在本文中,我們將演示使用Data Extractor來識別使用FileVault加密的Macintosh系統中的加密密鑰位置。我們還將分享一些使用Data Extractor的技巧和方法。
我們開始探索’(Mac OS X)Boot Recovery HD’磁盤一段時間,我們注意到有FileVault分區的加密密鑰。
當我們輸入FileVault分區的密碼時,該密鑰將被應用。名為’EncryptedRoot.plist.wipekey’,保存于’com.apple.corestorage’文件夾中。
我們將這個文件保存到本地磁盤上
在某些情況下,該文件可以位于另一個地方或被刪除。
我們的目的是在我們輸入加密分區的密碼時上傳這個文件,所以盡管我們不寫這個文件,但是我們知道文件的確切名稱,可以在另一個地方找到它。
當文件被刪除或分區格式化時,我們分別使用“掃描目錄文件”選項或“分區分析”。
我們創建加密分區的映射。
當您為加密的分區創建位圖時,有一個重要的參數:Data Extractor要求您創建驅動器的子位圖。它看起來像這樣:
關鍵在于,FileVault解密程序對扇區位置非常敏感。當我們創建驅動器的子映射時,扇區將被轉移,而Data Extractor無法找到支持扇區并對分區進行解密。所以,我們的選擇是“不”。
應用位圖作為加密磁盤并輸入密碼。
重新生成以下報告:
最后,我們得到的文件結構:
可以打開文件
當您無法使用Data Extractor解密FileVault分區時,請密切關注這些功能。 這可能不是一個常見的問題,但我們希望它在某些情況下對您有所幫助。
祝數據恢復好運