校验 macOS 克隆镜像完整性需三步:先核对 SHA-256 哈希值是否与官方一致;再用 codesign 验证 Apple 签名可信;最后挂载后用 hdiutil verify 及文件结构检查确认文件系统无损。
MacOS系统克隆镜像(如 .dmg 或通过 dd 生成的 .img)是否完整、未损坏,关键看校验值是否匹配原始源——不是“看起来能打开”,而是哈希值一致、签名可信、挂载后结构可验证。
核对哈希值:最基础也最关键的一步
官方或可信来源提供的镜像通常附带 SHA-256(推荐)或 MD5 校验和。下载完成后立即校验:
- 终端执行:
shasum -a 256 /path/to/image.dmg,对比输出是否与官网/发布页所列完全一致(注意大小写、空格、长度) - 若提供的是 base64 编码的 checksum(如 Apple 开发者网站),先解码再比对:
echo "xxx..." | base64 -d | shasum -a 256 - MD5 已不安全,仅作辅助参考;切勿用它替代 SHA-256 验证系统级镜像
验证 Apple 签名(适用于 .dmg 和 .pkg 类型)
部分官方镜像内嵌 Apple 代码签名,可用 codesign 检查其完整性与签发者:
- 挂载 .dmg 后,检查其中的应用或安装包:
codesign -dv --verbose=4 /Volumes/ImageName/Install\ macOS.app - 重点确认 Authority 显示为 “Apple Root CA” 或 “Apple Development/Production” 类证书,且 Signature timestamp 在合理范围内
- 若提示 “code object is not signed” 或 “a sealed resource is missing or invalid”,说明镜像可能被篡改或损坏
挂载后检查文件系统结构与关键组件
哈希和签名都通过,不代表镜像内数据逻辑无误。挂载后做轻量级结构验证:
- 进入挂载卷,运行:
ls -lF /Volumes/ImageName/,确认存在 BaseSystem.dmg(恢复镜像)、InstallInfo.plist 或 Contents/Info.plist 等核心元数据文件 - 检查安装器是否可执行:
file /Volumes/ImageName/Install\ macOS.app/Contents/MacOS/InstallAssistant应返回 “Mach-O universal binary” 及架构信息 - 用
hdiutil verify /path/to/image.dmg直接验证磁盘映像文件系统完整性(支持 APFS/HFS+),会扫描块级错误并报告 CRC 不匹配
写入 USB 后的二次校验(克隆到启动盘场景)
用 dd 或 createinstallmedia 写入 U 盘后,设备内容可能与原始镜像不一致(尤其未 sync 或中断写入):
- 写入完成后强制刷新缓存:
sync && sudo diskutil eject /dev/diskX(X 为对应盘符) - 重新插入 U 盘,用
hdiutil convert -format UDTO -o /tmp/test /dev/diskX临时转成 .cdr,再对其运行shasum -a 256,与原镜像比对 - 更稳妥方式:用
dd if=/dev/diskX | shasum -a 256(需确保 U 盘未被系统自动挂载,可用diskutil unmountDisk /dev/diskX先卸载)
校验不是一次性动作,而应贯穿下载、存储、写入、启动前每个环节。一次哈希不匹配,就别继续——重下、换源、查网络中间劫持,远比装完才发现无法更新或启动更省时间。
