MacBook Veri Kurtarma: T2, M1, M2, M3 Çiplerinde Süreç ve Sınırlar
Modern MacBook'larda SSD anakarta lehimli. T2 ve Apple Silicon M1/M2/M3'te Secure Enclave AES-256. Şifre kaybolursa NAND okunsa bile çözülemez. Mantıksal hasarda Time Machine + Migration Assistant. Fiziksel hasarda mikro lehim onarımı + Apple ID şart.
MacBook Veri Kurtarma: T2, M1, M2, M3 Çiplerinde Süreç ve Sınırlar
TL;DR: Modern MacBook'larda SSD artık anakarta lehimli ve sökülebilir bir parça değil. T2 çipli Intel modellerde ve Apple Silicon M1, M2, M3, M4 işlemcili modellerde Secure Enclave donanımsal AES-256 şifreleme yapar. Kullanıcı şifresi veya FileVault parolası kaybolursa NAND içeriği fiziksel olarak okunsa bile çözülemez. Mantıksal hasarda Time Machine veya Migration Assistant ile geri dönüş kolaydır. Fiziksel hasarda çoğu vakada veri çıkar fakat Apple ID veya cihaz parolası mutlaka şarttır.
Veri Kurtarma Rehberi 2026 ana yazısının MacBook ailesine odaklanan bu bölümü, T2 ve Apple Silicon mimarisinin getirdiği donanım kilidi gerçeğini anlatır. iPhone tarafı için bkz. iPhone suya düştü.
MacBook modellerinde SSD mimarisi
Apple, son on yılda dört farklı kuşak depolama mimarisi kullandı. Her kuşağın kurtarma davranışı farklı.
2015 öncesi (sökülebilir SSD). 2015 öncesi MacBook Pro ve MacBook Air modellerinde SSD ayrı bir kart olarak takılırdı. Anakart arızasında SSD söküp başka bir Mac'e takmak veya harici adaptöre bağlamak mümkündü. Veri kurtarma bu modellerde klasik PC mantığına en yakın olanıdır.
2016 ila 2017 (PCIe modüler). Bu dönemin MacBook Pro modellerinde NVMe PCIe SSD anakara çok özel bir konnektörle bağlanırdı. Modüler olduğu için söküm hâlâ mümkündü fakat şifreleme yazılım katmanında devrede olduğundan FileVault açık olan kullanıcılarda parolasız erişim engelleniyordu.
2018 sonrası T2 çipli MacBook'lar. Apple, MacBook Air 2018, MacBook Pro 2018+, iMac Pro ve Mac mini 2018 modellerinde T2 güvenlik çipini standart yaptı. Bu kuşaktan itibaren NAND yongaları doğrudan anakarta lehim. Şifre çözme tamamen T2 içindeki Secure Enclave'de yapılır.
2020 sonrası Apple Silicon M1, M2, M3 ve M4. Apple Silicon Mac'lerde NAND, denetleyici ve Secure Enclave tek SoC kümesinde tümleşik. Cihaza takılı NAND yongasını başka bir Mac'e takmak veya başka bir SoC'ye bağlamak teknik olarak işe yaramaz çünkü anahtar başka bir çipte üretildi.
Apple Platform Security dokümantasyonu (https://support.apple.com/guide/security/welcome/web) bu mimariyi adım adım açıklar ve Apple Support genel teknik referansı (https://support.apple.com) modellere göre destek matrisini sunar.
Apple Silicon (M1, M2, M3) Secure Enclave
Apple Silicon işlemcilerde her cihazın benzersiz bir UID anahtarı vardır. Bu anahtar üretim sırasında Secure Enclave Processor'a yazılır ve dışarı çıkmaz. Kullanıcı parolası, UID ile karıştırılarak bir tür anahtar türetilir ve NAND üzerindeki tüm veri AES-256 ile şifrelenir.
Pratik sonuç şudur: NAND yongasını söküp ham olarak okumayı başaran bir laboratuvar bile, kullanıcı parolası ve UID birleşmeden veriyi çözemez. UID Secure Enclave dışına çıkmadığı için anakart yandığında veya SoC fiziksel olarak öldüğünde anahtar da yok olur. Bu yüzden Apple Silicon Mac'lerde anakart kurtarma olmadan veri kurtarma diye bir kavram yoktur. Anakart canlandırılırsa ve kullanıcı parolasını biliyorsa veri çıkar, aksi halde çıkmaz.
JEDEC (https://www.jedec.org) NAND flash bellek standartlarını yayınlayan organizasyon olduğundan, NAND okuma süreçlerinin teknik tanımı için referanstır fakat bu standart şifreli içeriği çözmez, yalnız ham hücreleri okur.
T2 çip (Intel MacBook 2018-2020)
T2, Apple'ın Intel Mac'lerde kullandığı ilk donanımsal güvenlik çipidir. SSD denetleyicisi, görüntü işlemcisi, sistem yönetim denetleyicisi ve Secure Enclave işlevlerini tek pakette toplar.
T2'li bir MacBook Pro veya MacBook Air'da SSD üzerinde her zaman donanımsal şifreleme aktiftir. FileVault aktif olmasa bile veri T2 anahtarıyla şifrelidir. Bu durumda Apple ID veya kullanıcı parolası olmadan NAND'i sökmek hiçbir şey vermez. iMac Pro, Mac mini 2018 ve MacBook Pro 2018+ modelleri aynı mimariyi paylaşır.
T2 ile Apple Silicon arasındaki temel fark işlemci mimarisidir (Intel x86 vs ARM) fakat veri kurtarma açısından kullanıcı deneyimi aynıdır. Her ikisinde de anahtar Secure Enclave'dedir.
Mantıksal hasar kurtarma (silme, format, sistem bozulması)
Cihaz çalışır durumdaysa ve sadece dosya kaybı varsa hâlâ çok yol var.
Time Machine yedeği varsa
Apple Support yönergeleri, Time Machine yedeğinin mevcut olduğu durumlarda Migration Assistant kullanımını önerir. Yeni veya formatlanmış bir Mac'e Time Machine diskinden geri yükleme yapılır. Kullanıcı hesabı, uygulamalar ve belgeler aynen geri gelir. Bu en güvenli yoldur.
iCloud Drive senkronizasyonu
macOS Ventura ve sonrasında Belgeler ve Masaüstü klasörleri varsayılan olarak iCloud Drive ile senkron edilebiliyor. Mac formatlanmış olsa bile iCloud.com üzerinden veya yeni cihazda oturum açarak veriler geri çekilir. Apple ID ve iki faktörlü doğrulama gerekir.
Disk Utility ile mount
Disk hâlâ tanınıyor ama macOS açılmıyorsa Recovery Mode'da Disk Utility ile birim incelenir. APFS bölümlerinin listesi alınır, ihtiyaç halinde dmg imajı çıkarılır ve harici diskte mount edilerek dosyalar tek tek kurtarılır. Bu yaklaşım sistem dosya bozulmalarında işe yarar.
Veri kurtarma yazılımı
Disk Drill, R-Studio for Mac ve EaseUS Mac Data Recovery gibi araçlar APFS dosya sistemini destekler. Bu yazılımlar mantıksal silinen dosyaları yeniden listeler. Önemli şart: disk hâlâ macOS tarafından tanınıyor olmalı. T2 veya Apple Silicon Mac'lerde donanım fiziksel olarak ölmüşse hiçbir yazılım veriyi göremez çünkü anakart şifreyi çözmüyor.
Fiziksel hasar kurtarma
Su teması, düşme, anakart yanması
Soğutucu fan boşluklarından, klavye yarıklarından veya bağlantı portlarından sıvı içeri girebilir. PCB üzerinde korozyon başlar. Mikro lehim seviyesinde elektronik onarım yapan laboratuvarlar PCB'yi temizler, oksitlenmiş bileşenleri değiştirir ve cihazı canlandırmaya çalışır. Cihaz tek bir kez bile başarıyla açılırsa ve kullanıcı parolası biliniyorsa, veri Migration Assistant veya Target Disk Mode benzeri yöntemlerle çıkarılır. Apple Silicon'da Target Disk Mode yerine Share Disk özelliği kullanılır.
Ekran kırığı
Ekran kırığı veriye doğrudan etki etmez. Cihaz HDMI veya USB-C üzerinden harici monitöre bağlanır, normal çalışır ve veriler dış diske aktarılır. Kullanıcı Apple ID parolasını biliyorsa bu işlem birkaç saatte tamamlanır.
Klavye veya trackpad sıvı teması
MacBook'larda klavye ve trackpad anakart ile flex kablo üzerinden bağlanır. Sıvı temasında genelde klavye fişi okside olur fakat anakart sağlam kalır. Harici klavye bağlanarak veya Bluetooth ile oturum açılarak sisteme erişilir ve veri çıkarılır.
Apple Configurator 2 ile DFU restore
Apple Configurator 2 (https://support.apple.com/apple-configurator), T2 ve Apple Silicon Mac'lerde DFU (Device Firmware Update) mode üzerinden firmware geri yüklemeyi mümkün kılar. İkinci bir Mac'e USB-C ile bağlanan hedef cihaz, Apple Configurator 2 üzerinden Revive (yeniden canlandırma, veriyi korur) veya Restore (tam geri yükleme, veriyi siler) işlemine alınır.
Veri kurtarma senaryosunda Revive denemesi her zaman önce yapılır. Cihaz canlanırsa ve macOS önyüklenirse veriler erişilebilir hale gelir. Restore ise NAND'i silmediği takdirde son çare olarak kullanılır çünkü tüm kullanıcı içeriğini siler.
NAND chip-off neden Apple Silicon'da imkansız?
Geleneksel telefon ve eski SSD'lerde chip-off tekniği vardır: NAND yongası sökülür, programcıya bağlanır ve ham veri okunur. Apple Silicon ve T2 Mac'lerde bu yöntem işe yaramaz çünkü:
- NAND'den okunan ham veri AES-256 ile şifrelidir.
- Şifreleme anahtarı NAND içinde değil, Secure Enclave içindedir.
- Secure Enclave UID değeri çipten asla dışarı çıkmaz.
- Anahtar üreten cihaz öldüğünde anahtar da ölür.
Sonuç olarak Apple Silicon Mac'lerde NAND chip-off teknik olarak yapılsa dahi anlamlı veri çıktısı vermez. Bu durum Apple Platform Security belgelerinde açıkça yazılıdır.
Apple servis vs adli bilişim laboratuvarı
Apple Authorized Service Provider'lar (yetkili servisler) cihaz değişimi, anakart değişimi veya kapsamlı onarım yapar. Apple resmi politikası gereği veri kurtarma hizmeti sunmaz ve garanti kapsamında değişen anakart üzerindeki veriler kaybedilir.
Adli bilişim laboratuvarları ise farklıdır. Bu laboratuvarlar mikro lehim seviyesinde onarım yapar, hasarlı PCB üzerindeki kondansatörleri, IC'leri tek tek değiştirir ve cihaza geçici hayat verir. Amaç cihazı satılabilir hale getirmek değildir, sadece veriyi çıkarabilecek kadar açmaktır. Garanti bu süreçte feda edilir.
FileVault şifresi unutulduğunda
FileVault, macOS'un yazılım katmanı şifrelemesidir ve T2 ile Apple Silicon donanım şifrelemesinin üzerine eklenir.
FileVault parolası unutulduğunda üç ihtimal var:
- Kurulum sırasında oluşturulan Recovery Key kaydedilmişse bu anahtar ile birim açılır.
- iCloud Keychain'e FileVault recovery key yedeklenmiş olabilir. Apple ID ile ulaşılır.
- İkisi de yoksa cihaz kullanıcısı dışında kimse parolayı bilemez, brute force matematiksel olarak makul sürede mümkün değildir, veri kayıp sayılır.
Apple ID şifresi kaybolduğunda
Apple ID iCloud yedeği, iCloud Drive ve Find My erişiminin anahtarıdır. Parola kaybedildiğinde Apple Support üzerinden hesap kurtarma süreci başlatılır. Apple iki faktörlü doğrulamada güvenilir cihaz, güvenilir telefon numarası ve Recovery Key adımlarını kullanır.
Account Recovery süreci Apple kayıtlarına göre tamamlanması bir ila iki hafta sürebilir. Bu süre boyunca iCloud yedeği erişilemez kalır. Apple ID hesap kurtarma süreci bittiğinde yeni parola ile iCloud Drive ve yedek erişimi açılır.
Süreç adım adım
- Cihaz teşhisi. Mac güç alıyor mu, ekran açılıyor mu, DFU mode'a giriyor mu? Apple Configurator 2 ile bağlantı denenir.
- Şifre durumu netleşmesi. Kullanıcı parolası ve Apple ID parolası mevcut mu, FileVault aktif mi?
- Mantıksal veya fiziksel kategori. Yazılım hatasında Time Machine, Migration Assistant ve veri kurtarma yazılımı yolu. Fiziksel hasarda mikro lehim onarımı.
- Yazılı onay. Müşteriye süreç, maliyet ve başarı ihtimali yazılı sunulur, onay alınır.
- Veri çıkarma. Apple ID girişi yapılır, harici diske kopyalama başlar.
- Doğrulama. Çıkarılan dosyalar açılıp okunabildiği teyit edilir.
- Teslim. Müşteriye şifreli disk ile veri teslim edilir.
- KVKK uyumlu imha. Geçici kopyalar NIST SP 800-88 Purge prosedürü ile silinir.
KVKK ve gizlilik
Bir MacBook'ta kişisel veri, çalışan kayıtları, finansal belgeler ve şirket sırrı seviyesinde içerik bulunabilir. KVKK (https://www.kvkk.gov.tr) Kanunu uyarınca veri kurtarma sırasında bu içeriklerin korunması hizmet sağlayıcının sorumluluğundadır. NDA imzalanır, laboratuvar air-gapped (internetten yalıtılmış) çalışır, kayıt zinciri tutulur ve teslim sonrası geçici imajlar NIST SP 800-88 Purge yöntemiyle silinir.
SSS
MacBook ekranı kırık, veri çıkar mı?
Evet. Harici monitör bağlanır, kullanıcı parolası ile sisteme girilir ve veri dış diske kopyalanır. Ekran kırığı yalnızca görüntü problemidir.
FileVault şifresini unuttum, geri gelir mi?
Recovery Key veya iCloud Keychain yedeği varsa evet. İkisi de yoksa AES-256 brute force makul sürede mümkün değildir, veri kayıp sayılır.
Apple ID şifresi yok, iCloud yedeği var, açılır mı?
Apple Account Recovery süreci başlatılır. Güvenilir cihaz, telefon numarası veya Recovery Key ile bir ila iki haftada hesap geri alınabilir. Bu süre sonunda iCloud yedeği indirilebilir.
Anakart yandı, NAND sökmek işe yarar mı?
Apple Silicon ve T2 modellerde hayır. Şifreleme anahtarı Secure Enclave'de kaldığı için sökülen NAND ham şifreli veri verir, çözülemez. Tek umut anakartın canlandırılmasıdır.
Time Machine yedeği yokken format atıldı, kurtarılır mı?
APFS format sonrası NAND fiziksel olarak çoğunlukla silinir (TRIM ve secure erase devrede). Apple Silicon'da format genelde içeriğin kalıcı kaybı anlamına gelir.
M2 veya M3 MacBook'ta T2 ile fark var mı?
Mimari farklı (T2 Intel destek çipi, M serisi tam SoC) fakat veri kurtarma açısından her ikisi de Secure Enclave merkezli AES-256 kullanır. Kullanıcı deneyimi aynıdır.
Veri kurtarma süresi ne kadar?
Mantıksal vakalar genelde bir ila üç gün. Fiziksel hasar ve mikro lehim onarımı bir ila üç hafta sürebilir. Apple ID hesap kurtarma süreci ayrıca bir ila iki hafta ekleyebilir.
DSET ile çalışmak
MacBook veri kurtarma sürecinde dikkat edilmesi gereken en önemli nokta, cihaza güç vermeden önce şifre ve Apple ID durumunun belgelenmesidir. Yanlış müdahale Apple Silicon Mac'lerde veriyi kalıcı kaybettirir.
Daha kapsamlı senaryolar için ana yazı Veri Kurtarma Rehberi 2026 içinde anlatılır. iPhone tarafı için iPhone suya düştü makalesi ayrı bir rehberdir.
DSET laboratuvarı Hacettepe Teknokent Ankara adresinde, KVKK uyumlu süreç ile MacBook T2 ve Apple Silicon veri kurtarma hizmeti sunar. Ön analiz ücretsiz, sonuç onayı ile sonuçlanmayan vakada bedel alınmaz.
İletişim: Hacettepe Teknokent, Ankara, +90 536 662 38 09.
Kaynaklar:
- Apple Support, https://support.apple.com
- Apple Platform Security, https://support.apple.com/guide/security/welcome/web
- Apple Configurator 2, https://support.apple.com/apple-configurator
- JEDEC, https://www.jedec.org
- KVKK Kanunu, https://www.kvkk.gov.tr
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.