内建Apple T2芯片Mac数据恢复与镜像方法

 新闻资讯     |      2020-10-06 09:55

  Apple在2018后的Mac几乎都配上了T2安全芯片大大增加了安全性,但是同样的也造成当遇到系统挂掉,或是档案误删重要资料数据恢复,要做数位鉴识状况.

  方法跟思路会跟之前完全不同.

  本文针对这状况做一个完整说明,以下Mac都有内建T2安全芯片。

  iMac Pro

  Mac Pro于2019年推出

  Mac mini 于2018年推出

  MacBook Air 在2018年或之后推出

  MacBook Pro 在2018年或之后推出

  首先要了解

  T2芯片加密(硬件)与FileVault加密(软件)是完全分开的。

  但是,如果FileVault(FV)加密已打开,则您确实需要FV密码或FV恢复密钥,若没有则无法恢复.

  遇到系统挂掉,或是档案误删重要数据恢复,要做数位鉴识状况.第一步就是要取得T2 芯片Mac的硬盘镜像

  方法一.处理安全启动设置

  全部T2芯片的Mac时,预设情况下都是启用安全启动设置“完全安全”和“禁止从外部媒体启动”。这会阻止任何外部媒体Boot(包含OS X﹑Win PE﹑Linux等)。

  所以要更改安全启动设置,然后输入管理员密码。

  如果您没有管理员用户帐户的密码或是不想更改这安全启动,方法会后续提。

divider

  启动安全实用程序中提供了安全启动设置:

  打开Mac,然后立即按住Command(⌘)+ R从macOS Recovery启动。

  当您看到macOS实用程序窗口时,从菜单栏中选择实用程序 >'启动安全实用程序'。

  当要求您进行身份验证时,单击“输入macOS密码”,然后选择一个管理员帐户并输入其密码。

  为了可以让其他OS启动,需要将安全启动设置更改为“ 无安全性 ”和“ 允许从外部媒体启动 ”。

  ​

  重要说明: 如果要将安全启动设置从“无安全性”更改回“全面安全性”,Apple需要Internet连接。

  外部OS一旦开启,这边特别要注意针对T2安全芯片,准备要镜像或分析的必需已经是经过T2解密的disk 1 AFPS Container,

  而非物理硬盘disk0(这会为T2全扇区加密状况)

  假设无Filevault密码,档案系统正常+开机的OS与存在电脑上APFS版本如果相符,在本机就可以正常挂载

  如果需要密码则一样输入后就可以挂载.就可以做镜像或是资料恢复等操作

  方法二.用目标磁盘模式与另外一台雷电3Mac做连接。

  1-如果您Mac使用T2芯片,没有管理员密码或更改Mac上安全启动设置的授权

  2- Mac损坏了硬件,例如屏幕破裂,等损坏

  3.当macOS检测到不支持的引导环境时(不支持此OS X版本),下图所示的禁止符号(带斜线的圆圈)就会显示出来,请准备正确版本OS X或是用目标硬盘方法处理。

  通过目标磁盘模式进行成像的步骤

  1-通过先按住选项键以检查是否需要韧体密码,将源Mac置于目标磁盘模式(TDM) 。然后释放选项键并按住“ T ”键。

  对于2018/2019年型号,您应该会在屏幕上看到Thunderbolt 。

  2-将Thunderbolt 3电线连接到待数据恢复获取证Mac电脑。

  3-在具有Thunderbolt 3,Thunderbolt 2或USB 3.0端口的主机Mac上。

  4-将处于目标磁盘模式的源Mac附加到引导到准备数据恢复Mac。

  再说一次APFS档案系统架构,外接OS X引导开机后,可以看到分区为disk0通常是物理磁盘,而disk1是APFS容器disk1是disk0的延伸。

  非T2芯片单磁盘APFS对整个物理磁盘(disk0)进行映像跟内建T2完全硬体不同。以下是原因:

  1-物理磁盘包含所有用户和系统数据(无加密)。

  2-如果用户为Windows OS创建了Boot Camp分区,则Boot Camp分区位于物理磁盘上,而不位于APFS容器内。

  3-在某些情况下,检查者可能需要在macOS上挂载映像以查看或导出数据。可以在macOS上安装物理磁盘的映像,但是无法安装APFS容器的映像。

  结论

  内建T2安全芯片在Target disk模式下,是最少安全验证启用T2状况.

  如果要做Apple Mac电脑数据恢复请慎选资料数据恢复公司….