Gelöschtes verschlüsseltes OS X Extended-Volume wiederherstellen

Unter bestimmten Umständen kann ein gelöschtes externes HFS+-verschlüsseltes Volume wiederhergestellt werden, nachdem die Festplatte zu einem FAT32-Volume formatiert wurde:

• Die gesamte Festplatte wurde verschlüsselt (auf ein Volume).
• Die gesamte Festplatte wurde zu einem FAT32-Volume formatiert. Die GUID-Partitionstabelle wurde nicht durch einen MBR ersetzt. Die Festplatte hat jedoch immer noch einen MBR (anstelle eines PMBR).

• Einige interne unsichtbare CoreStorage-Datenstrukturen dürfen nicht überschrieben werden.
  • die Header-Struktur des CoreStorage-Volumes beim (vorherigen) Volume-Block 0 (= Plattenblock 409640)
  • ein zweiter Block beim (vorherigen) Volume Block 8 (= Plattenblock 409648)
  • ein verschlüsselter Metadatenblock, der beim 577456. letzten Block beginnt und beim 573360. letzten Block endet (Größe 4096 Blöcke)
  • mehrere Disk Label-Metadatenelemente in den letzten 16392 Blöcken des (vorherigen) Volumes

Wenn nichts auf das FAT32-Volume geschrieben wurde, sollten diese Teile nicht überschrieben werden.

Um das verschlüsselte Volume wiederherzustellen, müssen Sie Terminal verwenden und etwas rechnen.

1. Trennen Sie alle externen Laufwerke außer dem falsch formatierten

2. Terminal öffnen und eingeben:

   diskutil list
   

   um einen Überblick und die Laufwerkskennung des externen Laufwerks zu erhalten. Unten nehme ich an, dass die Festplattenkennung disk1 ist

3. Erstellen Sie eine Sicherungskopie der gesamten Festplatte sudo dd if=/dev/disk1 of=/Volumes/BackupVolume_Name/disk1.bin, nur für den Fall, dass etwas schief geht, oder für die Zukunft mit fortschrittlichen Wiederherstellungstools.

4. Holen Sie sich nun die Partitionstabelle der Festplatte mit:

   sudo gpt -r show /dev/disk1
   

   Sie sollten ein ähnliches Ergebnis wie dieses erhalten:

         start       size  index  contents
             0          1         MBR
             1          1         Pri GPT header
             2         32         Pri GPT table
            34          6         
            40     409600      1  GPT part - C12A7328-F81F-11D2-BA4B-00A0C93EC93B
        409640       2008         
        411648  133804032      2  GPT part - EBD0A0A2-B9E5-4433-87C0-68B6B72699C7
     134215680       2015         
     134217695         32         Sec GPT table
     134217727          1         Sec GPT header
   

   Die erste Partition ist das EFI-Volume, die zweite das FAT32-Volume der externen Festplatte. Ihre Partition 2 ist jedoch viel größer als die im Beispiel.

   Auch wenn Sie eine andere Ausgabe ohne GUID-Partitionstabelle erhalten, sondern nur mit einem MBR

         start       size index   contents
             0          1         MBR 
             1          1 
             2  134217726     1   MBR part 11
   

   Sie können fortfahren: Das Verschlüsseln einer Festplatte mit FileVault erfordert eine GUID-Partitionstabelle - Ihre Festplatte hatte also zuvor eine. Die Wahrscheinlichkeit, ein FAT-Volume auf einer Platte mit MBR wiederherzustellen, scheint jedoch viel geringer zu sein. Anscheinend können Teile (nämlich einige Metadaten und Volume-Header) durch FAT32-Dateisystem-Zeug überschrieben werden.

   Dieselbe Festplatte, die ein verschlüsseltes externes HFS+-Volume enthält, sollte folgendermaßen aussehen:

         start       size  index  contents
             0          1         PMBR
             1          1         Pri GPT header
             2         32         Pri GPT table
            34          6         
            40     409600      1  GPT part - C12A7328-F81F-11D2-BA4B-00A0C93EC93B
        409640  133545904      2  GPT part - 53746F72-6167-11AA-AA11-00306543ECAC
     133955544     262144      3  GPT part - 426F6F74-0000-11AA-AA11-00306543ECAC
     134217688          7         
     134217695         32         Sec GPT table
     134217727          1         Sec GPT header
   

   Die erste Partition ist die EFI-Partition mit fester Größe und Startblock, die dritte ist eine Apple_Boot-Partition mit fester Größe und Startblock relativ zum letzten Block der Festplatte und dem verbleibenden Speicherplatz, der der verschlüsselten logischen Kernspeichergruppe zugewiesen ist . Alle Partitionen sind auf die physische Blockgröße der Festplatte (4096 Bytes) ausgerichtet.

5. Um die alte Partitionstabelle wiederherzustellen, müssen Sie die Festplatte aushängen, die eigentliche Partitionstabelle löschen und etwas rechnen, um eine neue zu erstellen:

   diskutil umountDisk /dev/disk1
   sudo gpt destroy /dev/disk1
   diskutil umountDisk /dev/disk1
   sudo gpt create -f /dev/disk1
   gpt add -b 40 -i 1 -s 409600 -t C12A7328-F81F-11D2-BA4B-00A0C93EC93B disk1
   

6. Holen Sie sich nun die letzte Blocknummer Ihrer Festplatte (in meinem Beispiel ist das 134217727) und subtrahieren Sie 262183: LastBlockNumber-262183 ist der Startblock der 3. Partition (Apple_Boot). Fügen Sie diese Partition hinzu mit:

   gpt add -b LastBlockNumber-262183 -i 3 -s 262144 -t 426F6F74-0000-11AA-AA11-00306543ECAC disk1
   

7. Überprüfen Sie die Größe des nicht zugeordneten Speicherplatzes zwischen Partition 1 und Partition 3 mit:

   sudo gpt -r show /dev/disk1
   

8. Die Größe des nicht zugeordneten Speicherplatzes (UnAlloc) zwischen Index 1 und Index 3 entspricht wahrscheinlich der Größe des alten verschlüsselten Volumes. Die Größe muss durch 8 teilbar sein - bitte ankreuzen! Fügen Sie dies als Partition hinzu mit:

   gpt add -b 409640 -i 2 -s UnAlloc -t 53746F72-6167-11AA-AA11-00306543ECAC disk1 #with UnAlloc= size of unallocated disk space found above
   

9. Nach der Eingabe des letzten Befehls sollten Sie nach dem Passwort der verschlüsselten Festplatte gefragt werden. wenn nicht dann versuche:

   diskutil cs list
   

   , um eine Liste der CoreStorage-Elemente abzurufen. Versuchen Sie, das verschlüsselte Volume einzuhängen mit:

   diskutil cs unlockVolume LVUUID
   

   mit LVUUID: die UUID des verschlüsselten logischen Volumens (normalerweise das letzte aufgelistete). Wenn Ihr Hauptvolume ebenfalls verschlüsselt ist, wählen Sie die richtige LVUUID!

   Wenn das Volume erfolgreich bereitgestellt wird, speichern Sie die wichtigsten Dateien und Ordner auf einem externen Volume, da das Mounten des verschlüsselten Volumes nicht unbedingt bedeutet, dass das Volume nicht beschädigt ist.

   Unmounten Sie das Volume und führen Sie diskutil verifyDisk /dev/disk1and aus diskutil repairDisk /dev/disk1. Der letzte Befehl kann die Festplatte vollständig beschädigen!

Dies kann immer noch fehlschlagen. Das verschlüsselte Volume kann jedoch möglicherweise immer noch wiederhergestellt werden. Aber dann brauche ich mehr Informationen, weil spezielle (unsichtbare) Nicht-Dateisystem-Elemente mit einem HexEditor direkt von der Festplatte gelesen und dann wiederhergestellt/ersetzt werden müssen.

Ich habe die obige Antwort von Klanomath befolgt, um meine Macintosh HD erfolgreich wiederherzustellen. Ich hatte versucht, die Größe von Ubuntu (Bootcamp) aus zu ändern und meine Macintosh HD-Partition vollständig nicht mehr zu sehen. Ich hatte mehrere Posts und Tools zum Schreiben und Umschreiben von Partitionstabellen ohne Erfolg ausprobiert und war kurz davor, aufzugeben. Ich habe die Schritte Nr. 5 bis Nr. 8 aus dem Beitrag befolgt.

Ich habe # 5 gemacht und bin davon ausgegangen, dass mein EFI bei 40 gestartet wäre und die gleiche Größe von 409600 hatte. Der folgende Screenshot von stellar recovery zeigte ein erweitertes Volumen ab 40, also gab es mir etwas Hoffnung, dass mein EFI zumindest im selben Sektor gestartet wurde . Ergebnis meiner Maschine:

 diskutil umountDisk /dev/disk4
Unmount of all volumes on disk4 was successful
 sudo gpt destroy /dev/disk4
 diskutil umountDisk /dev/disk4
Unmount of all volumes on disk4 was successful
 sudo gpt create -f /dev/disk4
 gpt add -b 40 -i 1 -s 409600 -t C12A7328-F81F-11D2-BA4B-00A0C93EC93B disk4
disk4s1 added

Für Nr. 6 war hier die Ausgabe meiner Maschine:

$ sudo gpt -r show /dev/disk4
Password:
      start       size  index  contents
          0          1         PMBR
          1          1         Pri GPT header
          2         32         Pri GPT table
         34          6
         40     409600      1  GPT part - C12A7328-F81F-11D2-BA4B-00A0C93EC93B
     409640  976695387
  977105027         32         Sec GPT table
  977105059          1         Sec GPT header

Ich hatte den letzten Block meiner Festplatte (977105059), was soll nun meine dritte (letzte) Partition sein, deren Größe ich am Ende abziehen soll? (Ich erinnerte mich, dass ich früher eine Wiederherstellungsdiskette hatte, eine Ubuntu-Diskette zusätzlich zur Macintosh HD. Außerdem hatte Testdisk mir Dutzende von verlorenen Wiederherstellungspartitionen gezeigt, die ich aufgrund ihrer Größe vermutete, aber ich konnte nicht zwischen ihnen wählen ). Also habe ich mich wieder auf den obigen Screenshot bezogen (stellare Erholung). An diesem Punkt habe ich gesehen und weiß, dass eine Mac Recovery HD ungefähr 600 MB groß ist, also habe ich ein paar Kandidaten aus dem obigen Screenshot. Laut diesem Beitrag muss der Startsektor vollständig durch 8 teilbar sein, was nur für „Lost Volume 6“ aus dem Screenshot funktionierte.

Das gab mir also den Startsektor (975835488), aber was ist mit der Größe? Nun, aus ein paar Screenshots von Testdisk-Scan-Ergebnissen vor ein paar Tagen (die mir Dutzende von verlorenen Wiederherstellungs-Disk-Partitionen zeigten) war mir aufgefallen, dass, obwohl alle ihre Startsektoren unterschiedlich waren, ihre Größen gleich waren, dh 1269536 (siehe Screenshot unten). ). Dies gab mir die Gewissheit, dass dies die richtige Größe (in Sektoren) für eine Mac Recovery HD war. Also habe ich den folgenden Befehl ausgeführt (mit Startsektor: 975835488, Größe in Sektoren: 1269536)

gpt add -b 975835488 -i 3 -s 1269536 -t 426F6F74-0000-11AA-AA11-00306543ECAC disk4
disk4s3 added

Für #7, um den neuesten Status von „gpt -r show“ anzuzeigen:

$ sudo gpt -r show /dev/disk4
Password:
      start       size  index  contents
          0          1         PMBR
          1          1         Pri GPT header
          2         32         Pri GPT table
         34          6
         40     409600      1  GPT part - C12A7328-F81F-11D2-BA4B-00A0C93EC93B
     409640  975425848
  975835488    1269536      3  GPT part - 426F6F74-0000-11AA-AA11-00306543ECAC
  977105024          3
  977105027         32         Sec GPT table
  977105059          1         Sec GPT header

An diesem Punkt dachte ich: „Oh okay, also sieht meine Partitionstabelle etwas ähnlich aus wie die von dem Typen in der Post, aber das wird offensichtlich nichts bewirken“.

Es war zu diesem Zeitpunkt etwa 2 Uhr morgens und ich möchte nur alle Schritte durchgehen, um einen weiteren Beitrag zu verwerfen, weil „das habe ich auch versucht“. Also hetze ich es irgendwie durch und versuche immer noch, die Zahlen richtig zu machen.

Also jetzt für #8, von meinem letzten Screenshot, 975425848 ist die Größe und 409640 ist der Startsektor für meine Partition, die in der Mitte liegen soll (alias Macintosh HD). Also mache ich weiter, immer noch ohne große Hoffnung, und führe den folgenden Befehl aus:

gpt add -b 409640 -i 2 -s UnAlloc -t 53746F72-6167-11AA-AA11-00306543ECAC disk4
usage: gpt add [-b lba] [-i index] [-s lba] [-t uuid] device ...

oops, ich muss tatsächlich die Größe anstelle von 'UnAlloc' schreiben. Ich habe das in den Kommentaren des Typen übersehen: mit UnAlloc= Größe des oben gefundenen nicht zugeordneten Speicherplatzes

zweiter Versuch:

gpt add -b 409640 -i 2 -s 975425848 -t 53746F72-6167-11AA-AA11-00306543ECAC disk4
disk4s2 added

Diesmal brauchte der Befehl ein paar Sekunden, um eine Ausgabe zu erzeugen, die mein Herz zum Rasen brachte. Sobald es das Ergebnis lieferte (disk4s2 hinzugefügt), fragte es mich nach einem Passwort für meinen „Macintosh HD“ und ich sprang auf meinen Platz, während ich das Passwort eingab, an das ich mich erinnern kann, und voila, die Festplatte wird angezeigt und so auch alles meine Daten!!

Nach 4 vollen Tagen der Anstrengung und dem Freakout, dass ich all meine Arbeit und meine Fotobibliothek verloren hatte, konnte ich nicht glauben, dass es funktionierte. Danke, Klanomath. Danke Gott.

ps Ich habe das alles auf einem anderen Mac gemacht, mit dem der ursprüngliche Mac über Thunderbolt im Zielfestplattenmodus verbunden war. Die Stellar Recovery-Software wurde auch auf dem Mac ausgeführt, während die Ergebnisse der Testdiskette von einer Ubuntu-Live-CD auf dem ursprünglichen Mac stammten (obwohl ich sicher bin, dass ich Testdisk auch auf dem zweiten Mac hätte ausführen können, wenn auch langsamer).

Um die Festplattenverschlüsselung zu brechen, sollte entweder die Festplatte formatiert oder der Verschlüsselungsalgorithmus mit Terminal gebrochen werden. Beide Fälle führen zur Erstellung einer neuen Dateistruktur auf der Mac-Festplatte und zu Datenverlusten.

Gibt es überhaupt eine Chance, Daten wiederherzustellen?

Ich denke, die einzige Chance bleibt mit Datenwiederherstellungssoftware. Ich habe diesen Beitrag gefunden . Wie kann ich eine Mac-Festplatte verschlüsseln, entschlüsseln und wiederherstellen? . Es könnte Ihnen helfen.

Kann ich die Partitionsinformationen irgendwie wiederherstellen und die Tabelle neu erstellen?

Ist Ihre Festplattentabelle nach dem Formatieren der Festplatte beschädigt? Formatieren Sie es in HFS neu, damit eine neue Partitionstabelle generiert wird.