我来帮你理清Mac上加密DMG的存储逻辑和你担心的几个风险点：

首先核心结论：当你挂载加密DMG时，系统不会把整个解密后的镜像内容写入硬盘，而是实时在内存中完成解密/加密操作——读取文件时从DMG里解密到内存，写入文件时加密后直接存回原DMG文件本身。但有几个容易踩坑的场景需要警惕：

1. 可能留下敏感痕迹的位置 #

• 交换空间（虚拟内存）：如果你的Mac内存不足，系统会把部分内存数据写到硬盘的交换分区（路径是/private/var/vm/）。如果解密后的文件内容被交换到这里，HDD上的交换文件数据在删除后理论上有被恢复的可能。不过如果开启了系统的FileVault加密，交换分区会自动加密，能大幅降低这个风险。
• 应用本地缓存：如果你用第三方应用打开DMG里的文件，很多应用会在本地缓存目录（比如~/Library/Caches/）留下临时文件或缓存片段。比如用预览打开PDF、用PS处理图像，都可能产生这类未加密的缓存。
• Dropbox同步的致命风险：你提到的把加密DMG放在Dropbox文件夹里，挂载后Dropbox开始同步——这是因为挂载后的DMG会被识别为一个本地磁盘卷，Dropbox会把卷内的所有文件当成普通本地文件，同步到云端服务器。这意味着解密后的明文内容会被上传到Dropbox，直接让加密失去意义！这个操作一定要避免，挂载前务必把DMG移到非同步目录。

2. 降低泄密风险的实操建议 #

• 绝对不要在同步文件夹（Dropbox、iCloud Drive、OneDrive等）内挂载加密DMG，挂载前先将DMG移动到本地非同步目录。
• 开启系统级的FileVault加密，这样即使交换分区或缓存有敏感数据，也是加密状态，被恢复后也无法读取。
• 定期手动清理应用缓存，或者用可信的隐私清理工具清除临时文件（注意选择正规工具，避免恶意软件）。
• 操作大文件时尽量保证内存充足，减少数据被交换到硬盘的概率。

3. 关于HDD数据恢复的补充 #

HDD删除的数据确实有被恢复的可能，但只要你遵循上面的注意事项，加密DMG的核心解密内容不会被持久化到硬盘上——只有交换缓存、应用缓存这类特殊情况才可能留下痕迹，而FileVault能把这些痕迹也加密保护起来。

内容的提问来源于stack exchange，提问作者Mikael