Достаточно часто пользователи обращаются в нашу лабораторию с проблемой — удалены видео или фотоснимки с Iphone либо данные исчезли после очередной синхронизации с itunes. К сожалению, несмотря на то, что Apple предоставляет своим пользователям такой мощный и удобный инструмент для резервного сохранения всей нужной информации, включая фото, как iCloud, пользователи не активируют учетную запись и не настраивают создание бэкапов. Как следствие, после случайного удаления либо сбоя в работе гаджета возникает ситуация когда требуется восстановление данных с Iphone либо с Ipad.
Прежде всего, если устройство когда либо было синхронизировано с ПК есть смысл поискать бэкапы созданные с помощью Itunes. Существует множество программ, которые в автоматическом режиме определяют наличие резервных копий (глядя в то место, где они должны лежать по умолчанию) и предлагая восстановить удаленные файлы с Iphone или Ipad.
Как восстановить фото видео файлы или контакты с Iphone или Ipad, если резервных копий никогда не делалось и iClouds не был активирован? Единственный путь для восстановления нужной информации — получение посекторного образа всех логических томов iOS девайса командой типа dd в Linux с дальнейшим классическим разбором дампа и поиском удаленной ранее информации с Iphone или Ipad по типовым для нужного вида файлов сигнатурам. Дело в том, что удаление файлов с iPhone или Ipad на самом деле удаляет не сам файл а запись в таблице размещения файлов, поэтому удаленные с айфона или айпэда данные можно восстановить.
Задача осложнена тем, что информация, хранящаяся на iOS девайсах начиная с версии iOS4 и более поздних зашифрована уникальным ключом, который имеет привязку к конкретному устройству. Все это осложняет восстановление фото, видео или контактов с Iphone и Ipad. Механизм защиты информации использует два этапа шифрования, препятствующие получению доступа к файлам в случаях, когда гаджет заблокирован. Это достигается комбинацией аппаратного шифрования и программного ключа на основе UID и GID. Операционка не имеет доступа к этим ключам, но сохраняется возможность использовать сгенерированные на основе UID ключи для шифровки и расшифровки данных. Программный ключ имеет свою парольную защиту и используется при снятии блокировки с устройства.
Особенности устройства iOS (операционной системы, установленной и используемой на всех мобильных девайсах фирмы Apple) состоят в нескольких возможных вариантах загрузки. Классическая загрузка — normal mode, защищенный низкоуровневый режим DFU и Recovery Mode (когда на экране показывается значок Itunes и интерфейсный кабель, кагбэ намекая на необходимость подсоединить устройство к ПК с запущенным тунцом). В процессе любого типа загрузки ОС происходит поэтапная загрузка блоков, каждый из которых защищен RSA подписью.
Ipad в рекавери мод
В нормальном режиме первым грузится bootROM с базовыми командами, следом идет low level boot block, далее iBoot и спрингбоард (рабочий стол и приложения). В режиме DFU после bootRom стартуют загрузчики второго уровня iBSS и iBEC. Цифровая подпись загрузчика выполняет проверку ядра, а сигнатура ядра проверяет Ramdisk. Поскольку проверка пароля происходит на двух уровнях — на уровне kernel и springboard, то для восстановления данных подходит работа из DFU режима. В процессе подготовки к получению расшифрованного дампа в IPhone или Ipad загружается патченный бут-лоадер на основе технологии джэйлбрейк, использующий найденный хакерами, выпустившими redsn0w и checkra1n, уязвимости, и кастомный RAM диск.
Восстановление данных с iPhone и Ipad
По факту окончания прогрузки Ramdisk используя штатный тунцовый USBMUX протокол можно установить TCP-подобное соединение через USB порт по SSL протоколу. Штатно эта фича используется в передающем файлы сервисе AFC. Но для восстановления удаленных файлов с Iphone или Ipad по этому каналу устанавливается SSH-соединение, в командной оболочке которого можно снять искомый дамп и выгрузить его на управляющий ПК для дальнейшего анализа. Причем дамп будет уже расшифрован средствами самого аппарата, т.к. на этом этапе активируются все штатные механизмы шифровки\дешифровки.
Процесс восстановления данных с iPhone после перепрошивки
Часто пользователи сталкиваются со случайным или преднамеренным удалением нужных фотографий или видео со своих Apple смартфонов или планшетов. В нашей лаборатории в большинстве случаев все удалённые с iPhone или iPad файлы можно успешно восстановить. К примеру в конкретной ситуации с удалёнными видео-записями процесс выглядит следующим образом:
При штатном подключении iPhone к ПК видно, что с точки зрения iOS почти 10 Gb памяти свободно. Выводим смартфон в технологический режим, инициируем выгрузку полного дампа памяти с расшифровкой содержимого «на лету».
Смотрим на размер получившихся файлов, он практически равен максимальному объёму доступной памяти. Все удалённые файлы находятся теперь в этих папках и доступны для простого копирования на носитель заказчика.
Отдельно нужно подчеркнуть, для того чтобы вернуть удаленные файлы с айфона или айпада не нужно, чтобы на нем был предустановленный джейлбрейк! Устройство вводится в DFU режим и дальше, используя технологии jailbreak на устройство загружается подготовленный рам-диск. Прямая аналогия с восстановлением данных на ПК, у которого не грузится Windows, используя LiveCD. В процессе работ, чтобы реализовать восстановление информации ваш Iphone или Ipad не будут подвергнуты джейлбрейку, как таковому.
Эта технология позволяет нам восстанавливать стертые файлы с мобильных устройств, работающих под управлением iOS версий 10, 12, 13, 14, 15 и выше, включая восстановление данных с Iphone 5, 6, 7, 8, Iphone X, 11, 12, 13 включая версии pro, SE и SE-2, Ipad 2, 3, 4, Air, Pro и более новых. Обращайтесь за услугой по возврату потерянной информации в нашу лабораторию восстановления файлов.
P.S. В связи с тем, что многие невнимательно читают материал, да и много текста усвоить не в состоянии то: