Recuperar el volumen extendido OS X cifrado eliminado

Bajo ciertas circunstancias, un volumen externo encriptado HFS + eliminado se puede recuperar después de que el disco haya sido formateado a un volumen FAT32:

• Se ha cifrado todo el disco (a un volumen).
• Todo el disco se ha formateado en un volumen FAT32. La tabla de particiones GUID no ha sido reemplazada por un MBR. El disco todavía tiene un MBR (en lugar de un PMBR), sin embargo.

• Algunas estructuras de datos internas invisibles de CoreStorage no deben sobrescribirse.
  • la estructura de encabezado de volumen CoreStorage en el bloque de volumen (anterior) 0 (= bloque de disco 409640)
  • un segundo bloque en el (anterior) bloque de volumen 8 (= bloque de disco 409648)
  • un bloque de metadatos cifrados que comienza en el último bloque 577456 y termina en el último bloque 573360 (bloques de tamaño 4096)
  • varios elementos de metadatos de la etiqueta de disco en los últimos 16392 bloques del volumen (anterior)

Si no se ha escrito nada en el volumen FAT32, esas partes no deben sobrescribirse.

Para recuperar el volumen cifrado, debes usar Terminal y hacer algunos cálculos.

1. Desconecte cualquier unidad externa, excepto la que está mal formateada

2. Abre la Terminal e ingresa:

   diskutil list
   

   para obtener una descripción general y el identificador de disco del disco externo. A continuación, asumo que el identificador de disco es disk1

3. Haga una copia de seguridad de todo el disco con sudo dd if=/dev/disk1 of=/Volumes/BackupVolume_Name/disk1.bin en caso de que algo salga mal o en el futuro con herramientas de recuperación avanzadas.

4. Ahora obtenga la tabla de particiones del disco con:

   sudo gpt -r show /dev/disk1
   

   Deberías obtener un resultado similar a este:

         start       size  index  contents
             0          1         MBR
             1          1         Pri GPT header
             2         32         Pri GPT table
            34          6         
            40     409600      1  GPT part - C12A7328-F81F-11D2-BA4B-00A0C93EC93B
        409640       2008         
        411648  133804032      2  GPT part - EBD0A0A2-B9E5-4433-87C0-68B6B72699C7
     134215680       2015         
     134217695         32         Sec GPT table
     134217727          1         Sec GPT header
   

   La primera partición es el volumen EFI, la segunda el volumen FAT32 del disco externo. Sin embargo, su partición 2 es mucho más grande que la del ejemplo.

   Incluso si obtiene una salida diferente sin una tabla de particiones GUID pero solo un MBR

         start       size index   contents
             0          1         MBR 
             1          1 
             2  134217726     1   MBR part 11
   

   puede continuar: cifrar un disco con FileVault requiere una tabla de particiones GUID, por lo que su disco tenía una. Sin embargo, la probabilidad de recuperar un volumen FAT en un disco con un MBR parece ser mucho menor. Al parecer, las partes (es decir, algunos metadatos y encabezados de volumen) pueden sobrescribirse con el sistema de archivos FAT32.

   El mismo disco que contiene un volumen HFS + externo encriptado debería tener este aspecto:

         start       size  index  contents
             0          1         PMBR
             1          1         Pri GPT header
             2         32         Pri GPT table
            34          6         
            40     409600      1  GPT part - C12A7328-F81F-11D2-BA4B-00A0C93EC93B
        409640  133545904      2  GPT part - 53746F72-6167-11AA-AA11-00306543ECAC
     133955544     262144      3  GPT part - 426F6F74-0000-11AA-AA11-00306543ECAC
     134217688          7         
     134217695         32         Sec GPT table
     134217727          1         Sec GPT header
   

   La primera partición es la partición EFI con un tamaño fijo y un bloque de inicio, la tercera es una partición Apple_Boot con un tamaño fijo y un bloque de inicio en relación con el último bloque del disco y el espacio de disco restante asignado al Core cifrado Grupo lógico de almacenamiento. Todas las particiones están alineadas con el tamaño de bloque físico del disco (4096 Bytes).

5. Para restaurar la tabla de particiones antigua, debe desmontar el disco, eliminar la tabla de particiones real y hacer algunos cálculos para crear uno nuevo:

   diskutil umountDisk /dev/disk1
   sudo gpt destroy /dev/disk1
   diskutil umountDisk /dev/disk1
   sudo gpt create -f /dev/disk1
   gpt add -b 40 -i 1 -s 409600 -t C12A7328-F81F-11D2-BA4B-00A0C93EC93B disk1
   

6. Ahora obtenga el último número de bloque de su disco (en mi ejemplo, 134217727) y reste 262183: LastBlockNumber-262183 es el bloque de inicio de la 3ª partición (Apple_Boot). Añade esta partición con:

   gpt add -b LastBlockNumber-262183 -i 3 -s 262144 -t 426F6F74-0000-11AA-AA11-00306543ECAC disk1
   

7. Verifique el tamaño del espacio en disco no asignado entre la partición 1 y la partición 3 con:

   sudo gpt -r show /dev/disk1
   

8. El tamaño del espacio en disco no asignado (UnAlloc) entre el índice 1 y el índice 3 es probablemente el tamaño del volumen cifrado anterior. El tamaño tiene para ser divisible por 8 - ¡por favor verifique esto! Añade esto como una partición con:

   gpt add -b 409640 -i 2 -s UnAlloc -t 53746F72-6167-11AA-AA11-00306543ECAC disk1 #with UnAlloc= size of unallocated disk space found above
   

9. Después de ingresar el último comando, se le pedirá la contraseña del disco cifrado. si no, entonces intente:

   diskutil cs list
   

   para obtener una lista de elementos CoreStorage. Intente montar el volumen cifrado con:

   diskutil cs unlockVolume LVUUID
   

   con LVUUID: el UUID del volumen lógico encriptado (generalmente el último listado). Si su volumen principal también está cifrado, elija el LVUUID adecuado.

   Si los montajes de volumen guardan con éxito los archivos y carpetas más importantes en un volumen externo porque el montaje del volumen cifrado no significa necesariamente que el volumen no esté dañado.

   Desmonte el volumen y ejecute diskutil verifyDisk /dev/disk1 y diskutil repairDisk /dev/disk1 . ¡El último comando puede dañar completamente el disco!

Esto todavía podría fallar. El volumen cifrado todavía puede ser recuperable. Pero luego necesito más información, ya que los elementos especiales (invisibles) que no pertenecen a un sistema de archivos se deben leer directamente desde el disco con un HexEditor y luego deben restaurarse / reemplazarse.

Seguí la respuesta de Klanomath anterior para recuperar exitosamente mi Macintosh HD. Intenté cambiar su tamaño desde ubuntu (Bootcamp) y dejé de ver mi partición Macintosh HD. Intenté varias publicaciones y herramientas para escribir y reescribir tablas de partición sin éxito y estaba a punto de rendirme. Seguí los pasos # 5 a # 8 de la publicación.

Hice el # 5 y asumí que mi EFI habría empezado a los 40 y tenía el mismo tamaño de 409600. La siguiente captura de pantalla de la recuperación estelar mostró un volumen avanzado a partir de los 40, por lo que me dio alguna esperanza de que mi EFI al menos comenzara El mismo sector. Resultadodemimáquina:

diskutilumountDisk/dev/disk4Unmountofallvolumesondisk4wassuccessfulsudogptdestroy/dev/disk4diskutilumountDisk/dev/disk4Unmountofallvolumesondisk4wassuccessfulsudogptcreate-f/dev/disk4gptadd-b40-i1-s409600-tC12A7328-F81F-11D2-BA4B-00A0C93EC93Bdisk4disk4s1added

Parael#6,aquíestabalasalidademimáquina:

$sudogpt-rshow/dev/disk4Password:startsizeindexcontents01PMBR11PriGPTheader232PriGPTtable346404096001GPTpart-C12A7328-F81F-11D2-BA4B-00A0C93EC93B40964097669538797710502732SecGPTtable9771050591SecGPTheader

Tuveelúltimobloquedemidiscoduro(977105059),¿cuáldeberíasermitercera(última)particióncuyotamañodeborestardelfinal?(Recordéquesolíatenerundiscoderecuperación,undiscodeubuntuademásdelHDdeMacintosh.Además,testdiskmehabíamostradodocenasdeparticionesderecuperaciónperdidas,quesupuseenfuncióndesustamaños,peronopodíaelegirentreellas).).Asíquemereferídenuevoalacapturadepantallaanterior(recuperaciónestelar).Enestepunto,hevistoyséqueunMacRecoveryHDesdeaproximadamente600ishMB,asíquetengoalgunoscandidatosdelacapturadepantallaanterior.Segúnestapublicación,elsectorinicialdebepoderdividirsecompletamenteentre8,quesolofuncionóparael"Volumen perdido 6" de la captura de pantalla.

Así que eso me dio el sector inicial (975835488) pero ¿qué pasa con el tamaño? Bueno, a partir de unas pocas capturas de pantalla de resultados de análisis de testdisk (que me mostraron docenas de particiones de disco de recuperación perdidas) noté que aunque todos sus sectores iniciales eran diferentes, sus tamaños eran los mismos, es decir, 1269536 (ver captura de pantalla a continuación ). Esto me dio la confianza de que este era el tamaño correcto (en sectores) para una mac Recovery HD. Asíqueejecutéelsiguientecomando(usandoelsectorinicial:975835488,tamañoensectores:1269536)

gptadd-b975835488-i3-s1269536-t426F6F74-0000-11AA-AA11-00306543ECACdisk4disk4s3added

Para#7,paramostrarelestadomásrecientede'gpt-rshow':

$sudogpt-rshow/dev/disk4Password:startsizeindexcontents01PMBR11PriGPTheader232PriGPTtable346404096001GPTpart-C12A7328-F81F-11D2-BA4B-00A0C93EC93B40964097542584897583548812695363GPTpart-426F6F74-0000-11AA-AA11-00306543ECAC977105024397710502732SecGPTtable9771050591SecGPTheader

Enestepunto,yoestabacomo,"Oh, está bien, entonces mi tabla de particiones parece un poco similar a la del tipo en la publicación, pero obviamente eso no va a hacer nada".

Eran como las 2 de la madrugada en ese momento y solo quiero seguir todos los pasos para descartar otra publicación porque "también lo intenté". Así que me estoy apresurando a seguir intentando entender correctamente los números.

Así que ahora para el # 8, de mi última captura de pantalla, 975425848 es el tamaño, y 409640 es el sector de inicio para mi partición que se supone que está en el medio (también conocido como Macintosh HD). Así que sigo adelante, aún sin mucha esperanza, y ejecuto el siguiente comando:

gpt add -b 409640 -i 2 -s UnAlloc -t 53746F72-6167-11AA-AA11-00306543ECAC disk4
usage: gpt add [-b lba] [-i index] [-s lba] [-t uuid] device ...

Uy, en realidad tengo que escribir el tamaño en lugar de 'UnAlloc'. Me perdí esto de los comentarios del chico: con UnAlloc = tamaño del espacio en disco no asignado que se encuentra arriba

segundo intento:

gpt add -b 409640 -i 2 -s 975425848 -t 53746F72-6167-11AA-AA11-00306543ECAC disk4
disk4s2 added

Esta vez el comando tomó un par de segundos para producir una salida que aceleró mi corazón. Tan pronto como produjo el resultado (disco4s2 agregado) me pidió una contraseña para mi "Macintosh HD" y estoy saltando en mi asiento cuando ingreso la contraseña que puedo recordar y listo, el disco aparece y todo lo demás. mis datos !!

Después de 4 días completos de esfuerzo y freakout, perdí todo mi trabajo y mi biblioteca de fotos, no podía creer que funcionara. Gracias, klanomath. Gracias, Dios.

p.s. Hice todo esto en otro mac con el mac original conectado a través de thunderbolt en modo de disco de destino. El software Stellar Recovery también se ejecutó en el Mac, mientras que los resultados del disco de prueba procedían de un Live CD de Ubuntu en el Mac original (aunque estoy seguro de que podría haber ejecutado TestDisk en el segundo Mac también, aunque sea más lento)

Para romper el cifrado del disco duro, se debe formatear el disco o romper el algoritmo de cifrado mediante Terminal. Ambos casos resultarán en la creación de una nueva estructura de archivos en el disco duro de Mac y en la pérdida de datos.

¿Alguna posibilidad de recuperar datos?

Supongo que la única posibilidad es tener un software de recuperación de datos. Encontré esta publicación Cómo cifrar, descifrar y recuperar Mac duro conducir? . Te podría ayudar.

¿Puedo recuperar de algún modo la información de la partición y reconstruir la tabla?

¿Está dañada la tabla del disco duro después de formatear el disco? Vuelva a formatearlo a HFS para que se genere una nueva tabla de particiones.