APFS 是从零开始开发的，自 2017 年起成为 Apple 设备的标准文件系统。

HFS 于 1985 年首次推出，并在 1998 年推出 HFS+ 时进行了重大更新。HFS 和 HFS+ 文件系统的主要问题是缺乏功能、性能低下、容量有限、不适合 SSD 驱动器和安全级别低。

APFS 于 2016 年 9 月作为 MacOS 10.12 的一部分推出，代号为“Sierra”。APFS 不是 HFS+ 的扩展。APFS 中不再存在 HFS+ 的特殊文件，例如目录文件、属性文件、分配文件和范围溢出文件。APFS 使用不同的方式来确保文件系统中的安全更改。

以下是 APFS 容器的主要块

其中 APFS 容器是 APFS 的“域”，并且具有文件、文件夹和其他结构的元数据和数据。容器分为多个卷，卷是容器的逻辑部分。容器在 GUID 中定义，但卷不是。但是，在操作系统 GUI 中，我们可以在 Finder 应用程序中看到卷，但看不到容器本身。

APFS 不使用像 HFS+ 这样的日志系统。当每个文件系统状态都基于前一个状态时，APFS 以原子风格运行。此功能称为原子安全保存 (ASS)，可确保操作的原子性。当内存中的文件系统数据存储到 APFS 容器中时，会创建一个新的检查点。每个检查点都有一个检查点超级块 (CSB)。最近的 CSB 成为主超级块 (MSB)。每个 CSB 都知道您在哪里可以找到上一个和下一个 CSB。MSB 知道原始 CSB 所在的位置。

APFS文件系统的主要部分有：

• 容器超级块。它包含有关整个 APFS 容器的信息，例如块大小限制、块总数和之前的检查点。容器超级块是文件系统的最高级别。
• 检查点超级块描述符。它包含有关元数据和 CSB 的信息。此块中最重要的信息是位图结构 (BMS) 的位置，即 HFS+ 中的前分配文件。
• 位图结构。它保存已使用和未使用块的记录。它覆盖了整个容器，对文件系统的所有卷都是通用的。
• 卷超级块。它包含有关卷的信息。
• 文件和文件夹 B 树。它记录卷中的所有文件和文件夹。它执行与 HFS+ 中的目录文件相同的功能。
• 范围 B 树。范围是对文件内容的引用，包含有关数据内容从何处开始和以块为单位的长度的信息。包含内容的文件至少有一个范围。一个碎片化的文件有几个范围。范围 B 树是一个单独的结构。这种单独的盘区结构是快照功能的一部分。
• 快照。它们是创建快照时卷的用户存储状态。快照覆盖的文件将被固定，并且在清理快照之前无法删除，即使该文件已从文件层次结构中删除。
• 检查点。这是容器的历史状态。每个检查点都处理 CSB。

APFS 的一些特点是：

• 数据克隆。当在容器内复制数据而不依赖于它源自的确切卷时，数据内容不会被复制，只有元数据会被复制。元数据多次存在于文件结构中，但共享相同的块。当其中一个文件被修改时，只有被改变的块被明确地连接到被改变的文件。此功能使文件复制速度更快，需要的存储空间更少。

• 空间共享。在此功能中，容器中的所有卷共享相同的底层空间。在具有例如两个卷的 APFS 容器上，所有卷将报告相同的可用空间量。
  
• 加密。HFS+ 不直接支持按文件加密。但是通过在每个文件的属性中存储 per-file-key 解决了这个问题。APFS 支持不同的加密方案。
• 全盘加密（FileVault）。HFS+ 使用核心存储 (CS) 方法来组织物理和虚拟设备。未加密的 HFS+ 系统卷对 root 用户完全可用，并且没有任何元数据被加密。APFS 改变了这一点。大多数文件系统元数据都经过加密，无法完整解析。Catalog B-Tree 中的所有节点都是加密的。

这里我们介绍从 APFS 文件系统中恢复数据的过程。

随着 SSD 驱动器和修剪功能的实施，一些强大的方法（例如 RAW 恢复）现在成为一项挑战。在带有日志功能的 HFS+ 中，我们只能在非常有限的时间范围内恢复元数据。

由于检查点的广泛使用，APFS 为数据恢复提供了巨大的机会。当我们从以前的状态恢复 APFS 容器时，我们能够提取已删除的文件以及现有文件的早期版本。

在我们的例子中，我们有 APFS 文件系统和一个包含照片的文件夹，但文件夹是空的，照片也丢失了。

我们记得 APFS 创建原子状态——检查点。并且数据提取器允许显示这些检查点（数据提取器资源管理器中的选项“显示所有版本”）。

有一个基于 CSB 的检查点列表。

我们的方法是从 MSB（检查点超级块的最新状态）开始，从中找到具有所需文件的 CBS（照片在 2017 文件夹中）。

MSB 是 #140，它没有照片，所以我们在之前的 CSB #139 中搜索文件。

仍然是一个空文件夹。

深入回到以前的 CSB #76 并验证文件是否在那里。

所以 CSB #76 有删除的数据。我们的策略是找到具有实际数据的最后一个检查点，并使用此 CBS 进行数据恢复过程。

经过一些步骤，我们发现 CSB #102 是最后一个检查点超级块，其中包含有关 2017 文件夹内容的信息。

快照使我们能够倒流并恢复已删除的文件或将现有文件恢复到原始状态。

我们已经展示了使用检查点在 Data Extractor 中恢复已删除文件的方法。以超过当前状态遍历文件系统的能力为恢复目的提供了很好的机会。可以对数据和元数据执行此恢复。

APFS 文件系统存在一些挑战。我们将介绍受密码保护的 APFS 容器。对于某些 APFS，需要 iCloud 恢复密钥来解密数据。这个问题现在正在调查中。此外，一些 APFS 容器通过主板上的 T2 芯片进行硬件加密。根据我们目前的知识，解密这个APFS容器的唯一方法是使用带有T2芯片的原始Apple设备。