Bisakah file dipulihkan dari disk yang dienkripsi dengan FileVault?

2

Saya memformat USB stick yang memiliki partisi HFS + terenkripsi dengan FileVault Apple. Ini sepertinya ide yang bagus pada saat itu, tetapi sekarang saya ingin beberapa data kembali.

Drive itu tidak ditimpa dengan nol dan tidak ada yang menyentuhnya sejak itu, sehingga sebagian besar data secara teoritis masih ada. Dan saya memiliki kata sandi FileVault.

Saya sudah mencoba memindai dengan R-Studio seperti drive normal, tetapi tidak ada bantuan. Ia melihat beberapa partisi sebelumnya (dan bahkan dapat memulihkan file dari mereka) tetapi bukan yang terbaru.

Apakah ada cara untuk memulihkan data saya?

Smokey
sumber

Jawaban:

1

Saya agak akrab dengan FileVault, tetapi bisa memiliki kata sandi utama, yang bisa disimpan di Apple juga (jika diaktifkan), jadi Anda mungkin beruntung dengan Info pemulihan Apple . Saya tidak yakin apakah info pemulihan dapat berfungsi dengan image / drive yang rusak, tetapi patut dicoba.

Halaman yang tampak membantu secara mendetail dari 2008 Pulihkan / perbaiki gambar tipis terenkripsi AES-128 yang rusak punya info dan beberapa petunjuk cara jadi baca halaman itu! Dikatakan FileVault menggunakan header, mirip dengan TrueCrypt & amp; LUKS, dimana " [t] Kunci, garam, iv (vektor inisialisasi) dan info lainnya disimpan ke dalam header gambar, blok 4kb, yang kemudian dienkripsi menggunakan 3DES-EDE. Tanpa data ini, Anda tidak akan dapat memulihkan barang-barang Anda bahkan jika Anda mengingat kata sandi tersebut. "Saya tidak yakin apakah versi 2 yang lebih baru dari FileVault menggunakan jenis header yang sama, atau apakah drive Anda menggunakan versi 1 atau 2.

Anda mungkin bisa diam pasang dengan kunci Anda atau kunci master atau header cadangan dan mungkin membaca beberapa data yang tidak ditimpa.

Jika kamu timpa tajuk & amp; tidak memiliki header cadangan maka Anda mungkin tidak akan pernah mengakses data (yang tersisa tidak ditimpa) lagi, kecuali jika Anda beruntung dengan tebakan kunci kasar. Itulah salah satu kelebihan yang diklaim dari tipe sistem ini, Anda dapat "secara permanen" menghapus semua data yang dienkripsi dengan hanya menghapus header / kunci, dan tidak perlu menimpa data yang sebenarnya.

  • Diskusi Dukungan Apple ini tentang drive utama FileVault yang rusak yang menolak untuk menerima kata sandi masuk atau kata sandi utama / kunci keamanan tidak menggembirakan, satu-satunya solusi mereka adalah menghapus / mempartisi ulang drive dan memulai kembali.
  • Pertanyaan apple.stackexchange.com ini serupa, drive FileVault eksternal tetapi tidak terpasang dengan benar dan rusak. Sayangnya tidak ada solusi di sana (hanya beberapa jenderal "jangan menulis ke drive, buat salinan cadangan dan mainkan" saran).
  • Pertanyaan lain apple.stackexchange.com memiliki perintah terminal yang dapat Anda coba (jalankan sebagai root?):

    diskutil cs unlockVolume XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
    

    Jadi bisa mencobanya dengan UUID drive Anda? Dalam kasus mereka menjawab dengan ini:

    Passphrase:
    Started CoreStorage operation
    Logical Volume successfully unlocked
    Logical Volume successfully attached as disk13
    Error: -69842: Couldn't mount disk
    

    tampaknya "tidak dikunci" tetapi tidak dapat dipasang, meskipun setidaknya mungkin Anda dapat mencoba memulihkan file di "disk13" (atau apa pun yang menurut Anda). Jika "disk13" adalah volume yang didekripsi, maka Anda mungkin dapat membaca sebagian file darinya, arahkan R-Studio padanya, buat salinan cadangan untuk dimainkan (fsck), dll.

Xen2050
sumber