-400-187-6897
新闻资讯
公司新闻媒体报道热门下载

内建Apple T2芯片Mac数据恢复与镜像方法




Apple在2018后的Mac几乎都配上了T2安全芯片大大增加了安全性,但是同样的也造成当遇到系统挂掉,或是档案误删重要资料数据恢复,要做数位鉴识状况.
方法跟思路会跟之前完全不同.

本文针对这状况做一个完整说明,以下Mac都有内建T2安全芯片。

首先要了解
T2芯片加密(硬件)与FileVault加密(软件)是完全分开的。
但是,如果FileVault(FV)加密已打开,则您确实需要FV密码或FV恢复密钥,若没有则无法恢复.


遇到系统挂掉,或是档案误删重要数据恢复,要做数位鉴识状况.第一步就是要取得T2 芯片Mac的硬盘镜像 

方法一.处理安全启动设置

全部T2芯片的Mac时,预设情况下都是启用安全启动设置“完全安全”和“禁止从外部媒体启动”。这会阻止任何外部媒体Boot(包含OS X﹑Win PE﹑Linux等)。
所以要更改安全启动设置,然后输入管理员密码。
如果您没有管理员用户帐户的密码或是不想更改这安全启动,方法会后续提。

divider

启动安全实用程序中提供了安全启动设置:

  1. 打开Mac,然后立即按住Command(⌘)+ R从macOS Recovery启动。
  2. 当您看到macOS实用程序窗口时,从菜单栏中选择实用程序 >'启动安全实用程序'。
  3. 当要求您进行身份验证时,单击“输入macOS密码”,然后选择一个管理员帐户并输入其密码。

为了可以让其他OS启动,需要将安全启动设置更改为“ 无安全性 ”和“ 允许从外部媒体启动 ”。


重要说明:   如果要将安全启动设置从“无安全性”更改回“全面安全性”,Apple需要Internet连接。

外部OS一旦开启,这边特别要注意针对T2安全芯片,准备要镜像或分析的必需已经是经过T2解密的disk 1 AFPS Container,
而非物理硬盘disk0(这会为T2全扇区加密状况) 


 

假设无Filevault密码,档案系统正常+开机的OS与存在电脑上APFS版本如果相符,在本机就可以正常挂载
如果需要密码则一样输入后就可以挂载.就可以做镜像或是资料恢复等操作

方法二.用目标磁盘模式与另外一台雷电3Mac做连接。

1-如果您Mac使用T2芯片,没有管理员密码或更改Mac上安全启动设置的授权

2- Mac损坏了硬件,例如屏幕破裂,等损坏

3.当macOS检测到不支持的引导环境时(不支持此OS X版本),下图所示的禁止符号(带斜线的圆圈)就会显示出来,请准备正确版本OS X或是用目标硬盘方法处理。

通过目标磁盘模式进行成像的步骤

1-通过先按住选项键以检查是否需要韧体密码,将源Mac置于目标磁盘模式(TDM) 。然后释放选项键并按住“ T ”键。

对于2018/2019年型号,您应该会在屏幕上看到Thunderbolt  。
2-将Thunderbolt 3电线连接到待数据恢复获取证Mac电脑。
3-在具有Thunderbolt 3,Thunderbolt 2或USB 3.0端口的主机Mac上。
4-将处于目标磁盘模式的源Mac附加到引导到准备数据恢复Mac。

再说一次APFS档案系统架构,外接OS X引导开机后,可以看到分区为disk0通常是物理磁盘,而disk1是APFS容器disk1是disk0的延伸。

非T2芯片单磁盘APFS对整个物理磁盘(disk0)进行映像跟内建T2完全硬体不同。以下是原因:

1-物理磁盘包含所有用户和系统数据(无加密)。

2-如果用户为Windows OS创建了Boot Camp分区,则Boot Camp分区位于物理磁盘上,而不位于APFS容器内。

3-在某些情况下,检查者可能需要在macOS上挂载映像以查看或导出数据。可以在macOS上安装物理磁盘的映像,但是无法安装APFS容器的映像。

结论
内建T2安全芯片在Target disk模式下,是最少安全验证启用T2状况.
如果要做Apple Mac电脑数据恢复请慎选资料数据恢复公司….

400-187-6897