T2芯片,不行
10.14拷贝分区,全盘不行
APFS,4K
Recovery模式
或T模式连接后,关闭本机sip,csrutil disable
diskutil list 查看磁盘信息
./dc3dd if=/dev/rdisk1s3 of=recovery.001 bufsz=48M 写到固态硬盘
ftk imager转换成e01,存到NTFS分区,设置单个文件最大2T,压缩默认6,然后用blackbag的ewmounter挂载
用blackbag的DMG Rename工具转换成DMG格式
hdiutil attach </PATH/TO/.dmg> -blocksize 4096 -readonly 装载并挂载
hdiutil attach </PATH/TO/.dmg> -blocksize 4096 -readonly -nomount 装载但不挂载,有加密的时候
hdiutil attach -nomount -shadow <PATH/TO/SHADOW_FILE> <PATH/TO/.dmg> -noautofsck 如果存在脏数据,挂不上,可以尝试这个命令
有filevault加密的时候,也可以用下面的命令:
hdiutil attach –nomount –blocksize 4096 /Volumes/4k_image/4k.dmg 装载但不挂载
diskutil apfs unlockVolume /dev/disk5s1 -nomount 解锁
diskutil apfs list
sudo mount_apfs –o rdonly,noexec,noowners /dev/disk# /Volumes/apfs_mounted/ 挂载到路径,可以挂载Recovery分区
(wipekey路径:Recovery/com.apple.boot.P/System/Library/Caches/com.apple.corestorage/EncryptedRoot.plist.wipekey)
hdiutil detach /dev/disk3 卸载容器
hdiutil detach /dev/disk4 卸载磁盘
参考:
https://www.blackbagtech.com/blog/2018/04/11/apple-file-system-apfs-mac-forensic-imaging-analysis/
https://www.mac4n6.com/blog/2017/11/26/mount-all-the-things-mounting-apfs-and-4k-disk-images-on-macos-1013
发表评论