问题：

从FileVault 2加密磁盘映像中提取用户名

郎正初

2023-03-14

我正在处理使用File Vault 2加密的MacBook（Mac OS X 10.11.6）磁盘的比特流（dd）图像。我没有任何密码、密码或恢复密钥来解锁驱动器，但我对解锁/解密驱动器不感兴趣。

我只需要提取与登录屏幕相关的所有可能信息。该信息应包括允许登录的用户名和密码建议（如有）。对于密码建议，我指的是如果您单击问号（？）时可用的建议在密码框的右侧。

以下是登录屏幕的示例：

登录屏幕示例

据我所知，系统会启动一个特殊的EFI预启动，在其中显示FileVault 2解锁屏幕，其中包含已批准解锁磁盘的指定OS X帐户的图标。不应加密登录信息（用户名等），因为它们在您启动系统时和用户使用密码登录之前是可用和可见的（即磁盘尚未解锁）。

我还尝试通过附加图像然后使用sudo fdesetup list -device来获取此信息

以下是使用< code > HDI util attach-nomount/Volumes/USB/image . DD . dmg 附加磁盘映像(存储在外部USB驱动器中)后< code>diskutil list的输出:

/dev/disk0 (internal):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                         500.3 GB   disk0
   1:                        EFI EFI                     314.6 MB   disk0s1
   2:                 Apple_APFS Container disk1         500.0 GB   disk0s2

/dev/disk1 (synthesized):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      APFS Container Scheme -                      +500.0 GB   disk1
                                 Physical Store disk0s2
   1:                APFS Volume Macintosh HD            143.2 GB   disk1s1
   2:                APFS Volume Preboot                 21.0 MB    disk1s2
   3:                APFS Volume Recovery                522.1 MB   disk1s3
   4:                APFS Volume VM                      1.1 GB     disk1s4

/dev/disk2 (external, physical):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *3.0 TB     disk2
   1:         Microsoft Reserved                         16.8 MB    disk2s1
   2:       Microsoft Basic Data TARGET                  3.0 TB     disk2s2

/dev/disk3 (disk image):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        +121.3 GB   disk3
   1:                        EFI EFI                     209.7 MB   disk3s1
   2:          Apple_CoreStorage Macintosh HD            120.5 GB   disk3s2
   3:                 Apple_Boot Recovery HD             650.0 MB   disk3s3

Offline
                                 Logical Volume Macintosh HD on disk3s2
                                 UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU
                                 Locked Encrypted

以下是＜code＞diskutil cs list＜code＞的输出：

CoreStorage logical volume groups (1 found)
|
+-- Logical Volume Group UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU
    =========================================================
    Name:         Macintosh HD
    Status:       Online
    Size:         120473067520 B (120.5 GB)
    Free Space:   12656640 B (12.7 MB)
    |
    +-< Physical Volume UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU
    |   ----------------------------------------------------
    |   Index:    0
    |   Disk:     disk3s2
    |   Status:   Online
    |   Size:     120473067520 B (120.5 GB)
    |
    +-> Logical Volume Family UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU
        ----------------------------------------------------------
        Encryption Type:         AES-XTS
        Encryption Status:       Locked
        Conversion Status:       Complete
        High Level Queries:      Fully Secure
        |                        Passphrase Required
        |                        Accepts New Users
        |                        Has Visible Users
        |                        Has Volume Key
        |
        +-> Logical Volume XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
            ---------------------------------------------------
            Disk:                  -none-
            Status:                Locked
            Size (Total):          120108089344 B (120.1 GB)
            Revertible:            Yes (unlock and decryption required)
            LV Name:               Macintosh HD
            Content Hint:          Apple_HFS

如果我尝试fdesetup命令，我会得到以下错误：

$ fdesetup status -device XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Error: The -device option is not allowed for this operation.

每次尝试使用其他 UUID 都会导致以下错误：错误：指定的卷或设备“UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU

最后，问题是“如何从使用文件库2加密的磁盘映像中提取登录信息（而不是密码）”。基于输入密码前该信息的可用性，我假设用户名以及其他信息（例如密码提示）未加密，可以从磁盘映像中提取。

期待您的反馈。

非常感谢。戈斯特普

共有1个答案

郭华美

2023-03-14

在其中一个分区上，你会发现一个“预引导”目录。该目录包含一个具有唯一编号的目录，例如52C97122313-4B77-...在这个目录中，有目录“var ”,有目录“db”。在这里，您可以找到包含所需信息的plist文件CryptoUserInfo.plist。

/Preboot/52C97122313-4B77.../var/db/CryptoUserInfo.plist

可以使用文本编辑器显示值

类似资料：

4.3 从磁盘映像创建引导软盘

可引导的软盘一般被视为是最后一种方法用于在那些不能从光盘引导安装程序的硬件上引导安装程序，也适用于其他类似的情况。磁盘映像是一些装有原始的软盘文件内容的文件。磁盘映像，比如 boot.img 则不能直接拷贝到软盘中。一个特殊的程序负责向软盘中安装原始模式写入磁盘映像文件 raw 。这是一个必须的步骤，因为这些映像文件是一些原始的磁盘保存方式。所以需要把文件的数据按扇区拷贝放到软盘
装载 VMDK 磁盘映像

我有一个扩展名为 vmdk 的 vmware 磁盘映像文件我正试着安装这个并探索所有的分区(包括隐藏的)。我试图遵循几个指南，例如：http://forums.opensuse.org/showthread.php/469942-mounting-virtual-box-machine-images-host 我可以使用vdfuse挂载图像在这之后，我可以看到一个分区和整个磁盘暴露出来继续
Java：从磁盘写入/读取映射

问题内容：我有一个数据结构，我希望能够在关闭程序之前写入文件，然后在下次应用程序启动时从文件中读取数据以重新填充该结构。我的结构是。对象很简单；对于成员变量，它具有一个String和两个布尔类型的小型本机数组。这是一个真正简单的应用程序，我希望一次不会超过10-15 对。我一直在尝试（不成功）对象输入/输出流。我需要使对象类可序列化吗？您能给我一些最好的建议吗？我只需要向正确的方向推进即可
如何使用JavaScript将base64映像保存到用户磁盘？

问题内容：我已经使用JavaScript 将源内容从html标记转换为base64String。图像显示清晰。现在，我想使用javascript将该图像保存到用户磁盘。当我将图像路径设置为html标签的源代码时，此代码效果很好。但是，当我将source传递为base64String时不起作用。如何实现我想要的？问题答案：仅允许用户下载图像或其他文件，您可以使用HTML5 属性。静态文件
中间Docker映像是否占用磁盘空间？

如果docker文件中有RUN命令，那么它会创建一些中间图像。我的问题是，这些中间图像是否占用硬盘的内存？如果是，docker build--rm应该足够了吗？
“找不到开发人员磁盘映像”

最近我收到了一个错误：“Could not find Developer Disk image”

从FileVault 2加密磁盘映像中提取用户名

共有1个答案

相关问答

相关文章

相关阅读

相关工具

相关文档