com é semelhante, uma unidade FileVault externa, mas foi desmontada incorretamente e foi corrompida. Infelizmente não há solução lá (apenas alguns conselhos gerais "não escreva para a unidade, faça uma cópia de segurança e brinque com ela").
  • Outro apple.stackexchange.com question tem um comando de terminal que você pode tentar (rodar como root aparentemente?):

    diskutil cs unlockVolume XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
    

    Então, poderia tentar isso com o UUID da sua unidade? No seu caso, respondeu com isso:

    Passphrase:
    Started CoreStorage operation
    Logical Volume successfully unlocked
    Logical Volume successfully attached as disk13
    Error: -69842: Couldn't mount disk
    

    aparentemente "desbloqueado", mas não conseguiu ser montado, embora pelo menos possa permitir que você tente recuperar arquivos em "disk13" (ou o que quer que seja o seu). Se "disk13" for o volume descriptografado, então você poderá ler arquivos parciais a partir dele, apontar o R-Studio para ele, fazer uma cópia de backup para tocar com (fsck), etc.

por 29.11.2015 / 03:59