¿Cómo puedo volcar mi SSD de arranque para inspeccionar el volcado en el editor HEX?

Navega tus respuestas
0

Estoy en macbook. He cifrado el volumen de arranque. Conozco mi contraseña y normalmente puedo iniciar sesión en mi perfil en macOs. Necesito hacer un volcado de particiones cifradas en su estado descifrado para buscar una secuencia de bytes específica. Pasos que hice:

  • iniciar sesión en modo de recuperación

  • monta la partición a través de diskutil

  • ejecuta el terminal y trata de leer / dev / disk1s1

Muestra el siguiente error: 

cat: /dev/disk1s1: Operation not permitted

También probé con editores hexadecimales y modo sudo.

¿Hay alguna forma de acceder a la secuencia de bytes en bruto sin cifrar en el SSD interno de mi macbook?

    
pregunta user3759015 29.11.2017 - 14:51

1 respuesta

1

Ya que está iniciando la recuperación, primero deberá descifrarlo usando diskutil 

diskutil coreStorage decryptVolume /dev/disk1s1 -passphrase ThePassPhraseYouSet

Luego descifrará el volumen.

Por la página del manual ( man diskutil ):

  

Comience un proceso en segundo plano en vivo para descifrar el respaldo en disco   bytes de un volumen lógico CoreStorage (LV) cifrado existente.    Los bytes se leen, se descifran y se vuelven a escribir en el disco en forma simple. El LV debe estar desbloqueado antes de comenzar esta operación.

Tendrás que desbloquear primero ... 

diskutil coreStorage unlockVolume

Una vez que no está encriptado, puedes usar dd para volcarlo en una imagen para su posterior manipulación: 

sudo dd if=/dev/disk1 of=/path/to/disk.img
    
respondido por el Allan 29.11.2017 - 20:28

Lea otras preguntas en las etiquetas

No puedo escribir 'it' o 'is' en el iPhone Hay un video que se reproduce pero el sonido no llega en Mac