![\](http://www.parisgamefestival.com/uploadfile/image/20200521/20200521195732_58084.jpg "\")
Apple T2
Apple在2018后的Mac幾乎都配上了T2安全芯片大大增加了安全性���,但是同樣的也造成當遇到系統掛掉�,或是檔案誤刪重要資料數據恢復���,要做數位鑒識狀況.
方法跟思路會跟之前完全不同.
本文針對這狀況做一個完整說明�����,以下Mac都有內建T2安全芯片�����。
-
iMac Pro
-
Mac Pro于2019年推出
-
Mac mini 于2018年推出
-
MacBook Air 在2018年或之后推出
-
MacBook Pro 在2018年或之后推出
-
首先要了解
T2芯片加密(硬件)與FileVault加密(軟件)是完全分開的�。
但是�,如果FileVault(FV)加密已打開�,則您確實需要FV密碼或FV恢復密鑰�,若沒有則無法恢復.
遇到系統掛掉,或是檔案誤刪重要數據恢復,要做數位鑒識狀況.第一步就是要取得T2 芯片Mac的硬盤鏡像
方法一.處理安全啟動設置
全部T2芯片的Mac時���,預設情況下都是啟用安全啟動設置“完全安全”和“禁止從外部媒體啟動”���。這會阻止任何外部媒體Boot(包含OS X﹑Win PE﹑Linux等)�����。
所以要更改安全啟動設置�����,然后輸入管理員密碼�。
如果您沒有管理員用戶帳戶的密碼或是不想更改這安全啟動�,方法會后續提���。
啟動安全實用程序中提供了安全啟動設置:
-
打開Mac���,然后立即按住Command(?)+ R從macOS Recovery啟動���。
-
當您看到macOS實用程序窗口時�����,從菜單欄中選擇實用程序 >'啟動安全實用程序'���。
-
當要求您進行身份驗證時���,單擊“輸入macOS密碼”�,然后選擇一個管理員帳戶并輸入其密碼�。
為了可以讓其他OS啟動�,需要將安全啟動設置更改為“ 無安全性 ”和“ 允許從外部媒體啟動 ”���。
重要說明: 如果要將安全啟動設置從“無安全性”更改回“全面安全性”���,Apple需要Internet連接�����。
外部OS一旦開啟���,這邊特別要注意針對T2安全芯片���,準備要鏡像或分析的必需已經是經過T2解密的disk 1 AFPS Container�����,
而非物理硬盤disk0(這會為T2全扇區加密狀況)
假設無Filevault密碼���,檔案系統正常+開機的OS與存在電腦上APFS版本如果相符�����,在本機就可以正常掛載
如果需要密碼則一樣輸入后就可以掛載.就可以做鏡像或是資料恢復等操作
方法二.用目標磁盤模式與另外一臺雷電3Mac做連接�。
1-如果您Mac使用T2芯片�,沒有管理員密碼或更改Mac上安全啟動設置的授權
2- Mac損壞了硬件�����,例如屏幕破裂�,等損壞
3.當macOS檢測到不支持的引導環境時(不支持此OS X版本)���,下圖所示的禁止符號(帶斜線的圓圈)就會顯示出來�����,請準備正確版本OS X或是用目標硬盤方法處理�����。
通過目標磁盤模式進行成像的步驟
1-通過先按住選項鍵以檢查是否需要韌體密碼�����,將源Mac置于目標磁盤模式(TDM) �����。然后釋放選項鍵并按住“ T ”鍵���。
對于2018/2019年型號���,您應該會在屏幕上看到Thunderbolt ���。
2-將Thunderbolt 3電線連接到待數據恢復獲取證Mac電腦���。
3-在具有Thunderbolt 3���,Thunderbolt 2或USB 3.0端口的主機Mac上�。
4-將處于目標磁盤模式的源Mac附加到引導到準備數據恢復Mac�。
再說一次APFS檔案系統架構���,外接OS X引導開機后�����,可以看到分區為disk0通常是物理磁盤�,而disk1是APFS容器disk1是disk0的延伸�。
非T2芯片單磁盤APFS對整個物理磁盤(disk0)進行映像跟內建T2完全硬體不同���。以下是原因:
1-物理磁盤包含所有用戶和系統數據(無加密)�����。
2-如果用戶為Windows OS創建了Boot Camp分區�,則Boot Camp分區位于物理磁盤上�����,而不位于APFS容器內�。
3-在某些情況下���,檢查者可能需要在macOS上掛載映像以查看或導出數據�??梢栽趍acOS上安裝物理磁盤的映像�,但是無法安裝APFS容器的映像���。
結論
內建T2安全芯片在Target disk模式下�,是最少安全驗證啟用T2狀況.
如果要做Apple Mac電腦數據恢復請慎選資料數據恢復公司….
相關推薦:
華軍科技數據恢復
