将演示如何使用Data Extractor识别使用FileVault加密的Macintosh系统中的加密密钥位置。我们还将分享一些使用Data Extractor以获得最大效率的技巧和技术。有关FileVault选项的基本介绍，请参阅简介。

我们首先浏览了“（Mac OS X）Boot Recovery HD”磁盘，发现有FileVault分区的加密密钥。

当我们输入FileVault分区的密码时，将应用此密钥。它称为“ EncryptedRoot.plist.wipekey”，位于“ com.apple.corestorage”文件夹中。

我们正在获取此文件，并将其保存在本地磁盘上的特殊位置。

在某些情况下，此文件可以位于其他位置或将其删除。

我们的目标是在输入加密分区的密码时上载该文件，因此尽管我们没有将该文件写入到该文件中，但我们知道文件的确切名称，并且可以在其他地方找到它。

删除文件或格式化分区后，我们分别使用“扫描目录文件”选项或“分区分析”。

我们创建了一个加密分区图。

为加密分区创建映射时，这是一个重要参数：Data Extractor要求您创建驱动器的子映射。看起来像这样：

关键是FileVault解密过程对扇区位置敏感。当创建驱动器的子图时，扇区会移动，并且Data Extractor无法找到支持扇区并解密分区。因此，我们的选择是“否”。

将地图应用为加密磁盘，然后输入密码。

生成了以下报告：

最后，我们得到了文件结构：

并可以打开文件：

当您无法使用Data Extractor解密FileVault分区时，请注意这些功能。