Первинний GPT відсутній, і FileVault також

Був iMac з єдиним жорстким диском з увімкненим повним диском FileVault. Деякі "sysadmin" з сумнівними знаннями намагалися отримати доступ до даних без пароля FileVault, а також необхідних знань і зробили диск недійсним.

З дефіцитних та спорадичних пояснень, які він дав, можна припустити, що він переплутав структуру диска з деяким редактором HEX, однак відомо, що використання таких інструментів зіпсує контрольну суму CRC32, про що чітко говорить навіть Вікіпедія . Нібито саме так і сталося.

Отже, що ми отримали зараз, це диск без жодних розділів:

imac:/ a$ sudo gpt -r show /dev/disk1
       start        size  index  contents
           0  1953525135
  1953525135          32         Sec GPT table
  1953525167           1         Sec GPT header

Отже, лише те, що залишилося, є вторинною таблицею та заголовком GPT.

gdisk чітко зазначено, що основний GPT пошкоджений і пропонує відновити його з резервної копії, але відновлена ​​структура розділу виглядає дивним:

imac:/ a$ sudo gdisk /dev/disk1
GPT fdisk (gdisk) version 1.0.1

Caution: invalid main GPT header, but valid backup; regenerating main header
from backup!

Caution! After loading partitions, the CRC doesn't check out!
Warning! Main partition table CRC mismatch! Loaded backup partition table
instead of main partition table!

Warning! One or more CRCs don't match. You should repair the disk!

Partition table scan:
  MBR: not present
  BSD: not present
  APM: not present
  GPT: damaged

Found invalid MBR and corrupt GPT. What do you want to do? (Using the
GPT MAY permit recovery of GPT data.)
 1 - Use current GPT
 2 - Create blank GPT

Your answer: 1

Command (? for help): p
Disk /dev/disk1: 1953525168 sectors, 931.5 GiB
Logical sector size: 512 bytes
Disk identifier (GUID): D5FB3C42-0E3D-4DC5-B4A9-7C97E8704CF5
Partition table holds up to 128 entries
First usable sector is 34, last usable sector is 1953525134
Partitions will be aligned on 8-sector boundaries
Total free space is 1953262957 sectors (931.4 GiB)

Number  Start (sector)    End (sector)  Size       Code  Name
   1              34          262177   128.0 MiB   0C01  Microsoft reserved ... 

Command (? for help):

І ось fdiskвихід:

imac:/ a$ fdisk /dev/disk1
Disk: /dev/disk1        geometry: 121601/255/63 [1953525168 sectors]
Signature: 0x2A74
         Starting       Ending
 #: id  cyl  hd sec -  cyl  hd sec [     start -       size]
------------------------------------------------------------------------
 1: ED  813 202  27 -  321 220  54 [ 783900958 - 3581756343] <Unknown ID>
 2: 7C  724 235  26 -  550 178  18 [1238663544 - 3274878647] <Unknown ID>
 3: F6  189 250  53 -  993 151  48 [2185613635 -  893877749] <Unknown ID>
 4: 2E  201 236  53 -  683  56  37 [  23839636 - 1903113077] <Unknown ID>

Швидкий пошук за testdiskвиявленими двома первинними розділами, перший тип MS Data, попередній також виявлений gdisk, але здається, що це другий, який може представляти інтерес, оскільки він має тип Mac HFSі його розмір приблизно в 650 Мб свідчить про відсутність Відновлення HD. Тому тепер мені потрібно знайти межі основного захищеного файлом розділу FileVault:

  Partition Start   End Size in sectors 
P MS Data   1699755823  1702272435  2516613 [ M-:?->M-'` P^C ]
P Mac HFS   1952255592  1953525127  1269536 

testdiskУ більш глибокому пошуку, на жаль, не знайдено великих розділів:

Питання, чи можливо відновити структуру розділів із вторинної таблиці / заголовка GPT ? Я припускаю, що якщо вони є, можливо, їх можна використовувати. І що ще я можу спробувати знайти місце основного розділу даних ?

Ну, пряма відповідь на мій власний оригінальний питання з назви досить простий , і це насправді відповіді в тілі питання: так , це можливо відновлення диска розділів з даних таблиці / заголовка вторинного ГПТА , це робиться з gdiskавтоматично пропонує виконати процедура реставрації після її запуску, але в моєму випадку відновлена ​​об'ємна структура була сміттям.

Я також можу відповісти на моє наступне питання щодо розташування основного розділу даних. Так, його розташування можна обчислити, дізнавшись, як ОС X створює обсяги під час встановлення . Таким чином втрачений том можна відновити, якщо припустити, що він створений за замовчуванням (установка OS X за замовчуванням, відсутні додаткові розділи даних). І ось так я це зробив.

Тільки для того, щоб дізнатись, як OS X готує завантажувальний диск, я встановив Yosemite (на щастя, El Capitan нічого не змінив з цим) на запасний накопичувач на 320 ГБ. Маючи цю інформацію, мені вдалося відновити розділ FileVault на диску, за допомогою цих простих команд:

sudo gpt destroy /dev/disk2
sudo gpt create -f /dev/disk2
sudo gpt add -b 409640 -i 2 -s 1951845952 -t 53746F72-6167-11AA-AA11-00306543ECAC /dev/disk2

Перша команда знищила мій несправний марний GPT. Другий створив новий. Третій позначив об’єм. Він не створений заново, а лише зазначив, що існує обсяг даного типу, що охоплює саме ці сектори. До речі, один сектор становить 512 байтів.

Як я знав 409640 -b eginning та 1951845952 -s ize ? Ну, сектор 409640 - це стандартний початок розділу даних 2, який охоплює після EFIрозділу, який OS X завжди створює на початку диска, тому це безпечна ставка. EFIзавжди закінчується 409640 сектором. І розмір 1 951 845 952 секторів - це лише мій загальний розмір диска в секторах (1 953 555 168 ) мінус Recovery HDрозмір ( 1,269,536 ) мінус 40 поріг в кінці диска мінус 409 640 секторів до цього другого розділу даних. Результат рівно 1,951,845,952 . Ділиться на 8, що означає, що я маю рацію.

Таємничий 53746F72-6167-11AA-AA11-00306543ECAC , ну, це GUID розділу GPT типу , який позначає цей том як розділ FileVault. Не звичайний HFS +. Я позначив цей том точкою -i ndex 2, таким чином він є другим, але вважаю, що цей параметр не є вирішальним, оскільки я не відновлюю інші два розділи ( EFIі Recovery HD). Чесно кажучи, під час мого розслідування я намагався відновити Recovery HD, просто перевірив, чи він там є, і він був там, підтяжний, безпечний і здоровий. Цього разу я проігнорував це, оскільки ні EFI, ні Recovery HDне має для мене ніякої користі, я не збираюся завантажуватися з цього диска, я просто хочу виправити деякі дані.

Відразу після відновлення меж тома FileVault у мене з’явився запит пароля FileVault, який я із задоволенням надав. Це означає, що межі, які я обчислив, є правильними. Щоб довести це, я навіть спробував різні межі, і в цьому випадку запитів пароля не було.

Однак після успішного розблокування гучності FileVault я отримав знаменитий

поле повідомлень, що означає, що навіть якщо я повернув мій розділ FileVault, це автоматично не означає, що він недоторканий. Це незамкнене, але якось зламане.

Таким чином, тепер я дізнаюся, чи є у мене можливість відновити цей файл FileVault або виправити дані. Подальше запитання тут .