平常OSSLab會建議檔案系統有時候用保守點,對於後續資料救援處理會安全很多.
沒想到最近就遇到這樣真實案例了...
馬聖豪 同學是資安圈有名的逆向工程專家,台灣駭客年會講師.對於數位鑑識 資料救援也是專家.
在他的Macbook 系統上使用了最新版本 OS X 10.13 (High sierra)
並且使用了最新 AFPS 蘋果檔案系統.
在晚上拷貝檔案時候 整個系統突然Hang住.再啟動後.整個系統已不見了.
並且下了各種 APFS Mount指令全部都無效....
APFS目前沒有蘋果系統以外OS可以 Mount
所以先簡述一下APFS (以後有機會會寫詳細的實驗室報告)
APFS container 簡單說 這接近ZFS Pool
頭部為
0x01: Container Superblock
0x02: Node
0x05: Spacemanager
0x07: Allocation Info File
0x11: Unknown
0x0B: B-Tree
0x0C: Checkpoint
0x0D: Volume Superblock
這次遇到問題是. 其實從舊版本hfs 轉換為apfs 後
是有密鑰的.(非os x 密碼)
分析後找出其密鑰 順利100%恢復原有資料...
使用比較新型檔案系統 必須考量到一些狀況.一般是不建議使用居多...
#OSSLab
#AFPS
#儲存問題解決專家
Search