Khôi phục dữ liệu trên iPhone: những điều KHÔNG THỂ và CÓ THỂ – HTI Group

Khôi phục dữ liệu trên iPhone: những điều KHÔNG THỂ và CÓ THỂ

This post is also available in : English ( English )

Nếu bạn tìm kiếm một hồi trên mạng, sẽ thấy không thiếu những công cụ, phần mềm khẳng định về khả năng khôi phục dữ liệu bị mất hoặc bị xóa khỏi iPhone. Những công cụ này được tuyên bố rằng, chúng có khả năng khôi phục dữ liệu do bị dính nước, bị hỏng, bị xóa đến cả việc khôi phục dữ liệu iPhone có chọn lọc từ bộ nhớ trong, iCloud và iTunes. Liệu các công cụ này có thực sự làm được như vậy và đáp ứng được những nhu cầu của người dùng? Hãy tham khảo bài viết này của chúng tôi: Những điều CÓ THỂKHÔNG THỂ khi khôi phục dữ liệu trên Iphone.

1. Iphone bị hỏng do nước

Khi nghiên cứu các công cụ khôi phục dữ liệu iOS khác nhau, tôi thấy một công ty khôi phục dữ liệu đưa ra một tuyên bố táo bạo: Khôi phục các dữ liệu bị mất do thiết bị bị dính nước, bị bể, bị mất hoặc dữ liệu bị xóa,… Chúng ta sẽ tập trung vào vấn đề: bị dính nước, như trong trường hợp máy không lên khi bật nguồn.

Khôi phục dữ liệu iPhone bị ngâm nước

Kỳ vọng của người dùng: Tuyên bố táo bạo này khiến người dùng nghĩ rằng, bằng một cách/công cụ nào đó, có thể khôi phục dữ liệu iPhone bị ngâm nước trong tình trạng không thể bật nguồn.

Trên thực tế: Điều này sẽ KHÔNG xảy ra. Mặc dù phòng thí nghiệm khôi phục dữ liệu chuyên dụng có thể khôi phục tạm thời iPhone bị hỏng do nước trong thời gian họ cần sao chép dữ liệu ra khỏi thiết bị, nhưng chắc chắn không có phần mềm nào dành cho người dùng cuối (end-user) có thể làm được điều này (mà còn là phần mềm miễn phí).

Những công cụ này làm được gì: Đây có lẽ chỉ là một hình thức marketing. Công cụ khôi phục dữ liệu được quảng cáo này có thể tải các thông tin từ tài khoản iCloud của bạn. Nó có thể bao gồm các bản sao lưu và một số dữ liệu được đồng bộ hóa. Còn riêng tôi chưa thấy bất kỳ công cụ dành cho end-user nào có thể tải xuống mật khẩu hoặc tin nhắn SMS vì chúng đã bị mã hóa đầu cuối.

Những hạn chế: “Tải xuống bản sao lưu và ảnh” – có vẻ là đủ tốt, vấn đề là bạn có các bản sao lưu đó hay không? Nhiều năm kinh nghiệm đã chỉ cho tôi biết rằng người dùng càng có nhiều dữ liệu có giá trị thì khả năng họ có bản sao lưu cho dữ liệu đó càng thấp.
Apple chỉ cung cấp 5GB dung lượng iCloud miễn phí nên hầu hết các bản sao lưu và ảnh đều không như mong muốn của bạn, chúng có thể quá cũ hoặc quá cũ, không đúng thứ bạn muốn. Trả tiền để có thêm dung lượng trong iCloud là cách để đảm bảo các ảnh của bạn được sao lưu, hoặc sử dụng các dịch vụ lưu trữ đám mây của các bên thứ 3 như Google Photos hoặc Microsoft OneDrive để sao lưu ảnh của bạn.

Cách thức phù hợp: Nếu tất cả những gì bạn cần là ảnh của mình và bạn đã bật iCloud Photos, bạn có thể tải chúng dễ dàng xuống máy tính của mình mà không cần bất kỳ công cụ của bên thứ ba nào. Đối với macOS, chỉ cần kết nối tài khoản Apple của bạn và sử dụng ứng dụng Photos (Ảnh). Trong Windows, thiết lập và sử dụng iCloud Photos trên Windows PC.

2. Iphone bị bể, vỡ, hỏng

IPhone “hỏng” khác với iPhone “bị dính nước” như thế nào?

IPhone “ hỏng ” hoàn toàn có thể bị vỡ màn hình hiển thị và công dụng cảm ứng không hoạt động giải trí. Nếu trường hợp này xảy ra, bạn hoàn toàn có thể không mở khóa được thiết bị vì bạn sẽ không hề nhập mật mã của mình. Và suôn sẻ làvị là trong một số ít trường hợp, vẫn hoàn toàn có thể khôi phục dữ liệu từ những thiết bị này .

Khôi phục dữ liệu iPhone bị vỡ

Kỳ vọng của người dùng: Tôi sẽ cắm điện thoại vào máy tính và công cụ kết nối thông qua bất kỳ giao thức ma thuật nào đó và lấy lại được dữ liệu.

Trên thực tế: Điều này có thể xảy ra nếu bạn có thể mở khóa iPhone của mình (ví dụ: bằng Touch ID / Face ID) và điện thoại trước đó đã được “trusted” (có độ tin cậy) trên máy tính của bạn (tồn tại tệp khóa / bản ghi ghép nối iTunes). Nếu không, bạn sẽ phải nhập mật mã trên thiết bị để thiết lập mối quan hệ tin cậy giữa máy tính và điện thoại. Còn nế màn hình cảm ứng của bạn bị hỏng, việc thay thế màn hình có lẽ là cách tốt nhất.

Chức năng của công cụ: Các công cụ sẽ cố gắng tạo bản sao lưu và/hoặc lấy lại ảnh của bạn (đây là một giao thức khác hoạt động ngay cả khi các bản sao lưu của bạn được bảo vệ bằng mật khẩu). Một số công cụ khôi phục dữ liệu nâng cao hơn có thể tận dụng các bản ghi / tệp khóa ghép nối hiện có, trong khi những công cụ khác thì không.

Hạn chế: Bạn phải thiết lập mối quan hệ “tin cậy” giữa iPhone và máy tính của mình trước khi nó bị hỏng. Nếu không có sự đáng tin nào tồn tại, bạn sẽ phải nhập mật mã khóa màn hình trên iPhone của mình để thiết lập mật mã, điều này có thể không thực hiện được nếu màn hình cảm ứng bị hỏng.

Cách thức phù hợp: Nếu tất cả những gì bạn cần là ảnh và nếu trước đó bạn đã ghép nối iPhone với máy tính, bạn có thể nhập chúng vào máy tính của mình mà không cần công cụ của bên thứ ba. Tuy nhiên, nếu bạn muốn xem lại tin nhắn văn bản / iMessages của mình hoặc nếu bạn cần một số thông tin khác, trước tiên bạn sẽ cần tạo một định dạng iTunes và một công cụ để phân tích bản sao lưu đó. Apple không tạo ra các công cụ để phân tích các bản sao lưu iTunes (chỉ cho phép bạn khôi phục dữ liệu trên iPhone mới), vì vậy một công cụ của bên thứ ba sẽ giúp bạn làm điều này: Elcomsoft Phone Viewer

3. Dữ liệu đã xóa

Yêu cầu “ khôi phục dữ liệu đã xóa ” là mơ hồ nhất. Người dùng trông đợi vào năng lực phục sinh những tệp đã xóa dưới bất kỳ hình thức nào, nhưng điều này là không hề. Trong iPhone, hầu hết mọi tệp người dùng được tàng trữ đều được mã hóa. Hệ thống tệp sử dụng mã hóa dựa trên tệp với những khóa mã hóa riêng không liên quan gì đến nhau, duy nhất cho mọi tệp. Sau khi tệp bị xóa, khóa mã hóa sẽ bị tàn phá ngay lập tức, khiến không hề “ hồi sinh ” hoặc khôi phục tệp đó ngay cả khi một người có quyền truy vấn cấp thấp vào phân vùng dữ liệu .

Lấy lại dữ liệu iPhone bị xóa

Tuy nhiên, vẫn hoàn toàn có thể khôi phục một số ít loại dữ liệu nhất định – đơn thuần vì chúng không phải là tệp hoặc không thực sự bị xóa. Các loại dữ liệu này gồm có :

– Ảnh và video: Sau khi bạn xóa ảnh trên iPhone, hệ thống sẽ không thực sự xóa tệp. Thay vào đó, hình ảnh được chuyển vào một thư mục đặc biệt (thư mục “Đã xóa gần đây – Recently Deleted”). Ảnh được lưu trong thư mục “Đã xóa gần đây” trong ít nhất 30 ngày. Trong khoảng thời gian đó, người dùng có thể dễ dàng khôi phục ảnh đã xóa của mình.
– Tin nhắn: Tin nhắn văn bản và iMessages của bạn được lưu trữ trong cơ sở dữ liệu ở định dạng SQLite. Theo mặc định, SQLite không ghi đè các bản ghi ngay sau khi chúng bị xóa. Thay vào đó, SQLite đánh dấu chúng là “đã xóa”. Các trang đã xóa trở nên không được sử dụng và được lưu trữ trên “freelist”. Nếu bạn có được các tệp cơ sở dữ liệu (bằng cách tạo bản sao lưu), các bản ghi này có thể được phục hồi cho đến thời điểm cơ sở dữ liệu được “hút” sạch hoàn toàn và không phân mảnh (nếu có, việc xóa sẽ trở thành vĩnh viễn). Điều này có thể thực hiện được trong iOS 8 đến iOS 11. Bắt đầu từ iOS 12, Apple đã chuyển sang “non-standard”, xóa sạch các bản ghi gần như ngay lập tức sau khi chúng bị xóa. Do đó, không thể khôi phục tin nhắn văn bản và iMessages đã xóa trong iOS 12, 13 và các hệ điều hành mới hơn.
– Bookmarks: Bookmarks Safari đã xóa được lưu trữ trong cơ sở dữ liệu HomeDomain/Library/ Safari/Bookmarks.db ở định dạng SQLite. Các bookmarks đã xóa có thể được khôi phục từ cơ sở dữ liệu SQLite cho đến iOS 12. Bắt đầu từ iOS 13, các dấu trang đã xóa không thể khôi phục được nữa.
– Lịch sử: Lịch sử duyệt Safari được lưu trữ trong cơ sở dữ liệu SQLite AppDomain-com.apple.mobilesafari/Library/Safari/History.db. Bắt đầu từ iOS 12, lịch sử Safari đã xóa không thể khôi phục được nữa.
– Các tab: Bắt đầu với iOS 10, các tab đang mở trên Safari được lưu trữ trong cơ sở dữ liệu SQLite AppDomain-com.apple.mobilesafari/Library/Safari/BrowserState.db. Trong iOS 10 và 11, các tab đang mở sẽ được lưu trữ vô thời hạn cho đến khi đóng, bao gồm các tab được mở trong phiên duyệt web. Tuy nhiên, ngay cả sau khi các tab đã bị đóng, chúng vẫn có thể được khôi phục. Bắt đầu với iOS 12, điều này không còn đúng nữa. iOS 13 mang đến một cơ chế bảo vệ bổ sung, cho phép người dùng chỉ định khoảng thời gian tối đa mà một tab vẫn có thể mở, tự động đóng tab và xóa bản ghi tương ứng sau khoảng thời gian đó. Trong iOS 12 và 13, thông tin về các tab Safari đã đóng sẽ không thể khôi phục được nữa.
– Danh sách đọc (Reading List) lưu trữ trên Bookmarks với com.apple.ReadingList dưới dạng phụ huynh. Không thể khôi phục các mục đã xóa khỏi Danh sách đọc kể từ iOS 13.
– Danh bạ, lịch, ghi chú và lịch sử cuộc gọi: Tất cả những thứ này cũng được lưu trữ trong cơ sở dữ liệu SQLite tương ứng. Các bản ghi đã xóa có thể được khôi phục bằng cách kéo và quét các tệp cơ sở dữ liệu trừ khi cơ sở dữ liệu đã bị Vacuum (lấy lại khoảng không gian trống hoặc bị phân mảnh)
– Files trong các Files App: Các tệp bạn lưu trữ trên thiết bị của mình trong ứng dụng tệp sẽ được chuyển đến thư mục Recently Deleted sau khi bạn xóa chúng. Bạn có thể tìm và khôi phục các tệp đó bằng cách mở thư mục Locations > Recently Deleted.
– Files trong iCloud Drive: Cũng giống như ảnh và video, các tệp bạn lưu trữ trong iCloud Drive không bị xóa ngay lập tức. Theo Apple, khi bạn xóa một tệp khỏi iCloud Drive, tệp đó sẽ đi vào thư mục “Recently Deleted”. Nếu bạn thay đổi quyết định hoặc vô tình xóa một tệp, bạn có 30 ngày để lấy lại. Đi tới Locations > Recently Deleted, chọn tệp bạn muốn giữ và nhấn Recover. Sau 30 ngày, các tệp của bạn sẽ bị xóa khỏi Recently Deleted.

Như bạn có thể thấy, hầu hết dữ liệu chỉ có thể được khôi phục từ các bản sao lưu đã tạo trước đó – nếu bạn đã từng thực hiện sao lưu nó.
Dưới đây là bảng tổng hợp nhanh tất cả các trường hợp. B đầu với iOS 13, hầu như không có gì có thể được khôi phục bất kể loại sao lưu bạn có (iTunes, iCloud, dữ liệu được đồng bộ hóa hoặc tệp TAR hoặc ZIP được tạo thông qua hình ảnh hệ thống tệp).

Tổng hợp nhanh khả năng cứu dữ liệu iPhone trong các trường hợp

Vậy là tất cả chúng ta đã nắm được cơ bản về “ dữ liệu đã xóa ”. Ở những phiên bản iOS cũ, bất kể thứ gì được tàng trữ trong cơ sở dữ liệu SQLite bạn đều hoàn toàn có thể khôi phục được nếu cơ sở dữ liệu đó chưa bị vacuum. Vấn đề duy nhất là nó không còn ứng dụng được trong thời nay. Một số loại dữ liệu không hề khôi phục được trong iOS 12, trong khi Apple mở màn xóa sạch trong iOS 13. Vì vậy thời nay, hầu hết những công cụ khôi phục dữ liệu iOS dựa vào SQLite đều trở nên vô dụng .Về mặt kỹ thuật, người ta hoàn toàn có thể truy vấn cơ sở dữ liệu SQLite trực tiếp trải qua bẻ khóa hoặc khai thác. Đây sẽ không phải là giải pháp one-button, nếu không có chúng, bạn sẽ không có quyền truy vấn vào hầu hết những bản ghi đã bị xóa. Bạn sẽ cần một công cụ trích xuất chuyên dành cho pháp y như Elcomsoft iOS Forensic Toolkit, UFED, Oxygen nhưng những công cụ này hầu hết đều chỉ dành cho những cơ quan chức năng .

Bản sao lưu Schrödinger

Một yếu tố khi khôi phục những bản ghi đã xóa ( hoàn toàn có thể là tin nhắn, nhật ký cuộc gọi hoặc danh bạ ) là sự dễ đổi khác của cơ sở dữ liệu SQLite trong những phiên bản iOS văn minh. Cách thuận tiện duy nhất để lấy cơ sở dữ liệu SQLite từ thiết bị là tạo bản sao lưu iTunes. Cho đến khi bạn triển khai sao lưu, cơ sở dữ liệu được sử dụng với WAL ( write-ahead logs ) chưa được hợp nhất và một số ít bản ghi đã xóa chưa được hợp nhất vẫn hoàn toàn có thể khôi phục được. Tuy nhiên, ngay thời gian bạn khởi đầu sao lưu, cơ sở dữ liệu SQLite được hợp nhất và những bản ghi đã xóa sẽ bị mất vĩnh viễn .

Có một ngoại lệ duy nhất cho quy tắc này: cơ sở dữ liệu tệp phương tiện người ta có thể lấy thông qua giao thức AFC. Các cơ sở dữ liệu này chứa siêu dữ liệu cho tất cả hình ảnh và tệp video được lập chỉ mục, bao gồm cả những tệp người dùng đã xóa (và sau đó được xóa khỏi album đã xóa gần đây). Tuy nhiên, có rất ít giá trị trong siêu dữ liệu hình ảnh nếu như bạn không phải là một chuyên gia về pháp y kỹ thuật số.
Điều này để lại khả năng khôi phục dữ liệu từ một bản sao lưu cũ (hiện có). Nếu bạn có thói quen sao lưu iTunes thường xuyên… thì không ai làm cả, hãy bỏ qua.

Nếu bạn có bản sao lưu iCloud hiện có chứa dữ liệu bạn đã xóa sau khi sao lưu, bạn hoàn toàn có thể tải xuống bản sao lưu đó. Tuy nhiên, chú ý quan tâm rằng nếu bạn đã bật “ Tin nhắn trong iCloud ”, những tin nhắn sẽ không còn là một phần của bản sao lưu iCloud nữa ; thay vào đó, chúng sẽ được đồng nhất hóa với đám mây. “ Tin nhắn trong iCloud ” được bảo vệ bằng mã hóa đầu cuối ; tại thời gian này, Elcomsoft Phone Breaker vẫn là công cụ duy nhất hoàn toàn có thể truy vấn dữ liệu được mã hóa end-to-end trong iCloud .

Kết luận

Với quá nhiều công bố không rõ ràng, thật khó để tin cậy vào những công cụ khôi phục dữ liệu trên iOS. Việc hiểu những nguyên tắc cơ bản về hoạt động giải trí của chúng cũng như nguồn dữ liệu được sử dụng bởi những công cụ đó là điều quan trọng để xác lập năng lực khôi phục dữ liệu trong những trường hợp. Phần lớn những công cụ khôi phục dữ liệu iOS trọn vẹn dựa trên chính sách sao lưu iOS / iTunes và giao thức đồng điệu hóa phương tiện đi lại riêng không liên quan gì đến nhau. Rất ít công cụ hoàn toàn có thể lấy thông tin được đồng điệu hóa ( ví dụ điển hình như danh bạ, ghi chú và lịch ) từ iCloud và thậm chí ít công cụ hoàn toàn có thể tải xuống những bản sao lưu iCloud. Chúng tôi vẫn chưa thấy một công cụ khôi phục dữ liệu iOS hoàn toàn có thể lấy bản sao lưu iCloud từ thông tin tài khoản được bảo vệ bằng 2FA .

Khôi phục dữ liệu trên iPhone ở đâu?

Trung tâm dịch vụ HTI ( hay Trung tâm Phục hồi dữ liệu Tạ Thanh Data – đây là tên cũ ) là một trong những phòng lab được trang bị tân tiến nhất lúc bấy giờ tại Nước Ta. Tại đây quy tụ rất đầy đủ những trang thiết bị tân tiến bậc nhất đến từ những tên thương hiệu số 1 quốc tế trong nghành kỹ thuật số điện tử : Cellebrite ( những mẫu sản phẩm UFED ), ACE LAB ( những bộ PC3000 ), Rusolut, Magnet, Hancom, …Kính hiển vi

Hệ thống phòng lab của Trung tâm có khả năng xử lý, phục hồi, trích xuất khôi phục dữ liệu từ nhiều thiết bị lưu trữ như ổ cứng HDD, SSD, ổ cứng di động, điện thoại, usb, thẻ nhớ,… bằng hệ thống máy móc hiện đại, có khả năng xử lý sâu vào các dòng điện thoại, đảm bảo toàn vẹn nhất cho dữ liệu cần được khôi phục.

Chúng tôi không chỉ giải quyết và xử lý những case phục sinh dữ liệu thường thì, trong nhiều năm qua, chúng tôi đã giải quyết và xử lý hàng trăm vấn đề cả về dân sự lẫn hỗ trợ lực lượng hành pháp trong nghành nghề dịch vụ pháp y kỹ thuật số điện tử, tìm hiểu tội phạm công nghệ cao và phục sinh dữ liệu điện tử .

Mọi thông tin cần hỗ trợ, vui lòng liên hệ: 092.8765.688

Các bài viết liên quan

Viết một bình luận