首先探索了“(Mac OS X) Boot Recovery HD”磁盘一段时间，我们注意到有 FileVault 分区的加密密钥。

当我们输入 FileVault 分区的密码时应用此密钥。它称为“EncryptedRoot.plist.wipekey”，位于“com.apple.corestorage”文件夹中。

我们正在获取这个文件并保存在本地磁盘上的特殊位置。

在某些情况下，此文件可以位于其他位置或被删除。

我们的目标是在输入加密分区的密码时上传这个文件，所以虽然我们不知道这个文件写在哪里，但我们知道文件的确切名称，可以在其他地方找到它。

当文件被删除或分区被格式化时，我们分别使用“扫描目录文件”选项或“分区分析”。

我们创建了一个加密分区的映射。

当您为加密分区创建映射时，这是一个重要参数：Data Extractor 要求您创建驱动器的子映射。它看起来像这样：

关键是 FileVault 解密过程对扇区位置敏感。当我们创建驱动器的子图时，扇区被移动，数据提取器无法找到支持扇区并解密分区。因此，我们的选择是“否”。

应用地图作为加密磁盘并输入密码。

重新生成了以下报告：

最后，我们得到了文件结构：

并且可以打开文件：

当您无法使用 Data Extractor 解密 FileVault 分区时，请注意这些功能。这可能不是一个常见问题，但我们希望它在某些情况下对您有所帮助。