Skip to main content

Apple 在2018後的Mac 幾乎都配上了T2安全晶片大大增加了安全性,但是同樣的也造成當遇到系統掛掉,或是檔案誤刪要資料救援,要做數位鑑識狀況.
方法跟思路會跟之前完全不同.

本文針對這狀況做一個完整說明,以下Mac都有內建 T2安全晶片。

 

本文部分參考Blackbag技術文件與圖 出處
https://cellebrite.com/en/cellebrite-digital-collector-taking-away-the-guess-work/

首先要瞭解
T2晶片片加密(硬件)與FileVault加密(軟件)是完全分開的。
但是,如果FileVault(FV)加密已打開,則您確實需要FV密碼或FV恢復密鑰,若沒有則無法恢復.


遇到系統掛掉,或是檔案誤刪要資料救援,要做數位鑑識狀況.第一步就是要取得T2 晶片 Mac的磁碟鏡像 

法一 處理安全啟動設置

全部T2芯片的Mac時,預設情況下都是啟用安全啟動設置“完全安全”和“禁止從外部媒體啟動”。這會阻止任何外部媒體Boot(包含OS X﹑Win PE﹑Linux等)。
所以要更改安全啟動設置,然後輸入管理員密碼。
如果您沒有管理員用戶帳戶的密碼或是不想更改這安全啟動,方法會後續提。

啟動安全實用程序中提供了安全啟動設置  :

  1. 打開Mac,然後立即按住Command(⌘)+ R從macOS Recovery啟動  。
  2. 當您看到macOS實用程序窗口時,從菜單欄中選擇實用程序 >’啟動安全實用程序’。
  3. 當要求您進行身份驗證時,單擊“輸入macOS密碼”,然後選擇一個管理員帳戶並輸入其密碼。

為了可以讓其他 OS啟動,需要將安全啟動設置更改為“ 無安全性 ”和“ 允許從外部媒體啟動 ”。

重要說明:  如果要將安全啟動設置從“無安全性”更改回“全面安全性”,Apple需要Internet連接。

外部OS一旦開啟,這邊特別要注意針對T2安全晶片,準備要鏡像或分析的必需已經是經過T2解密的disk 1 AFPS Container,
而非物理磁碟disk0(這會為T2全扇區加密狀況)

假設無Filevault密碼,檔案系統正常+ 開機的OS與存在電腦上APFS版本如果相符,在本機就可以正常掛載
如果需要密碼則一樣輸入後就可以掛載.就可以做鏡像或是資料恢復等操作

法二 用目標磁盤模式與另外一台雷電3Mac做連接

1-如果您Mac使用T2芯片,沒有管理員密碼或更改Mac上安全啟動設置的授權

2- Mac損壞了硬件,例如屏幕破裂,等損壞

3.當macOS檢測到不支持的引導環境時(不支持此OS X版本),下圖所示的禁止符號(帶斜線的圓圈)就會顯示出來,請準備正確版本OS X或是用目標磁碟方法處理。

mac-prohibit-symbol-screen-icon.png

通過目標磁盤模式進行成像的步驟

1-通過先按住選項鍵以檢查是否需要韌體密碼,將源Mac置於目標磁盤模式(TDM) 。然後釋放選項鍵並按住“ T ”鍵。

對於2018/2019年型號,您應該 會在屏幕上看到Thunderbolt 
2-將Thunderbolt 3 電線連接到待救援獲取證Mac電腦。
3-在具有Thunderbolt 3,Thunderbolt 2或USB 3.0端口的主機Mac上。
4-將處於目標磁盤模式的源Mac附加到引導到準備救援Mac。

 

再說一次 APFS 檔案系統架構,外接OS X引導開機後,可以看到分區為disk0通常是物理磁盤,disk1APFS容器 disk1是disk0的延伸

非T2芯片單磁盤APFS對整個物理磁盤 (disk0)進行映像  跟內建T2完全硬體不同。以下是原因:

1-物理磁盤包含所有用戶和系統數據(無加密)。

2-如果用戶為Windows OS創建了Boot Camp分區,則Boot Camp分區位於物理磁盤上,而不位於APFS容器內。

3-在某些情況下,檢查者可能需要在macOS上掛載映像以查看或導出數據。可以在macOS上安裝物理磁盤的映像,但是無法安裝APFS容器的映像。

結論
內建T2安全晶片在Target disk模式下,是最少安全驗證啟用T2狀況.
如果要做Apple Mac 電腦資料救援 請慎選資料救援公司….

 

Thx Chang

Author Thx Chang

More posts by Thx Chang