可以从使用FileVault加密的磁盘上恢复文件吗？

我格式化了一个USB记忆棒，该记忆棒具有一个用Apple的FileVault加密的HFS +分区。当时，这似乎是个好主意，但现在我希望返回一些数据。

该驱动器并未被零覆盖，此后没有任何动静，因此理论上大多数数据仍然存在。而且我有FileVault密码。

我曾尝试像普通驱动器一样使用R-Studio对其进行扫描，但没有帮助。它可以看到多个先前的分区（甚至可以从中恢复文件），但不能看到最新的分区。

有什么办法可以恢复我的数据？

我对FileVault有点熟悉，但是它可能有一个主密码，也可以保存在Apple（如果启用）中，因此您可能对Apple的恢复信息很幸运。我不确定恢复信息是否可以用于损坏的映像/驱动器，但是值得一试。

从2008年开始，该详细的有用页面将恢复/修复损坏的AES-128加密的稀疏图像，其中包含信息和一些使用说明，因此请阅读该页面！它说FileVault使用的标头类似于TrueCrypt＆LUKS，其中“ [t]密钥，盐，iv（初始化矢量）和其他信息存储在图像标头中，一个4kb的块，然后使用3DES-EDE。没有这些数据，即使您记得密码短语，也将无法恢复您的内容。 “我不确定FileVault的较新版本2是否使用相同类型的标头，或者驱动器正在使用版本1或2。

您可能仍然可以使用密钥，主密钥或备份标头挂载它，并可能读取一些未覆盖的数据。

如果您重写了标头并且没有备份标头，那么您可能永远都不会再访问（保持未覆盖的）数据，除非您因蛮力猜测而感到幸运。这就是这种系统类型的优势之一，您只需擦除标头/密钥就可以“永久”擦除所有加密数据，而不必覆盖实际数据。

• 此Apple支持人员关于损坏的FileVault主驱动器拒绝接受登录密码或主密码/安全密钥的讨论并不令人鼓舞，他们的唯一解决方案是擦除/重新分区驱动器并重新开始。
• 这个apple.stackexchange.com问题与之类似，一个外部FileVault驱动器，但未正确卸载并损坏。不幸的是，那里没有解决方案（只是一些一般性的“不要写驱动器，制作备份副本并使用它”建议）。

• 另一个apple.stackexchange.com问题有一个您可以尝试的终端命令（显然以root用户运行？）：

  diskutil cs unlockVolume XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
  

  那么可以尝试使用驱动器的UUID吗？在他们的情况下，它回答如下：

  Passphrase:
  Started CoreStorage operation
  Logical Volume successfully unlocked
  Logical Volume successfully attached as disk13
  Error: -69842: Couldn't mount disk
  

  显然是“已解锁”但无法安装，尽管至少它可以让您尝试在“ disk13”（或您所说的话）上进行文件恢复。如果“ disk13”是解密的卷，那么您也许可以从中读取部分文件，将R-Studio指向它，并制作一个备份副本以与（fsck）一起播放，等等。