有很多工具聲稱能夠恢復(fù)丟失或刪除的iPhone信息，這些工具號(hào)稱恢復(fù)的范圍可以從“恢復(fù)因掉到水里、硬件損壞、刪除、設(shè)備丟失等而丟失的數(shù)據(jù)”到更為保守的“選擇性地從內(nèi)存、iCloud和iTunes中恢復(fù)iPhone數(shù)據(jù)”。這些工具是否真的有效，它們是否達(dá)到了用戶的期望?答案是復(fù)雜的。

掉到水里的iPhone也可以恢復(fù)其中的數(shù)據(jù)嗎?

在研究各種數(shù)據(jù)iOS恢復(fù)工具時(shí)，有公司聲稱其工具可以“恢復(fù)因掉到水里、損壞、刪除、設(shè)備丟失等而丟失的數(shù)據(jù)”，例如“設(shè)備無法開機(jī)”。

這是不可能的，雖然一個(gè)專門的數(shù)據(jù)恢復(fù)實(shí)驗(yàn)室可以嘗試暫時(shí)恢復(fù)落到水里的iPhone，因?yàn)樗麄冃枰獜哪愕脑O(shè)備上復(fù)制你的數(shù)據(jù)，但沒有終端用戶軟件(當(dāng)然也沒有免費(fèi)軟件)可以做到這一點(diǎn)。

有趣的是，這種說法純粹是廣告。數(shù)據(jù)恢復(fù)工具可以嘗試從你的iCloud賬戶下載信息。這可能包括備份和一些同步數(shù)據(jù)(可能包括你的照片，如果你啟用了iPhone的iCloud照片設(shè)置)。由于端到端加密，我們還沒有看到任何消費(fèi)者級(jí)別的工具可以下載你的密碼或消息(SMS和iMessage歷史)。

“下載iCloud備份和照片”聽起來足夠好，但問題是你是否有這些備份。多年的經(jīng)驗(yàn)告訴我，用戶擁有的數(shù)據(jù)越有價(jià)值、越獨(dú)特，他就越不可能對(duì)這些數(shù)據(jù)進(jìn)行備份。如果你正在閱讀這篇文章，請(qǐng)檢查你的設(shè)備是否有最近的iCloud備份，以及是否啟用了iCloud照片。

由于蘋果只免費(fèi)提供5GB的iCloud空間，備份和照片很可能都不適合，所以很有可能你只剩下一些非常老的備份和很少的照片。支付額外的iCloud空間是確保你的照片得到備份的一種方法。另一種方法是使用第三方云提供商(如谷歌Photos或Microsoft OneDrive)備份照片。如果你只需要自己的照片，而且你已經(jīng)啟用了iCloud照片，你完全可以不借助任何第三方工具輕松地將照片下載到電腦上。對(duì)于macOS，只需連接你的蘋果賬戶并使用Photos應(yīng)用程序。在Windows中，在你的Windows電腦上設(shè)置并使用iCloud Photos。

硬件損壞的iPhone可以恢復(fù)其中的數(shù)據(jù)嗎?

損壞的iPhone和“落到水里”的iPhone有什么不同?如果設(shè)備不能接通電源，這與數(shù)據(jù)恢復(fù)點(diǎn)沒有區(qū)別。然而，“損壞”的iPhone可能會(huì)有顯示器被破壞，觸摸功能無法工作。如果是這種情況，你可能無法解鎖設(shè)備，因?yàn)槟銓o法輸入你的密碼。有趣的是，在某些情況下，數(shù)據(jù)還可以從這些設(shè)備中恢復(fù)。

事實(shí)上，如果你可以解鎖你的iPhone(例如使用Touch ID/Face ID)，并且手機(jī)之前在你的電腦上被“信任”(存在一個(gè)鎖定文件/iTunes配對(duì)記錄)，這可能會(huì)發(fā)生。否則，你必須在設(shè)備上輸入密碼，才能在電腦和手機(jī)之間建立信任關(guān)系。假設(shè)你的觸摸屏損壞，你就倒霉了，更換顯示器可能是你最好的選擇。

上圖中的工具的作用是，該工具將嘗試進(jìn)行備份或提取你的照片(即使備份受密碼保護(hù)，該協(xié)議也可以使用)。這類似于我們?cè)贓lcomsoft iOS Forensic Toolkit中執(zhí)行的高級(jí)邏輯獲取過程。一些更高級(jí)的數(shù)據(jù)恢復(fù)工具可能會(huì)利用現(xiàn)有的配對(duì)記錄/鎖定文件，而其他工具則不會(huì)。

不過該工具的限制是在斷開iPhone和計(jì)算機(jī)之間的連接之前，你必須已建立信任關(guān)系。如果不存在信任關(guān)系，則必須在iPhone上鍵入屏幕鎖定密碼以建立密碼，如果觸摸屏壞了，則可能無法實(shí)現(xiàn)。

正確的做法是如果只需要照片，并且以前已將iPhone與計(jì)算機(jī)配對(duì)，則可以按照說明將它們導(dǎo)入到計(jì)算機(jī)中，而無需第三方工具。了解如何將照片和視頻從手機(jī)導(dǎo)入PC。但是，如果你要查看短信/ iMessages，或者需要其他信息，則需要先創(chuàng)建iTunes格式，然后再使用一種工具來分析該備份。 Apple沒有提供用于分析iTunes備份的工具(僅允許你將數(shù)據(jù)還原到新的iPhone)，因此第三方工具可以為你提供幫助。我們?yōu)榇颂峁〦lcomsoft Phone Viewer。

恢復(fù)已經(jīng)刪除的數(shù)據(jù)

“刪除數(shù)據(jù)恢復(fù)”的說法是最含糊的，盡管用戶希望能夠恢復(fù)任何類型的已刪除文件，但事實(shí)并非如此。在iPhone中，幾乎每個(gè)用戶文件都是加密存儲(chǔ)的。文件系統(tǒng)采用基于文件的加密，每個(gè)文件都有單獨(dú)的唯一加密密鑰。一旦一個(gè)文件被刪除，加密密鑰就會(huì)暫時(shí)被銷毀，即使一個(gè)人有低層次訪問數(shù)據(jù)分區(qū)的權(quán)限(順便說一句，如果沒有越獄或利用，這是不可能的)，也不可能“恢復(fù)”或恢復(fù)該文件。

然而，某些類型的數(shù)據(jù)仍然可以被恢復(fù)，這是因?yàn)樗鼈儾皇俏募蛘邲]有被真正刪除。這些類型的數(shù)據(jù)包括:

照片和視頻。一旦你刪除了iPhone上的圖片，系統(tǒng)實(shí)際上不會(huì)刪除文件。取而代之的是，圖片被移動(dòng)到一個(gè)特殊的相冊(cè)(“最近刪除”文件夾)。照片保存在最近刪除的相冊(cè)至少30天。在此期間，用戶可以輕松恢復(fù)已刪除的圖片。

消息。你的文本消息和imessage以SQLite格式存儲(chǔ)在數(shù)據(jù)庫(kù)中，默認(rèn)情況下，SQLite不會(huì)在記錄被刪除后立即覆蓋它們。SQLite將它們標(biāo)記為“已刪除”。被刪除的頁(yè)面不再使用，并存儲(chǔ)在所謂的“自由列表”中，如果你獲得了數(shù)據(jù)庫(kù)文件(不過前提是你已經(jīng)進(jìn)行了備份)，那么可以恢復(fù)這些記錄，直到數(shù)據(jù)庫(kù)被完全清空且碎片被整理過，如果是，那么刪除將成為永久性的。這在ios8到ios11中是常見的情況，從iOS 12開始，蘋果似乎轉(zhuǎn)向了一種非標(biāo)準(zhǔn)的執(zhí)行方式，在刪除記錄后幾乎會(huì)立即對(duì)其進(jìn)行物理清除。因此，被刪除的短信和imessage無法在iOS 12、13及更新版本中恢復(fù)。

書簽。刪除的Safari書簽以SQLite格式存儲(chǔ)在HomeDomain/Library/Safari/Bookmarks.db數(shù)據(jù)庫(kù)中。刪除的書簽可以從SQLite數(shù)據(jù)庫(kù)恢復(fù)到ios12。從ios13開始，刪除的書簽將無法被恢復(fù)。

歷史記錄，Safari瀏覽歷史記錄存儲(chǔ)在AppDomain-com.apple.mobilesafari/Library/Safari/ history .db SQLite數(shù)據(jù)庫(kù)中。從iOS 12開始，刪除的Safari歷史將無法恢復(fù)。

標(biāo)簽。從ios10開始，Safari打開的標(biāo)簽存儲(chǔ)在AppDomain-com.apple.mobilesafari/Library/Safari/BrowserState.db SQLite數(shù)據(jù)庫(kù)中。在iOS 10和iOS 11中，打開的標(biāo)簽會(huì)被無限期存儲(chǔ)直到關(guān)閉，包括在隱私瀏覽會(huì)話中打開的標(biāo)簽。然而，即使在標(biāo)簽被關(guān)閉之后，它們?nèi)匀豢梢员换謴?fù)。從iOS 12開始，這種情況就不復(fù)存在了。iOS 13增加了一個(gè)額外的保護(hù)機(jī)制，允許用戶指定一個(gè)標(biāo)簽可以保持打開的最長(zhǎng)時(shí)間，然后自動(dòng)關(guān)閉標(biāo)簽，并在此之后擦去相應(yīng)的記錄。在iOS 12和13中，關(guān)閉Safari標(biāo)簽的信息將無法恢復(fù)。

閱讀列表以com.apple.ReadingList作為父級(jí)存儲(chǔ)書簽。自iOS 13起，無法從閱讀列表中刪除項(xiàng)目。

聯(lián)系人、日歷、筆記和呼叫歷史記錄，所有這些都存儲(chǔ)在相應(yīng)的SQLite數(shù)據(jù)庫(kù)中。刪除的記錄可以通過拉取和掃描數(shù)據(jù)庫(kù)文件來恢復(fù)，除非數(shù)據(jù)庫(kù)已經(jīng)被清空和整理。

文件應(yīng)用程序中的文件。你在設(shè)備上存儲(chǔ)在文件應(yīng)用程序中的文件會(huì)在你刪除后移動(dòng)到最近刪除的文件夾中，你可以找到和恢復(fù)這些文件打開位置>最近刪除的文件夾。

iCloud驅(qū)動(dòng)器中的文件，就像照片和視頻一樣，你存儲(chǔ)在iCloud驅(qū)動(dòng)器中的文件不會(huì)立即被刪除。蘋果公司的說法如下：

“當(dāng)你從iCloud驅(qū)動(dòng)器上刪除一個(gè)文件時(shí)，它會(huì)進(jìn)入最近刪除的文件夾。如果你改變主意或者不小心刪除了一個(gè)文件，你有30天的時(shí)間把它找回來。轉(zhuǎn)到位置>最近刪除。選擇要保存的文件并單擊‘恢復(fù)’。30天后，你的文件將從最近刪除。”

正如你所看到的，大多數(shù)數(shù)據(jù)只能從以前做的備份中“恢復(fù)”，不過前提是你曾經(jīng)做過那些備份。

下面是一個(gè)匯總表的快速表格，如你所見，從iOS 13開始，無論你使用哪種備份類型(iTunes，iCloud，同步數(shù)據(jù)或通過文件系統(tǒng)映像生成的TAR或ZIP文件)，幾乎無法恢復(fù)任何內(nèi)容。

在較舊的iOS版本中(這是大多數(shù)“iOS數(shù)據(jù)恢復(fù)”工具發(fā)揮作用的地方)，鑒于未對(duì)數(shù)據(jù)庫(kù)進(jìn)行清理和壓縮，存儲(chǔ)在SQLite數(shù)據(jù)庫(kù)中的任何內(nèi)容都可以恢復(fù)。唯一的問題：它今天不再起作用。某些類型的數(shù)據(jù)在iOS 12中變得不可恢復(fù)，而蘋果公司開始在iOS 13中擦除其余數(shù)據(jù)。如今，大多數(shù)依賴SQLite空閑列表的iOS數(shù)據(jù)恢復(fù)工具都是無用的。

從技術(shù)上講，可以通過越獄或利用直接訪問SQLite數(shù)據(jù)庫(kù)。這不是一個(gè)單鍵解決方案，遠(yuǎn)遠(yuǎn)不是，而且無論如何你都不能訪問大多數(shù)被刪除的記錄。你需要一個(gè)低級(jí)的取證級(jí)提取工具(例如Elcomsoft iOS取證工具包)和一個(gè)像SQLite取證工具包這樣的工具來分析預(yù)寫日志(WAL)?？梢允褂弥T如UFED或Oxygen之類的取證級(jí)軟件，這兩種軟件都不是針對(duì)普通用戶的。

特殊情況下的數(shù)據(jù)備份

在現(xiàn)代版本的iOS中，恢復(fù)已刪除記錄(無論是消息、調(diào)用日志還是聯(lián)系人)的一個(gè)問題是SQLite數(shù)據(jù)庫(kù)的不穩(wěn)定性。從設(shè)備中獲取SQLite數(shù)據(jù)庫(kù)的唯一簡(jiǎn)單方法是進(jìn)行iTunes備份。在進(jìn)行備份之前，數(shù)據(jù)庫(kù)與未合并的WAL(預(yù)寫日志)一起使用，一些未合并的已刪除記錄仍然可以恢復(fù)。但是，在初始化備份的那一刻，SQLite數(shù)據(jù)庫(kù)就會(huì)被合并，被刪除的記錄就會(huì)永遠(yuǎn)丟失。

此規(guī)則有一個(gè)例外：媒體文件數(shù)據(jù)庫(kù)可以通過AFC協(xié)議獲得。這些數(shù)據(jù)庫(kù)包含所有索引圖像和視頻文件的元數(shù)據(jù)，包括用戶刪除的(以及隨后從最近刪除的相冊(cè)中清除的)。但是，除了取證人員外，圖像元數(shù)據(jù)幾乎沒有價(jià)值。

這為從舊的(現(xiàn)有)備份中還原數(shù)據(jù)提供了恢復(fù)的可能性，不過前提是如果你有定期進(jìn)行iTunes備份的習(xí)慣。

如果你現(xiàn)有的iCloud備份包含進(jìn)行備份后已刪除的數(shù)據(jù)，則可以下載該備份，即使你的帳戶受兩因素身份驗(yàn)證保護(hù)，我們也只知道一個(gè)可以使用的工具——Elcomsoft Phone Breaker。但是請(qǐng)注意，如果啟用了“iCloud中的消息”，則這些消息將不再屬于iCloud備份;相反，它們將與云同步。“iCloud中的信息”采用端到端加密保護(hù)，目前，Elcomsoft Phone Breaker仍然是唯一能夠訪問iCloud端到端的加密數(shù)據(jù)的工具。

簡(jiǎn)要說明一下：iOS恢復(fù)工具已經(jīng)變得非常流行，以至于許多恢復(fù)工具都打著恢復(fù)數(shù)據(jù)的幌子來做營(yíng)銷。

總結(jié)

綜上所述，許多iOS數(shù)據(jù)恢復(fù)工具都只是把數(shù)據(jù)恢復(fù)作為營(yíng)銷噱頭。理解這些工具運(yùn)行的基本原理以及這些工具使用的數(shù)據(jù)來源對(duì)于調(diào)整你的預(yù)期非常重要。絕大多數(shù)數(shù)據(jù)iOS恢復(fù)工具都是完全基于iOS/iTunes備份機(jī)制和獨(dú)立的媒體同步協(xié)議。很少有工具可以從iCloud獲取同步信息(如聯(lián)系人、筆記和日歷)，當(dāng)然，能夠下載iCloud備份的工具就更少了。我們還沒有看到一個(gè)iOS數(shù)據(jù)恢復(fù)工具可以在受雙因素保護(hù)的賬戶中提取iCloud備份。