Jump ESP, jump!: 从旧的加密Time Machine备份中恢复数据

从备份中恢复数据本应是一件简单的事情。至少你是这么期望的。昨天我遇到了一个本应容易解决的问题，但事实并非如此。我希望这篇博客文章能帮助其他遇到同样问题的人。

问题

1. 我有一个加密的Time Machine备份，已经几个月没用了
2. 这个备份不在官方的Apple Time Capsule或USB硬盘上，而是在WD MyCloud NAS上
3. 我需要从这个备份中获取文件
4. 由于时间紧迫，我只能通过SSH访问macOS，没有图形界面

挣扎过程

默认情况下，Time Machine是我见过的最好、最简单的备份解决方案之一。只要你坚持默认用例，即有一个活跃的备份磁盘，生活就很美好。但我的情况并非如此。

和往常一样，我开始谷歌搜索该怎么做。其中一个首先推荐的选项是将备份磁盘添加到Time Machine，它会自动显示旧备份的快照。但相反，它没有显示旧快照，而是开始创建新备份。按下紧急停止按钮，取消备份，回到谷歌搜索。

其他教程建议点击Time Machine图标并按住alt（Option）键，在那里我可以选择"浏览其他备份磁盘"。但这没有列出旧的Time Machine备份。在Time Machine偏好设置中选择磁盘时确实列出了备份，但我已经尝试过这种方法并失败了。

又一个教程（YAT）建议SSH到NAS，并浏览备份磁盘，因为它只是一个简单的目录，我可以看到所有文件。但里面的所有文件只是一堆无意义的内容，没有真正的目录结构。

另一个教程（YAT）建议我可以通过在Finder中双击稀疏捆绑文件来轻松浏览备份内容。点击后，我可以在Finder的左侧看到磁盘映像，作为一个新磁盘挂载。 嗯，这是真的，但由于某些错误，当你连接到Time Capsule时，你看不到稀疏捆绑文件。我得到了不一致的结果，对于WD NAS，双击稀疏捆绑文件没有任何反应。对于Time Capsule，它确实有效。 此时，我不得不离开备份所在的位置，只有远程SSH访问。你知道，如果你不能解决问题，那就通过限制解决方案来使事情复杂化。

最后，我尝试查看一些数据取证博客，除了一些昂贵的工具外，我找到了解决方案。

解决方案

最后，一篇博客文章提供了真正的解决方案 - hdiutil。 hdiutil最好的部分是你可以在其中提供只读标志。这在取证采集时非常棒。

通过SMB挂载任何NAS：

1

mount_smbfs afp://<username>@<NAS_IP>/<Share_for_backup> /<mountpoint>

通过AFP挂载Time Capsule共享：

1

mount_afp afp://any_username:password@<Time_Capsule_IP>/<Share_for_backup> /<mountpoint>

最后，这个命令应该能完成工作：

1

hdiutil attach test.sparsebundle -readonly

你可以提供只读参数，这很好。

如果备份已加密，并且你不想在密码提示中输入密码，请使用以下命令：

1

printf '%s' 'CorrectHorseBatteryStaple' | hdiutil attach test.sparsebundle -stdinpass -readonly

注意：如果你收到"resource temporarily unavailable"错误，可能是另一台机器正在备份到该设备

现在，你可以在/Volumes下找到你的备份磁盘。祝你恢复愉快！

可能启用远程GUI或物理前往系统并本地登录会更快，但那会破坏乐趣。

Posted by Z at 3:42:00 PM

Labels: forensics, macos, nas, time capsule, time machine