恢复教程

Apple T2

Apple在2018后的Mac几乎都配上了T2安全芯片大大增加了安全性，但是同样的也造成当遇到系统挂掉，或是档案误删重要资料数据恢复，要做数位鉴识状况.
方法跟思路会跟之前完全不同.

本文针对这状况做一个完整说明，以下Mac都有内建T2安全芯片。

• iMac Pro
• Mac Pro于2019年推出
• Mac mini   于2018年推出
• MacBook Air   在2018年或之后推出
• MacBook Pro  在2018年或之后推出
•  

首先要了解
T2芯片加密（硬件）与FileVault加密（软件）是完全分开的。
但是，如果FileVault（FV）加密已打开，则您确实需要FV密码或FV恢复密钥，若没有则无法恢复.

遇到系统挂掉,或是档案误删重要数据恢复,要做数位鉴识状况.第一步就是要取得T2 芯片Mac的硬盘镜像 

方法一.处理安全启动设置

全部T2芯片的Mac时，预设情况下都是启用安全启动设置“完全安全”和“禁止从外部媒体启动”。这会阻止任何外部媒体Boot(包含OS X﹑Win PE﹑Linux等)。
所以要更改安全启动设置，然后输入管理员密码。
如果您没有管理员用户帐户的密码或是不想更改这安全启动，方法会后续提。

启动安全实用程序中提供了安全启动设置：

1. 打开Mac，然后立即按住Command（⌘）+ R从macOS Recovery启动。
2. 当您看到macOS实用程序窗口时，从菜单栏中选择实用程序 >'启动安全实用程序'。
3. 当要求您进行身份验证时，单击“输入macOS密码”，然后选择一个管理员帐户并输入其密码。

为了可以让其他OS启动，需要将安全启动设置更改为“ 无安全性 ”和“ 允许从外部媒体启动 ”。

​

重要说明：   如果要将安全启动设置从“无安全性”更改回“全面安全性”，Apple需要Internet连接。

外部OS一旦开启，这边特别要注意针对T2安全芯片，准备要镜像或分析的必需已经是经过T2解密的disk 1 AFPS Container，
而非物理硬盘disk0(这会为T2全扇区加密状况)　

假设无Filevault密码，档案系统正常+开机的OS与存在电脑上APFS版本如果相符，在本机就可以正常挂载
如果需要密码则一样输入后就可以挂载.就可以做镜像或是资料恢复等操作

方法二.用目标磁盘模式与另外一台雷电3Mac做连接。

1-如果您Mac使用T2芯片，没有管理员密码或更改Mac上安全启动设置的授权

2- Mac损坏了硬件，例如屏幕破裂，等损坏

3.当macOS检测到不支持的引导环境时(不支持此OS X版本)，下图所示的禁止符号（带斜线的圆圈）就会显示出来，请准备正确版本OS X或是用目标硬盘方法处理。

通过目标磁盘模式进行成像的步骤

1-通过先按住选项键以检查是否需要韧体密码，将源Mac置于目标磁盘模式（TDM） 。然后释放选项键并按住“ T ”键。

对于2018/2019年型号，您应该会在屏幕上看到Thunderbolt  。
2-将Thunderbolt 3电线连接到待数据恢复获取证Mac电脑。
3-在具有Thunderbolt 3，Thunderbolt 2或USB 3.0端口的主机Mac上。
4-将处于目标磁盘模式的源Mac附加到引导到准备数据恢复Mac。

再说一次APFS档案系统架构，外接OS X引导开机后，可以看到分区为disk0通常是物理磁盘，而disk1是APFS容器disk1是disk0的延伸。

非T2芯片单磁盘APFS对整个物理磁盘（disk0）进行映像跟内建T2完全硬体不同。以下是原因：

1-物理磁盘包含所有用户和系统数据(无加密)。

2-如果用户为Windows OS创建了Boot Camp分区，则Boot Camp分区位于物理磁盘上，而不位于APFS容器内。

3-在某些情况下，检查者可能需要在macOS上挂载映像以查看或导出数据。可以在macOS上安装物理磁盘的映像，但是无法安装APFS容器的映像。

结论
内建T2安全芯片在Target disk模式下，是最少安全验证启用T2状况.
如果要做Apple Mac电脑数据恢复请慎选资料数据恢复公司….