關於 afps ，我們在網路上蒐集到這些相關的討論、資訊與評價

這新聞中的攝影師遺失了蘋果筆記型電腦,竊賊再拿去給德X蘋果電腦經銷轉賣.雖然原物主有追回,可是資料已經被整個刪除.
如果怕遺失 蘋果電腦總共有三個層面保護
1.EFI password
2.find my computer 還可如iphone追蹤電腦位置 http://0rz.tw/TwX5E
3.系統密碼 HFS+ 的filevault 或APFS加密.
這三個保護都有開啟的話 資料不可能被破解讀取,
要刪除跟重灌也會非常麻煩,資料無法輕易被銷毀.
機器被上韌體密碼也無法轉賣 (除非修改破解efi bios )
假設不幸資料被刪除的話,運用最新 OSSLab Geek LabLab AFPS 碎片分析技術.還是有很高成功機會可以救出此案例檔案..
http://dr.osslab.com.tw/
Mac加密技術細節請參考 OSSLab的研究
https://www.osslab.com.tw/mac-protect-security/
https://www.osslab.com.tw/reverse-mac-efi-scbo/
OSSLab所販售的二手電腦都來自政府單位與公司.
http://store.osslab.com.tw/
合法來源絕對有保障

#OSSLab
#二手蘋果電腦
#蘋果電腦資安
#資料救援

平常OSSLab會建議檔案系統有時候用保守點,對於後續資料救援處理會安全很多.
沒想到最近就遇到這樣真實案例了...
馬聖豪 同學是資安圈有名的逆向工程專家,台灣駭客年會講師.對於數位鑑識 資料救援也是專家.
在他的Macbook 系統上使用了最新版本 OS X 10.13 (High sierra)
並且使用了最新 AFPS 蘋果檔案系統.
在晚上拷貝檔案時候 整個系統突然Hang住.再啟動後.整個系統已不見了.

並且下了各種 APFS Mount指令全部都無效....
APFS目前沒有蘋果系統以外OS可以 Mount
所以先簡述一下APFS (以後有機會會寫詳細的實驗室報告)
APFS container 簡單說 這接近ZFS Pool
頭部為
0x01: Container Superblock
0x02: Node
0x05: Spacemanager
0x07: Allocation Info File
0x11: Unknown
0x0B: B-Tree
0x0C: Checkpoint
0x0D: Volume Superblock

這次遇到問題是. 其實從舊版本hfs 轉換為apfs 後
是有密鑰的.(非os x 密碼)
分析後找出其密鑰 順利100%恢復原有資料...

使用比較新型檔案系統 必須考量到一些狀況.一般是不建議使用居多...

#OSSLab
#AFPS
#儲存問題解決專家

「情けは人のためならず。」
次回は、僕が大学時代に首席を取ったノートの取り方を紹介します！

【参考文献】
https://www.eurekalert.org/pub_releases/2015-12/afps-hod121115.php