数据恢复问题可微信咨询

PC-3000 Data Extractor APFS第1部分

你好朋友,

众所周知,文件系统在数据恢复中起着至关重要的作用。 在过去30到40年中,有很多开发。 某些文件系统特定于特定的操作系统。 例如,HFS和HFS +已在Apple设备中使用30多年。

APFS是从零开始开发的,自2017年以来已成为Apple设备的标准文件系统。

HFS于1985年首次引入,并在1998年提出HFS +时进行了重大更新。 HFS和HFS +文件系统的主要问题是缺乏功能,性能低下,容量有限,不适合SSD驱动器和较低的安全性。

APFS于2016年9月作为MacOS 10.12的一部分推出,代号为“ Sierra”。 APFS不是HFS +的扩展。 APFS中不再包含HFS +的特殊文件,例如目录文件,属性文件,分配文件和范围溢出文件。 APFS使用另一种方式来确保文件系统中的安全更改。

这是APFS容器的主要功能块

APFS容器是APFS的“域”,其中具有文件,文件夹和其他结构的元数据和数据。 容器分为多个卷,这些卷是容器的逻辑部分。 容器在GUID中定义,但卷未定义。 但是,在操作系统GUI中,我们可以在Finder应用程序中看到卷,但是看不到容器本身。

APFS不使用HFS +等日记系统。 当每个文件系统状态都基于先前的状态时,APFS以原子方式运行。 此功能称为原子安全保存(ASS),可确保操作的原子性。 当内存中的文件系统数据存储到APFS容器中时,将创建一个新的检查点。 每个检查点都有一个检查点超级块(CSB)。 最新的CSB成为主超级块(MSB)。 每个CSB都知道您在哪里可以找到上一个和下一个CSB。 MSB知道原始CSB的位置。

APFS文件系统的主要部分包括:

 

  • 容器超级块。 它包含有关整个APFS容器的信息,例如块大小限制,块总数和先前的检查点。 容器超级块是文件系统的最高级别。
  • 检查点超级块描述符。 它包含有关元数据和CSB的信息。 此块中最重要的信息是位图结构(BMS)的位置,即HFS +中的先前分配文件。
  • 位图结构。 它记录了已使用和未使用的块。 它涵盖了整个容器,并且对于文件系统的所有卷都是公用的。
  • 卷超级块。 它包含有关卷的信息。
  • 文件和文件夹B树。 它记录了该卷中的所有文件和文件夹。 它执行与HFS +中的目录文件相同的功能。
  • 范围B树。 范围是对文件内容的引用,其中包含有关数据内容的开始位置和块长度的信息。 具有内容的文件至少具有一个范围。 碎片文件具有多个范围。 范围B树是一个单独的结构。 这种单独的扩展区结构是快照功能的一部分。
  • 快照。 它们是创建快照时卷的用户存储状态。 快照所覆盖的文件是固定的,在清理快照之前无法删除,即使从文件层次结构中删除了该文件也是如此。
  • 检查点。 这是容器的历史状态。 每个检查点都与CSB进行交易。

APFS的某些功能包括:

  • 数据克隆。 当在容器内复制数据时,与它所源自的确切体积无关,数据内容不会被复制,只有元数据会被复制。 元数据在文件结构中多次存在,但共享相同的块。 修改其中一个文件时,只有更改的块会显式连接到更改的文件。 此功能使文件复制更快,所需存储空间更少。

  • 空间共享。 在此功能中,容器中的所有卷共享相同的基础空间。 在具有两个卷的APFS容器上,所有卷将报告相同数量的可用空间。
  • 加密。 HFS +不直接支持按文件加密。 但是,通过将每个文件的密钥存储在每个文件的属性中,可以解决此问题。 APFS支持不同的加密方案。
  • 全盘加密(FileVault)。 HFS +使用核心存储(CS)方法来组织物理和虚拟设备。 未加密的HFS +系统卷对于root用户完全可用,并且所有元数据均未加密。 APFS对此进行了更改。 大多数文件系统元数据都是加密的,无法完全解析。 目录B树中的所有节点均已加密。

在这里,我们描述了从APFS文件系统恢复数据的过程。

随着SSD驱动器和修整功能的实施,一些强大的方法(例如RAW恢复)现在成为挑战。 在具有日记功能的HFS +中,我们只能在非常有限的时间内恢复元数据。

由于检查点的广泛使用,APFS为数据恢复提供了巨大的机会。 从以前的状态还原APFS容器时,我们既可以提取已删除的文件,也可以提取现有文件的早期版本。

在我们的例子中,我们有APFS文件系统和一个包含照片的文件夹,但是该文件夹为空,照片丢失了。

我们记得APFS创建原子状态-检查点。 而且,数据提取器允许显示这些检查点(数据提取器资源管理器中的选项“显示所有版本”)。

有基于CSB的检查点列表。

我们的方法是从MSB(检查点超级块的最新状态)开始,然后从中找到带有所需文件的CBS(2017文件夹中的照片)。

MSB是#140,它没有照片,因此我们在以前的CSB#139中搜索文件。

仍然是一个空文件夹。

回到先前的CSB#76,并确认文件在那里。

因此CSB#76具有已删除的数据。 我们的策略是找到带有实际数据的最后一个检查点,并将此CBS用于数据恢复过程。

经过一些步骤,我们发现CSB#102是最后一个检查点超级块,其中包含有关2017文件夹内容的信息。

快照使我们能够倒退时间并恢复已删除的文件或将现有文件恢复为原始状态。

我们已经展示了使用检查点在Data Extractor中恢复已删除文件的方法。在当前状态下遍历文件系统的能力为恢复目的提供了巨大的机会。可以针对数据和元数据执行此恢复。

APFS文件系统面临一些挑战。我们将重点介绍受密码保护的APFS容器。对于某些APFS,需要使用iCloud恢复密钥来解密数据。此问题正在调查中。另外,某些APFS容器通过主板上的T2芯片进行了硬件加密。根据我们目前的知识,解密此APFS容器的唯一方法是使用带有T2芯片的原始Apple设备。无论如何,ACE团队正在不断为APFS文件系统实现新功能,并且许多新功能正在进行中。

如有任何疑问,请随时在我们的技术支持系统中提交票证。

未经允许不得转载:苏州盘首数据恢复 » PC-3000 Data Extractor APFS第1部分