Recuperación información MacBook Pro

Autor: Juan Pablo Henriquez

El caso que se presentó en nuestro laboratorio de recuperación de información fue sin duda un reto interesante.

Se trataba de un MacBook Pro que había sido llevado a un servicio técnico por una falla en la pantalla, y después de que la pantalla fue desconectada y se conectó una pantalla externa por el puerto HDMI y acá comenzó el problema porque el computador entraba en modo recuperación dejando solo la opción de entrar con la clave (el cliente normalmente desbloqueaba el MAC utilizando la huella digital). El cliente colocó la clave que creía era la correcta y el Mac no inicio. Probo muchas claves y como saben después de algunos intentos MAC iOS comienza a establecer tiempos cada vez más largos para poder reingresar la clave.

Fue así como llego a nuestro laboratorio de recuperación de información este MacBook Pro con pantalla desconectada, bloqueado, en modo seguro y sin reconocer la clave del usuario.

En nuestra experiencia anterior estos casos no son tan complicados, ya que iniciando el computador como disco destino y conectándolo vía USB a nuestro propio Mac siempre era posible montar la unidad si es que se conocía la clave del usuario.

El cliente amablemente nos mostró como trataba de iniciar y al no poder intentamos con la única otra opción que nos daba que era desbloquear la máquina usando la cuenta de iCloud.

Seleccionamos la opción y el MacBook Pro se reinició y se quedó en la pantalla de carga de la manzana y no logro pasar de ahí. Al intentar reiniciar siempre quedaba en esta pantalla por lo que tuvimos que reiniciar NVRAM/PRAM con la combinación de teclas

Option, command, P y R

Mantuvimos un rato hasta que la computadora encendió nuevamente con su sonido clásico e inicio nuevamente en modo seguro.

Procedimos entonces a poner el MacBook pro en modo destino manteniendo presionada la letra “T” justo después de iniciar la máquina.

Logro ponerse en modo destino sin problema y lo conectamos directamente a nuestro iMac mediante un cable USB C.

Cuando los discos no están encriptados iOS monta directamente los dispositivos, pero no era nuestro caso.

En otras ocasiones cuando el disco de destino está encriptado iOS lanza un mensaje en el que hay que colocar la clave de usuario del dispositivo y al colocarla monta el dispositivo sin problemas, pero tampoco fue nuestro caso.

Visualizando el disco con la Utilidad de Discos mostraba el disco conectado, pero la partición no estaba montada. Al proceder a montarla pidió como siempre la clave de usuario y acá nos entretuvimos probando todas las claves que el cliente recordaba junto con otras tantas variaciones, pero tampoco fue capaz de montarla.

Tocaba ahora meterse a utilizar la consola de MAC, una antigua pero útil herencia de provenir de un sistema UNIX.

El manejo de discos por consola se hace utilizando el comando diskutil

Primero listamos los discos conectados utilizando

diskutil list

disk util list

 

Se muestran los discos físicos y lógicos conectados a la máquina, en este caso nuestra partición de interés llamada “DATA” estaba en la ruta /dev/disk3s2

 

Encontramos que el disco del cliente tenía una partición APFS encriptada y bloqueada

Dentro del comando diskutil hay un apartado especial para el manejo del sistema de archivos APFS. Utilizamos el siguiente comando para mostrar la información de las particiones APFS

diskutil apfs list

diskUtil apfs list

Como la partición de usuario estaba bloqueada se utilizó el siguiente comando para desbloquearla

diskutil apfs unlockVolume /dev/disk3s2

Con este comando el terminal solicitaba el password y al ingresarlo mando un error en el usuario.

Resulta que el sistema APFS asigna un ID de usuario a la partición encriptada que hay que especificar para poder desbloquear la partición. Consultamos el ID de usuario de la partición utilizando el siguiente comando.

diskutil apfs listUsers /dev/disk3s2

Nos indica un ID en hexadecimal como el siguiente:

16144D8F-CB8C-494B-AA3C-B07C39BC1384

Y abajo indica que era el ID del usuario local. Además, mostró otros 2 ID que marcaba como usuario de recuperación y otra de usuario iCloud, pero estas no eran de interés.

Con esto rescribimos el comando de montaje de la siguiente forma:

diskutil apfs unlockVolume /dev/disk3s2 -user 16144D8F-CB8C-494B-AA3C-B07C39BC1384

Con esto nuevamente nos pidió la clave del usuario y colocamos las que el cliente pensaba que eran las correctas repitiendo el proceso hasta que nos dimos por vencidos. El sistema de archivos presentaba alguna corrupción que hacía imposible montarlo de esta forma.

No nos dimos por vencidos así que descartamos esta aproximación y nos enfocamos a intentar acceder directamente desde el computador. iOS tiene 3 modos de reparación. El primero es el modo seguro al que ingresa en nuestro caso directamente, pero en el cual no nos acepta las claves.

Luego está el modo de recuperación local al cual se accede al mantener presionando las letras:

command y R.

Procedimos a iniciar en este modo y nuevamente el Mac y se quedó pegado en la pantalla de la manzanita.

Al reiniciar se quedaba pegado nuevamente así que volvimos a reiniciar la NVRAM/PRAM con la combinación:

Option, command, P y R

Reinicio nuevamente en modo seguro lo que no nos era útil, pero aún nos quedaba una última forma, iniciar en modo recuperación remota con la siguiente combinación:

Opción + Comando + R

Al iniciar de este modo el MAC nos solicita conectarnos a una red WIFI y comienza a descargar desde internet un pequeño sistema con utilidades de reparación. Afortunadamente esta forma de inicio si resulto por lo que pudimos entrar a la utilidad de reparación dentro del mismo MAC.

macOS Utilities

Las herramientas de reparación que se despliegan son útiles, pero lo que nos alegra a nosotros es que en la barra superior en la pestaña utilities es posible abrir un terminal.

utilities

Acá procedimos nuevamente con el comando diskutil tal como lo hicimos al conectarlo como modo destino utilizando:

diskutil apfs list → para listar las particiones y reconocer cuál tenía los datos (generalmente es la partición de mayor volumen y con etiqueta DATOS)

diskutil apfs listUsers /dev/disk3s2 → para sacar el ID del usuario

diskutil apfs unlockVolume /dev/disk3s2 -user 16144D8F-CB8C-494B-AA3C-B07C39BC1384 → para desbloquear la unidad y montarla

Al aplicar el último comando nos pidió la clave y resulto que ahora si pudo desbloquear la partición utilizando la 2.ª clave de la lista de claves probables del usuario.

Felices con el resultado procedimos a revisar donde quedo montada con el comando

.

diskutil apfs list

Y resulta que estaba montada en /Volumes/DATA/ accedimos a la carpeta utilizando el comando

cd /Volumes/DATA

Revisamos el contenido con el comando ls y pudimos ver por fin nuestro objetivo que era la carpeta /Users que contiene los perfiles de los usuarios en MAC.

Procedimos a conectar un disco USB con formato HFS+ el cual se montó automáticamente en la carpeta /Volumes/Kepler y procedimos a copiar el perfil del usuario de forma completa utilizando el comando

cp -Rv /Volumes/DATA/Users /Volumes/Kepler/Recuperación

Logramos de esta forma sacar los datos del usuario sin arriesgarnos a que fueran destruidos por una posible sobrescritura de la información del usuario, que suele ocurrir, cuando se utilizan las herramientas de reparación del sistema operativo.