Я работаю с изображениями битового потока (dd) дисков MacBook (Mac OS X 10.11.6), зашифрованных с помощью File Vault 2. У меня нет пароля, пароля или ключа восстановления для разблокировки диска, но яЯ не заинтересован в разблокировке / расшифровке диска.
Мне нужно только извлечь всю возможную информацию, связанную с экраном входа в систему.Эта информация должна включать имена пользователей, которым разрешено входить в систему, и предложения по паролю (если есть).Под предложением пароля подразумеваются предложения, которые доступны, если щелкнуть знак вопроса (?) Справа от поля пароля.
Вот пример экрана входа в систему:
Пример экрана входа в систему
Насколько я понял, система запускает специальную предварительную загрузку EFI, где отображается экран разблокировки FileVault 2 с иконками назначенных учетных записей OS X, утвержденных для разблокировки диска.,Регистрационные данные (имена пользователей и т. Д.) Не должны шифроваться, поскольку они доступны и видны при запуске системы и до входа пользователя в систему с использованием пароля (т. Е. Диск еще не разблокирован).
Я также пыталсячтобы получить эту информацию, прикрепив изображение и затем используя sudo fdesetup list -device <UUID>, но, очевидно, эта операция не разрешена для внешнего устройства.Опять же, я не могу разблокировать изображение, потому что у меня нет пароля.Тем не менее, я считаю, что имена пользователей должны быть доступны где-то в незашифрованном формате, потому что они видны при запуске системы.
Вот вывод diskutil list после присоединения образа диска (хранится на внешнем USBдиск) с помощью hdiutil attach -nomount /Volumes/USB/image.dd.dmg:
/dev/disk0 (internal):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme 500.3 GB disk0
1: EFI EFI 314.6 MB disk0s1
2: Apple_APFS Container disk1 500.0 GB disk0s2
/dev/disk1 (synthesized):
#: TYPE NAME SIZE IDENTIFIER
0: APFS Container Scheme - +500.0 GB disk1
Physical Store disk0s2
1: APFS Volume Macintosh HD 143.2 GB disk1s1
2: APFS Volume Preboot 21.0 MB disk1s2
3: APFS Volume Recovery 522.1 MB disk1s3
4: APFS Volume VM 1.1 GB disk1s4
/dev/disk2 (external, physical):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme *3.0 TB disk2
1: Microsoft Reserved 16.8 MB disk2s1
2: Microsoft Basic Data TARGET 3.0 TB disk2s2
/dev/disk3 (disk image):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme +121.3 GB disk3
1: EFI EFI 209.7 MB disk3s1
2: Apple_CoreStorage Macintosh HD 120.5 GB disk3s2
3: Apple_Boot Recovery HD 650.0 MB disk3s3
Offline
Logical Volume Macintosh HD on disk3s2
UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU
Locked Encrypted
Вот вывод diskutil cs list:
CoreStorage logical volume groups (1 found)
|
+-- Logical Volume Group UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU
=========================================================
Name: Macintosh HD
Status: Online
Size: 120473067520 B (120.5 GB)
Free Space: 12656640 B (12.7 MB)
|
+-< Physical Volume UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU
| ----------------------------------------------------
| Index: 0
| Disk: disk3s2
| Status: Online
| Size: 120473067520 B (120.5 GB)
|
+-> Logical Volume Family UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU
----------------------------------------------------------
Encryption Type: AES-XTS
Encryption Status: Locked
Conversion Status: Complete
High Level Queries: Fully Secure
| Passphrase Required
| Accepts New Users
| Has Visible Users
| Has Volume Key
|
+-> Logical Volume XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
---------------------------------------------------
Disk: -none-
Status: Locked
Size (Total): 120108089344 B (120.1 GB)
Revertible: Yes (unlock and decryption required)
LV Name: Macintosh HD
Content Hint: Apple_HFS
Если я попробую команду fdesetup, я получу следующую ошибку:
$ fdesetup status -device XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Error: The -device option is not allowed for this operation.
Каждая попытка использования другого UUID вызывает эту ошибку: Error: The specified volume or device 'UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU' did not return any information.
Наконец, возникает вопрос: «Как извлечь информацию для входа (не пароли) из образа диска, зашифрованного с помощью File Vault?»2?».Исходя из доступности этой информации перед вводом пароля, я предполагаю, что имена пользователей, а также другая информация (например, подсказки пароля) не зашифрованы и могут быть извлечены из образа диска.
Ждем ваших отзывов.
Спасибо большое.gostep