有很多工具声称可以恢复丢失或删除的iPhone信息,这些工具声称可以从“恢复因水滴、硬件损坏、删除、设备丢失等原因丢失的数据”中恢复。到更保守的“有选择地从内部存储器、iCloud和iTunes中恢复iPhone数据”。这些工具真的有效吗?它们是否满足用户的期望?答案很复杂。是否可以从掉入水中的iPhone恢复数据?在研究各种iOS数据恢复工具时,有公司声称他们的工具可以“恢复因水滴、损坏、删除、丢失设备等原因丢失的数据”,例如“设备无法打开”。这是不可能的,虽然专门的数据恢复实验室可以尝试暂时恢复掉入水中的iPhone,因为他们需要从您的设备复制您的数据,但没有最终用户软件(当然也没有免费软件)它可以做到。有趣的是,这种说法纯粹是广告。数据恢复工具会尝试从您的iCloud帐户下载信息。这可能包括备份和一些同步数据(可能包括您的照片,如果您启用了iPhone的iCloud照片设置)。由于端到端加密,我们还没有看到任何可以下载您的密码或消息(SMS和iMessage历史记录)的消费级工具。“下载iCloud备份和照片”听起来不错,但问题是您是否拥有这些备份。多年的经验告诉我,用户拥有的数据越有价值、越独特,他备份数据的可能性就越小。如果您正在阅读本文,请检查您的设备是否有最近的iCloud备份以及是否启用了iCloud照片。由于Apple仅免费为您提供5GB的iCloud空间,因此备份和照片可能放不下,因此您很可能只剩下一些非常旧的备份和很少的照片。为额外的iCloud空间付费是确保照片得到备份的一种方式。另一种方法是使用第三方云提供商(如GooglePhotos或MicrosoftOneDrive)来备份您的照片。如果您只需要自己的照片并且启用了iCloud照片,您可以轻松地将它们下载到您的电脑上,而无需任何第三方工具。对于macOS,只需连接您的Apple帐户并使用“照片”应用程序。在Windows中,在Windows电脑上设置和使用iCloud照片。是否可以从硬件损坏的iPhone恢复数据?损坏的iPhone与“掉进水里”的iPhone有何不同?如果设备无法插入电源,则与数据恢复点没有什么不同。但是,“损坏”的iPhone可能会损坏显示屏并且无法使用触摸功能。如果是这种情况,您可能无法解锁设备,因为您将无法输入密码。有趣的是,在某些情况下,还可以从这些设备中恢复数据。事实上,如果您可以解锁您的iPhone(例如使用TouchID/FaceID),并且该手机之前在您的计算机上是“受信任的”(存在锁定文件/iTunes配对记录),则可能会发生这种情况。否则,您必须在设备上输入密码才能在计算机和手机之间建立信任。假设你的触摸屏损坏了,那你就倒霉了,更换显示器可能是你最好的选择。上图中的工具所做的是,该工具将尝试备份或提取您的照片(即使备份受密码保护,该协议也能正常工作)。这类似于我们在ElcomsoftiOSForensicToolkit中执行的高级逻辑获取过程。一些更高级的数据恢复工具可能会利用现有的配对记录/锁定文件,而其他工具则不会。不过这个工具的局限在于,在断开iPhone与电脑的连接之前,你必须已经建立了信任关系。如果不存在信任,则必须在iPhone上输入屏幕锁定密码才能建立信任,如果触摸屏坏了,这可能无法实现。正确的做法是,如果您只需要照片,并且您之前已经将iPhone与电脑配对,则可以按照说明将它们导入电脑,而无需第三方工具。了解如何将照片和视频从手机导入电脑。但是,如果您想查看短信/iMessage,或需要其他信息,您需要先创建一个iTunes格式,然后使用工具分析该备份。Apple不提供分析iTunes备份的工具(只允许您将数据恢复到新iPhone),因此第三方工具可以帮助您。为此,我们提供了ElcomsoftPhoneViewer。恢复已删除的数据“已删除数据恢复”是最含糊的说法,虽然用户希望能够恢复任何类型的已删除文件,但事实并非如此。在iPhone中,几乎每个用户文件都是加密存储的。文件系统采用基于文件的加密,每个文件都有自己唯一的加密密钥。一旦文件被删除,加密密钥将被暂时销毁,即使对数据分区具有低级别访问权限(顺便说一下,如果没有越狱或漏洞利用,这是不可能的)也无法“恢复”或恢复文件。但是,某些类型的数据仍然可以恢复,因为它们不是文件或实际上并未被删除。这些类型的数据包括:照片和视频。一旦你在你的iPhone上删除了一张图片,系统实际上并没有删除这个文件。相反,图片被移动到一个特殊的相册(“最近删除”文件夹)。照片会在“最近删除”相册中保留至少30天。在此期间,用户可以轻松恢复已删除的图片。信息。您的短信和即时消息以SQLite格式存储在数据库中,默认情况下,SQLite不会在删除记录后立即覆盖记录。SQLite将它们标记为“已删除”。删除的页面不再使用,并存储在所谓的“空闲列表”中,如果您获得数据库文件(但前提是您已经备份),这些记录可以恢复,直到数据库完全清空和碎片化有组织,如果是,则删除将成为永久性的。这在iOS8到11中很常见,从iOS12开始,Apple似乎已经转向非标准的物理清除记录的实现,几乎是在记录被删除后立即清除。因此,在iOS12、13及更高版本中无法恢复已删除的短信和imessage。书签。已删除的Safari书签以SQLite格式存储在HomeDomain/Library/Safari/Bookmarks.db数据库中。删除的书签可以从SQLite数据库恢复到ios12。从ios13开始,删除的书签无法恢复。History,Safari浏览历史存储在AppDomain-com.apple.mobilesafari/Library/Safari/history.dbSQLite数据库中。从iOS12开始,无法恢复已删除的Safari历史记录。标签。从ios10开始,Safari打开的选项卡存储在AppDomain-com.apple.mobilesafari/Library/Safari/BrowserState.dbSQLite数据库中。在iOS10和iOS11中,打开的标签页会无限期存储直到关闭,包括在隐私浏览会话中打开的标签页。但是,即使在选项卡关闭后,它们仍然可以恢复。从iOS12开始,情况不再如此。iOS13增加了额外的保护机制,允许用户指定标签页在自动关闭标签页并擦除相应记录之前可以保持打开状态的最长时间。在iOS12和13中,关闭的Safari选项卡中的信息将不会恢复。阅读列表以com.apple.ReadingList作为父级存储书签。自iOS13起,无法从阅读列表中删除项目。联系人、日历、笔记和通话记录,都存储在相应的SQLite数据库中。删除的记录可以通过提取和扫描数据库文件来恢复,除非数据库已经被清空和组织。文件应用程序中的文件。存储在设备“文件”应用程序中的文件在删除后会移至“最近删除”文件夹,您可以通过打开“位置”>“最近删除的文件夹”来查找和恢复它们。iCloudDrive中的文件与照片和视频一样,存储在iCloudDrive中的文件不会立即删除。Apple是这样说的:“当您从iCloudDrive中删除文件时,它会进入最近删除的文件夹。如果您改变主意或不小心删除了文件,您有30天的时间将其取回。转到“位置”>“最近删除”。选择要保存的文件,然后单击“恢复”。30天后,您的文件将从最近删除。”如您所见,大多数数据只能从以前制作的备份“还原”中检索,但前提是您已经制作了这些备份。下面是一个快速表汇总表,正如您所见,从iOS13开始,无论您使用哪种备份类型(iTunes、iCloud、同步数据,或通过文件系统映像生成的TAR或ZIP文件),几乎都无法恢复任何内容.在旧的iOS版本中(这是大多数“iOS数据恢复”工具发挥作用的地方),只要数据库没有清理和压缩,存储在SQLite数据库中的任何东西都可以恢复。唯一的问题是:今天它不再工作了.某些类型的数据在iOS12中变得不可恢复,Apple开始在iOS13中清除其余数据。今天,大多数依赖SQLite免费列表的iOS数据恢复工具都没有用。从技术上讲,可以通过一个直接访问SQLite数据库jailbreakorexploit.这不是一键解决方案,far从它,你将无法访问大多数已删除的记录。您需要一个低级别的取证级别提取工具(例如ElcomsoftiOSForensicsToolkit)和一个像SQLiteForensicsToolkit这样的工具来分析预写日志(WAL)。可以使用UFED或Oxygen等取证级软件,它们都不是针对普通用户的。特殊情况下的数据备份在现代版本的iOS中,恢复已删除记录(无论是消息、通话记录还是联系人)的一个问题是SQLite数据库的不稳定。从设备上获取SQLite数据库的唯一简单方法是制作iTunes备份。备份之前,数据库使用了未合并的WAL(write-aheadlog),一些未合并的删除记录仍然可以恢复。然而,在备份初始化的那一刻,SQLite数据库被合并,删除的记录将永远丢失。此规则有一个例外:媒体文件数据库可通过AFC协议使用。这些数据库包含所有索引图像和视频文件的元数据,包括那些被用户删除(并随后从“最近删除”相册中清除)的文件。然而,图像元数据对取证人员以外的任何人都没有什么价值。这为从旧(现有)备份恢复数据提供了恢复的可能性,但前提是您习惯于定期进行iTunes备份。如果您现有的iCloud备份包含自备份后已删除的数据,您可以下载该备份,即使您的帐户受双因素身份验证保护,我们只知道一种工具可以-ElcomsoftPhone断路器。但是请注意,如果启用了“iCloud中的消息”,这些消息将不再是您的iCloud备份的一部分;相反,它们将与云同步。“iCloud中的信息”采用端到端加密保护,目前ElcomsoftPhoneBreaker仍然是唯一可以访问iCloud端到端加密数据的工具。快速说明:iOS恢复工具变得如此流行,以至于许多都打着恢复数据的幌子进行销售。总结综上所述,很多iOS数据恢复工具只是将数据恢复作为一种营销噱头进行营销。了解这些工具的工作原理及其使用的数据源对于调整您的期望非常重要。大多数数据iOS恢复工具完全基于iOS/iTunes备份机制和独立的媒体同步协议。很少有工具可以从iCloud获取同步信息(例如联系人、便笺和日历),当然可以下载iCloud备份的工具就更少了。我们还没有看到一个iOS数据恢复工具可以提取受两个因素保护的帐户上的iCloud备份。
