Recupera cancellato Encrypted OS X Volume esteso

In determinate circostanze, un volume crittografato esterno HFS + cancellato può essere ripristinato dopo che il disco è stato formattato su un volume FAT32:

• L'intero disco è stato crittografato (in un volume).
• L'intero disco è stato formattato con un volume FAT32. La tabella delle partizioni GUID non è stata sostituita da un MBR. Il disco ha ancora ha un MBR (invece di un PMBR) però.

• Alcune strutture dati interne invisibili di CoreStorage non devono essere sovrascritte.
  • la struttura dell'intestazione del volume CoreStorage sul blocco di volume (precedente) 0 (= blocco disco 409640)
  • un secondo blocco al (precedente) volume block 8 (= blocco disco 409648)
  • un blocco di metadati crittografati che inizia al 577456 ultimo blocco e termina al 573360 ° blocco (blocchi di dimensione 4096)
  • diversi elementi di metadati dell'etichetta del disco negli ultimi 16392 blocchi del volume (precedente)

Se non è stato scritto nulla sul volume FAT32, queste parti non dovrebbero essere sovrascritte.

Per recuperare il volume crittografato devi usare Terminal e fare alcuni calcoli.

1. Scollega qualsiasi unità esterna tranne quella mal formattata

2. Apri il terminale e inserisci:

   diskutil list
   

   per ottenere una panoramica e l'identificativo del disco del disco esterno. Qui sotto presumo che l'identificativo del disco sia disk1

3. Crea un backup dell'intero disco con sudo dd if=/dev/disk1 of=/Volumes/BackupVolume_Name/disk1.bin nel caso in cui qualcosa vada storto o per un futuro con strumenti di recupero avanzati.

4. Ora recupera la tabella delle partizioni del disco con:

   sudo gpt -r show /dev/disk1
   

   Dovresti ottenere un risultato simile a questo:

         start       size  index  contents
             0          1         MBR
             1          1         Pri GPT header
             2         32         Pri GPT table
            34          6         
            40     409600      1  GPT part - C12A7328-F81F-11D2-BA4B-00A0C93EC93B
        409640       2008         
        411648  133804032      2  GPT part - EBD0A0A2-B9E5-4433-87C0-68B6B72699C7
     134215680       2015         
     134217695         32         Sec GPT table
     134217727          1         Sec GPT header
   

   La prima partizione è il volume EFI, il secondo il volume FAT32 del disco esterno. La tua partizione 2 è molto più grande di quella dell'esempio.

   Anche se si ottiene un output diverso senza tabella delle partizioni GUID ma solo un MBR

         start       size index   contents
             0          1         MBR 
             1          1 
             2  134217726     1   MBR part 11
   

   puoi continuare: la crittografia di un disco con FileVault richiede una tabella di partizione GUID, quindi il tuo disco ne aveva già uno. La probabilità di recuperare un volume FAT su un disco con un MBR sembra essere molto inferiore. Apparentemente le parti (vale a dire alcuni metadati e le intestazioni di volume) potrebbero essere sovrascritte da file system FAT32.

   Lo stesso disco contenente un volume HFS + esterno crittografato dovrebbe apparire come questo:

         start       size  index  contents
             0          1         PMBR
             1          1         Pri GPT header
             2         32         Pri GPT table
            34          6         
            40     409600      1  GPT part - C12A7328-F81F-11D2-BA4B-00A0C93EC93B
        409640  133545904      2  GPT part - 53746F72-6167-11AA-AA11-00306543ECAC
     133955544     262144      3  GPT part - 426F6F74-0000-11AA-AA11-00306543ECAC
     134217688          7         
     134217695         32         Sec GPT table
     134217727          1         Sec GPT header
   

   La prima partizione è la partizione EFI con una dimensione fissa e un blocco di avvio, la terza è una partizione Apple_Boot con una dimensione fissa e un blocco iniziale relativi all'ultimo blocco del disco e lo spazio rimanente sul disco assegnato al Core crittografato Gruppo logico di archiviazione. Tutte le partizioni sono allineate alle dimensioni del blocco fisico del disco (4096 byte).

5. Per ripristinare la vecchia tabella delle partizioni è necessario smontare il disco, eliminare la tabella delle partizioni effettiva e fare alcuni calcoli per crearne una nuova:

   diskutil umountDisk /dev/disk1
   sudo gpt destroy /dev/disk1
   diskutil umountDisk /dev/disk1
   sudo gpt create -f /dev/disk1
   gpt add -b 40 -i 1 -s 409600 -t C12A7328-F81F-11D2-BA4B-00A0C93EC93B disk1
   

6. Ora ottieni l'ultimo numero di blocco del tuo disco (nel mio esempio è 134217727) e sottrazione 262183: LastBlockNumber-262183 è il blocco iniziale della terza partizione (Apple_Boot). Aggiungi questa partizione con:

   gpt add -b LastBlockNumber-262183 -i 3 -s 262144 -t 426F6F74-0000-11AA-AA11-00306543ECAC disk1
   

7. Controllare la dimensione dello spazio su disco non allocato tra la partizione 1 e la partizione 3 con:

   sudo gpt -r show /dev/disk1
   

8. La dimensione dello spazio su disco non allocato (UnAlloc) tra indice 1 e indice 3 è probabilmente la dimensione del vecchio volume crittografato. La dimensione deve essere divisibile per 8 - per favore controlla questo! Aggiungi questo come una partizione con:

   gpt add -b 409640 -i 2 -s UnAlloc -t 53746F72-6167-11AA-AA11-00306543ECAC disk1 #with UnAlloc= size of unallocated disk space found above
   

9. Dopo aver inserito l'ultimo comando ti dovrebbe essere chiesta la password del disco crittografato. in caso contrario, prova:

   diskutil cs list
   

   per ottenere un elenco di elementi CoreStorage. Prova a montare il volume crittografato con:

   diskutil cs unlockVolume LVUUID
   

   con LVUUID: l'UUID del volume logico crittografato (di solito l'ultimo elencato). Se il tuo volume principale è anche crittografato scegli il giusto LVUUID!

   Se il volume viene montato correttamente, salva i file e le cartelle più importanti su un volume esterno perché il montaggio del volume crittografato non significa necessariamente che il volume non sia corrotto.

   Smonta il volume ed esegui diskutil verifyDisk /dev/disk1 e diskutil repairDisk /dev/disk1 . L'ultimo comando potrebbe danneggiare completamente il disco!

Questo potrebbe ancora fallire. Tuttavia, il volume crittografato potrebbe essere ancora recuperabile. Ma poi ho bisogno di ulteriori informazioni, perché gli elementi speciali (invisibili) non di sistema devono essere letti direttamente dal disco con un HexEditor e poi ripristinati / sostituiti.

Ho seguito la risposta di Klanomath sopra per recuperare con successo il mio Macintosh HD. Avevo provato a ridimensionarlo da ubuntu (Bootcamp) e ho smesso completamente di vedere la mia partizione Macintosh HD. Avevo provato diversi post e strumenti per scrivere e riscrivere le tabelle delle partizioni senza successo e stavo per arrendermi. Ho seguito i passaggi da # 5 a # 8 del post.

Ho fatto # 5 e ho pensato che la mia EFI sarebbe iniziata a 40 e aveva la stessa dimensione 409600. Il seguente screenshot di recupero stellare ha mostrato un volume avanzato a partire da 40 quindi mi ha dato qualche speranza che il mio EFI almeno iniziasse a lo stesso settore. Risultatodallamiamacchina:

diskutilumountDisk/dev/disk4Unmountofallvolumesondisk4wassuccessfulsudogptdestroy/dev/disk4diskutilumountDisk/dev/disk4Unmountofallvolumesondisk4wassuccessfulsudogptcreate-f/dev/disk4gptadd-b40-i1-s409600-tC12A7328-F81F-11D2-BA4B-00A0C93EC93Bdisk4disk4s1added

Per#6,eccol'outputdallamiamacchina:

$sudogpt-rshow/dev/disk4Password:startsizeindexcontents01PMBR11PriGPTheader232PriGPTtable346404096001GPTpart-C12A7328-F81F-11D2-BA4B-00A0C93EC93B40964097669538797710502732SecGPTtable9771050591SecGPTheader

Hoavutol'ultimobloccodelmioharddisk(977105059),oraqualedovrebbeesserelamiaterza(ultima)partizionedicuidovreisottrarreladimensioneallafine?(Misonoricordatocheavevoundiscodiripristino,undiscodiUbuntuoltrealMacintoshHD.Inoltre,iltestdiskmiavevamostratodozzinedipartizionidiripristinoperse,chehoindovinatoinbaseallelorodimensioni,manonpotevosceglieretraloro).Quindihofattodinuovoriferimentoalloscreenshotsopra(recuperostellare).AquestopuntohovistoesocheunMacRecoveryHDèdicirca600MB,quindihoalcunicandidatidalloscreenshotquisopra.Secondoquestopost,ilsettoredipartenzadeveessereingradodiesserecompletamentedivisibileper8,chehafunzionatosoloper"Lost Volume 6" dallo screenshot.

Quindi questo mi ha dato il settore di partenza (975835488) ma per quanto riguarda le dimensioni? Bene, da alcuni screenshot di un paio di giorni fa dei risultati della scansione del testdisk (che mi hanno mostrato dozzine di partizioni del disco di ripristino perse) avevo notato che sebbene tutti i loro settori iniziali fossero diversi, le loro dimensioni erano le stesse, ovvero 1269536 (vedere la schermata qui sotto ). Questo mi ha dato la certezza che questa fosse la giusta dimensione (in settori) per un Mac Recovery HD. Cosìhoeseguitoilseguentecomando(utilizzandoilsettoreiniziale:975835488,Dimensioneneisettori:1269536)

gptadd-b975835488-i3-s1269536-t426F6F74-0000-11AA-AA11-00306543ECACdisk4disk4s3added

Per#7,permostrarelostatopiùrecentedi'gpt-rshow':

$sudogpt-rshow/dev/disk4Password:startsizeindexcontents01PMBR11PriGPTheader232PriGPTtable346404096001GPTpart-C12A7328-F81F-11D2-BA4B-00A0C93EC93B40964097542584897583548812695363GPTpart-426F6F74-0000-11AA-AA11-00306543ECAC977105024397710502732SecGPTtable9771050591SecGPTheader

Aquestopuntohopensato"Oh ok, quindi il mio tavolo delle partizioni è leggermente simile a quello del post, ma ovviamente non farà nulla".

A quel punto erano circa le 2 AM e voglio solo passare attraverso tutti i passaggi per scartare un altro post perché "Ho provato anche questo". Quindi sto cercando di ottenere i numeri corretti.

Quindi ora per # 8, dal mio ultimo screenshot, 975425848 è la dimensione, e 409640 è il settore di partenza per la mia partizione che dovrebbe essere nel mezzo (nota come Macintosh HD). Quindi vado avanti, ancora senza molte speranze, ed eseguo il seguente comando:

gpt add -b 409640 -i 2 -s UnAlloc -t 53746F72-6167-11AA-AA11-00306543ECAC disk4
usage: gpt add [-b lba] [-i index] [-s lba] [-t uuid] device ...

oops, in realtà devo scrivere la dimensione al posto di "UnAlloc". Ho perso questo dai commenti del ragazzo: con UnAlloc = dimensione dello spazio disco non allocato trovato sopra

secondo tentativo:

gpt add -b 409640 -i 2 -s 975425848 -t 53746F72-6167-11AA-AA11-00306543ECAC disk4
disk4s2 added

Questa volta il comando ha richiesto un paio di secondi per produrre un risultato che mi ha fatto battere il cuore. Appena ha prodotto il risultato (disk4s2 aggiunto) mi ha chiesto una password per il mio "Macintosh HD" e sto saltando sul mio posto mentre inserisco la password che posso ricordare e voilà, il disco si presenta e così fa tutto i miei dati !!

Dopo 4 giorni interi di sforzi e malumori che avevo perso tutto il mio lavoro e la mia libreria fotografica, non potevo credere che funzionasse. Grazie, klanomath. Grazie, Dio.

P.S. Ho fatto tutto questo su un altro Mac con il mac originale collegato ad esso tramite fulmine in modalità disco di destinazione. Il software Stellar Recovery è stato eseguito anche su mac mentre i risultati del test del disco sono stati da un cd live di Ubuntu sul mac originale (anche se sono sicuro che avrei potuto eseguire testdisk sul secondo mac anche se più lento)

Per interrompere la crittografia del disco rigido, il disco deve essere formattato o l'algoritmo di crittografia può essere rotto utilizzando Terminal. Entrambi i casi determineranno la creazione di una nuova struttura di file sul disco rigido del Mac e con conseguente perdita di dati.

Qualche possibilità di recuperare dati?

Immagino che l'unica possibilità rimanga con il software di recupero dati. Ho trovato questo post Come crittografare, decrittografare e recuperare Mac hard guidare? . Potrebbe aiutarti.

Posso in qualche modo recuperare le informazioni sulla partizione e ricostruire la tabella?

La tabella del disco rigido è danneggiata dopo la formattazione del disco? Riformattalo su HFS in modo che venga generata una nuova tabella delle partizioni.