FileVault 2数据恢复案例研究:Macbook Pro

这个客户在遇到“灰色死机屏幕”后把他们的硬盘交给了我们。从他们的Macbook Pro电脑中取出的故障日立硬盘是完全加密的。加密会使文件恢复过程变得非常复杂。我们的FileVault 2数据恢复工作需要很长的过程才能将客户的数据恢复给他们。

这个数据恢复案例中的客户愉快地使用了他们的Macbook Pro笔记本电脑三年半，没有发生任何事故。有一天，他们打开笔记本电脑，却看到了灰色死机屏幕。这个错误表明Mac无法找到有效的系统文件夹．

客户把他们的Macbook带到当地的苹果专卖店，然后又去了当地的电脑修理店。他们最终被引导到我们这里来恢复他们的家庭照片、家庭视频和微软Word文档。

乍一看，分区方案的某些内容可能会让数据恢复新手感到奇怪。在500g的日立硬盘上只有两个可识别的分区。有一个200兆字节EFI分区，以及大小约620兆字节的HFS+文件系统。

这个驱动器似乎只使用了大约464兆字节中的820兆字节可用的容量．这太荒谬了。不过，这个奇怪的现象并没有让我们的数据恢复技术人员感到困惑。这样的案例经常出现。客户的硬盘已经用苹果的加密了FileVault 2加密工具。这使得他们的主数据分区不可见。

苹果公司在2003年开发了文件库加密功能。文件库实时保护用户的主文件夹的内容。这意味着从加密区域访问和写入加密区域的数据在使用时实时加密和解密。几年后，FileVault 2发布了。FileVault 2加密用户硬盘驱动器上的整个系统分区，而不仅仅是用户的Home文件夹。

在用户的计算机之外，如果没有正确的密码，主数据分区是完全不可见的。只能看到较小的EFI和恢复分区。这与BitLocker和TrueCrypt等其他全磁盘加密软件工具的工作原理类似。这与西部数据的硬件水平非常不同SmartWare加密．然而，它给数据恢复带来了许多类似的挑战。

FileVault 2数据恢复过程

从加密硬盘中恢复数据可能很困难。我们的工程师没有办法精确定位驱动器的关键区域，进行有针对性的文件恢复。在解密硬盘之前，需要对其进行成像。但我们的工程师在硬盘被解密之前无法看到已经恢复或尚未恢复的内容。这是一个数据恢复的两难境地。这就是为什么加密可以使数据恢复成为一个棘手的问题。幸运的是，客户的日立硬盘没有出现严重的问题。我们能得到驱动器二进制扇区的100%图像。

客户的硬盘驱动器已经完全镜像到我们内部使用的客户数据驱动器之一。为我们的客户执行文件Vault 2恢复，接下来是一个漫长的多步骤过程。即使从加密硬盘恢复文件最简单的情况也涉及这些漫长的步骤。然后将完全加密的磁盘映像交给我们的逻辑数据恢复工程师Cody进行解密。

要解密客户端的硬盘驱动器，需要将该驱动器连接到我们的一台Mac机器上并进行解密。当然，这需要客户向我们提供他们的密码。毕竟，如果加密可以如此容易地规避，它对任何人都没有多大好处。

解密后，科迪得到了另一个硬盘的图像。但是Cody还没有完成这个FileVault 2数据恢复案例。还有更多的工作要做。解密的磁盘映像必须被克隆到它自己的硬盘驱动器上。FileVault 2数据恢复过程的下一步是使用男人就好像它是客户的驱动器一样。这将把客户端恢复的数据转换成可用的形式。

科迪能够使用HOMBRE读取客户端的镜像和解密硬盘驱动器，就像一本打开的书。在如此漫长的解密过程之后，找到驱动器的分区信息和文件定义似乎不花任何时间。在漫长的加密数据成像过程的最后是一个相对较短的文件恢复过程。我们恢复了用户的所有文件。我们最终给这个FileVault 2数据恢复案例打分10分。