Khôi phục dữ liệu trên iPhone: Những điều CÓ THỂ và KHÔNG THỂ
Nếu tìm kiếm một hồi trên mạng, bạn sẽ thấy không thiếu những phần mềm khẳng định về khả năng khôi phục dữ liệu bị mất hoặc bị xóa khỏi iPhone. Những công cụ này được tuyên bố rằng, chúng có khả năng phục hồi dữ liệu do bị dính nước, bị hỏng, bị xóa đến cả việc khôi phục dữ liệu iPhone có chọn lọc từ bộ nhớ trong, iCloud và iTunes. Liệu những lời quảng cáo này có đáng tin? Có thể và không thể khôi phục những dữ liệu gì trên iPhone? Hãy tham khảo bài viết dưới đây.
1. Iphone bị hỏng do nước
Dữ liệu trên iPhone bị mất do máy dính nước, bật nguồn không lên.
Kỳ vọng của người dùng: Tuyên bố táo bạo này khiến người dùng nghĩ rằng, bằng một cách/công cụ nào đó, có thể lấy lại dữ liệu iPhone bị ngâm nước trong tình trạng không thể bật nguồn.
Trên thực tế: Điều này sẽ KHÔNG xảy ra. Mặc dù phòng thí nghiệm khôi phục dữ liệu chuyên dụng có thể khôi phục tạm thời iPhone bị hỏng do nước trong thời gian họ cần sao chép dữ liệu ra khỏi thiết bị, nhưng chắc chắn không có phần mềm nào dành cho người dùng cuối (end-user) có thể làm được điều này (mà còn là phần mềm miễn phí).
Những công cụ này làm được gì: Đây có lẽ chỉ là một hình thức marketing. Công cụ khôi phục dữ liệu được quảng cáo này có thể tải các thông tin từ tài khoản iCloud của bạn. Nó có thể bao gồm các bản sao lưu và một số dữ liệu được đồng bộ hóa. Hiện nay chưa có bất kỳ công cụ dành cho end-user nào có thể tải xuống mật khẩu hoặc tin nhắn SMS vì chúng đã bị mã hóa đầu cuối.
Những hạn chế: “Tải xuống bản sao lưu và ảnh” – có vẻ là đủ tốt, vấn đề là bạn có các bản sao lưu đó hay không? Các chuyên gia pháp y kỹ thuật số cho biết: người dùng càng có nhiều dữ liệu có giá trị thì khả năng họ có bản sao lưu cho dữ liệu đó càng thấp.
Apple chỉ cung cấp 5GB dung lượng iCloud miễn phí nên hầu hết các bản sao lưu và ảnh đều không như mong muốn của bạn, chúng có thể quá cũ hoặc không đúng thứ bạn muốn. Trả tiền để có thêm dung lượng trong iCloud hoặc sử dụng các dịch vụ lưu trữ đám mây của các bên thứ 3 như Google Photos, Microsoft OneDrive là cách để đảm bảo các ảnh của bạn được sao lưu.
Cách thức phù hợp: Nếu tất cả những gì bạn cần là ảnh của mình và bạn đã bật iCloud Photos, bạn có thể tải chúng dễ dàng xuống máy tính của mình mà không cần bất kỳ công cụ của bên thứ ba nào. Đối với macOS, chỉ cần kết nối tài khoản Apple của bạn và sử dụng ứng dụng Photos (Ảnh). Trong Windows, thiết lập và sử dụng iCloud Photos trên Windows PC.
2. Iphone bị bể, vỡ, hỏng
IPhone “hỏng” có thể bị vỡ màn hình và chức năng cảm ứng không hoạt động. Nếu trường hợp này xảy ra, bạn có thể không mở khóa được thiết bị vì bạn sẽ không thể nhập mật mã của mình. Tuy nhiên nếu may mắn, trong một số trường hợp vẫn có thể khôi phục dữ liệu từ các thiết bị này.
Kỳ vọng của người dùng: Tôi sẽ cắm điện thoại vào máy tính và công cụ kết nối thông qua bất kỳ giao thức ma thuật nào đó và lấy lại được dữ liệu.
Trên thực tế: Điều này có thể xảy ra nếu bạn có thể mở khóa iPhone của mình (ví dụ: bằng Touch ID / Face ID) và điện thoại trước đó đã được “trusted” (có độ tin cậy) trên máy tính của bạn (tồn tại tệp khóa / bản ghi ghép nối iTunes). Nếu không, bạn sẽ phải nhập mật mã trên thiết bị để thiết lập mối quan hệ tin cậy giữa máy tính và điện thoại. Còn nế màn hình cảm ứng của bạn bị hỏng, việc thay thế màn hình có lẽ là cách tốt nhất.
Chức năng của công cụ: Các công cụ sẽ cố gắng tạo bản sao lưu và/hoặc lấy lại ảnh của bạn (đây là một giao thức khác hoạt động ngay cả khi các bản sao lưu của bạn được bảo vệ bằng mật khẩu). Một số công cụ khôi phục dữ liệu nâng cao hơn có thể tận dụng các bản ghi / tệp khóa ghép nối hiện có, trong khi những công cụ khác thì không.
Hạn chế: Bạn phải thiết lập mối quan hệ “tin cậy” giữa iPhone và máy tính của mình trước khi nó bị hỏng. Nếu không có sự kết nối được xác minh nào tồn tại, bạn sẽ phải nhập mật mã khóa màn hình trên iPhone của mình để thiết lập mật mã, điều này có thể không thực hiện được nếu màn hình cảm ứng bị hỏng.
Cách thức phù hợp: Nếu tất cả những gì bạn cần là ảnh và nếu trước đó bạn đã ghép nối iPhone với máy tính, bạn có thể nhập chúng vào máy tính của mình mà không cần công cụ của bên thứ ba. Tuy nhiên, nếu bạn muốn xem lại tin nhắn văn bản / iMessages của mình hoặc nếu bạn cần một số thông tin khác, trước tiên bạn sẽ cần tạo một định dạng iTunes và một công cụ để phân tích bản sao lưu đó. Apple không tạo ra các công cụ để phân tích các bản sao lưu iTunes (chỉ cho phép bạn khôi phục dữ liệu trên iPhone mới), vì vậy một công cụ của bên thứ ba sẽ giúp bạn làm điều này: Elcomsoft Phone Viewer
3. Dữ liệu đã xóa
Yêu cầu “khôi phục dữ liệu đã xóa” là mơ hồ nhất. Người dùng trông đợi vào khả năng phục hồi các tệp đã xóa dưới bất kỳ hình thức nào, nhưng điều này là không thể. Trong iPhone, hầu hết mọi tệp người dùng lưu trữ đều được mã hóa. Hệ thống tệp sử dụng mã hóa dựa trên tệp với các khóa mã hóa riêng biệt, duy nhất cho mọi tệp. Sau khi tệp bị xóa, khóa mã hóa sẽ bị phá hủy ngay lập tức, khiến không thể “phục hồi” hoặc khôi phục tệp đó ngay cả khi một người có quyền truy cập cấp thấp vào phân vùng dữ liệu.
Tuy nhiên, vẫn có thể khôi phục một số loại dữ liệu nhất định – đơn giản vì chúng không phải là tệp hoặc không thực sự bị xóa. Các loại dữ liệu này bao gồm:
– Ảnh và video: Sau khi bạn xóa ảnh trên iPhone, hệ thống sẽ không thực sự xóa tệp. Thay vào đó, hình ảnh được chuyển vào một thư mục đặc biệt (thư mục “Đã xóa gần đây – Recently Deleted”). Ảnh được lưu trong thư mục “Đã xóa gần đây” trong ít nhất 30 ngày. Trong khoảng thời gian đó, người dùng có thể dễ dàng khôi phục ảnh đã xóa của mình.
– Tin nhắn: Tin nhắn văn bản và iMessages của bạn được lưu trữ trong cơ sở dữ liệu ở định dạng SQLite. Theo mặc định, SQLite không ghi đè các bản ghi ngay sau khi chúng bị xóa. Thay vào đó, SQLite đánh dấu chúng là “đã xóa”. Các trang đã xóa sẽ không được sử dụng và được lưu trữ trên “freelist”. Nếu bạn có được các tệp cơ sở dữ liệu (bằng cách tạo bản sao lưu), các bản ghi này có thể được phục hồi cho đến thời điểm cơ sở dữ liệu được “hút” sạch hoàn toàn và không phân mảnh (nếu có, việc xóa sẽ trở thành vĩnh viễn). Điều này có thể thực hiện được trong iOS 8 đến iOS 11. Bắt đầu từ iOS 12, Apple đã chuyển sang “non-standard”, xóa sạch các bản ghi gần như ngay lập tức sau khi chúng bị xóa. Do đó, không thể khôi phục tin nhắn văn bản và iMessages đã xóa trong iOS 12, 13 và các hệ điều hành mới hơn.
– Bookmarks: Bookmarks Safari đã xóa được lưu trữ trong cơ sở dữ liệu HomeDomain/Library/ Safari/Bookmarks.db ở định dạng SQLite. Các bookmarks đã xóa có thể được khôi phục từ cơ sở dữ liệu SQLite cho đến iOS 12. Bắt đầu từ iOS 13, các dấu trang đã xóa không thể khôi phục được nữa.
– Lịch sử: Lịch sử duyệt Safari được lưu trữ trong cơ sở dữ liệu SQLite AppDomain-com.apple.mobilesafari/Library/Safari/History.db. Bắt đầu từ iOS 12, lịch sử Safari đã xóa không thể khôi phục được nữa.
– Các tab: Bắt đầu với iOS 10, các tab đang mở trên Safari được lưu trữ trong cơ sở dữ liệu SQLite AppDomain-com.apple.mobilesafari/Library/Safari/BrowserState.db. Trong iOS 10 và 11, các tab đang mở sẽ được lưu trữ vô thời hạn cho đến khi đóng, bao gồm các tab được mở trong phiên duyệt web. Tuy nhiên, ngay cả sau khi các tab đã bị đóng, chúng vẫn có thể được khôi phục. Bắt đầu với iOS 12, điều này không còn đúng nữa. iOS 13 mang đến một cơ chế bảo vệ bổ sung, cho phép người dùng chỉ định khoảng thời gian tối đa mà một tab vẫn có thể mở, tự động đóng tab và xóa bản ghi tương ứng sau khoảng thời gian đó. Trong iOS 12 và 13, thông tin về các tab Safari đã đóng sẽ không thể khôi phục được nữa.
– Danh sách đọc (Reading List) lưu trữ trên Bookmarks với com.apple.ReadingList dưới dạng phụ huynh. Không thể khôi phục các mục đã xóa khỏi Danh sách đọc kể từ iOS 13.
– Danh bạ, lịch, ghi chú và lịch sử cuộc gọi: Tất cả những thứ này cũng được lưu trữ trong cơ sở dữ liệu SQLite tương ứng. Các bản ghi đã xóa có thể được khôi phục bằng cách kéo và quét các tệp cơ sở dữ liệu trừ khi cơ sở dữ liệu đã bị Vacuum (lấy lại khoảng không gian trống hoặc bị phân mảnh)
– Files trong các Files App: Các tệp bạn lưu trữ trên thiết bị của mình trong ứng dụng tệp sẽ được chuyển đến thư mục Recently Deleted sau khi bạn xóa chúng. Bạn có thể tìm và khôi phục các tệp đó bằng cách mở thư mục Locations > Recently Deleted.
– Files trong iCloud Drive: Cũng giống như ảnh và video, các tệp bạn lưu trữ trong iCloud Drive không bị xóa ngay lập tức. Theo Apple, khi bạn xóa một tệp khỏi iCloud Drive, tệp đó sẽ đi vào thư mục “Recently Deleted”. Nếu bạn thay đổi quyết định hoặc vô tình xóa một tệp, bạn có 30 ngày để lấy lại. Đi tới Locations > Recently Deleted, chọn tệp bạn muốn giữ và nhấn Recover. Sau 30 ngày, các tệp của bạn sẽ bị xóa khỏi Recently Deleted.
Như bạn có thể thấy, hầu hết dữ liệu chỉ có thể được khôi phục từ các bản sao lưu đã tạo trước đó – nếu bạn đã từng thực hiện sao lưu nó. Dưới đây là bảng tổng hợp nhanh tất cả các trường hợp. B đầu với iOS 13, hầu như không có gì có thể được khôi phục bất kể loại sao lưu bạn có (iTunes, iCloud, dữ liệu được đồng bộ hóa hoặc tệp TAR hoặc ZIP được tạo thông qua hình ảnh hệ thống tệp).
Vậy là chúng ta đã nắm được cơ bản về “dữ liệu đã xóa”. Ở các phiên bản iOS cũ, bất kỳ thứ gì được lưu trữ trong cơ sở dữ liệu SQLite bạn đều có thể khôi phục được nếu cơ sở dữ liệu đó chưa bị vacuum. Vấn đề duy nhất là nó không còn ứng dụng được trong ngày nay. Một số loại dữ liệu không thể khôi phục được trong iOS 12, trong khi Apple bắt đầu xóa sạch trong iOS 13. Vì vậy ngày nay, hầu hết các công cụ khôi phục dữ liệu iOS dựa vào SQLite đều trở nên vô dụng.
Về mặt kỹ thuật, người ta có thể truy cập cơ sở dữ liệu SQLite trực tiếp thông qua bẻ khóa hoặc khai thác . Đây sẽ không phải là giải pháp one-button, nếu không có chúng, bạn sẽ không có quyền truy cập vào hầu hết các bản ghi đã bị xóa. Bạn sẽ cần một công cụ trích xuất chuyên dành cho pháp y như Elcomsoft iOS Forensic Toolkit, UFED, Oxygen nhưng những công cụ này hầu hết đều chỉ dành cho các cơ quan chức năng.
Bản sao lưu Schrödinger
Một vấn đề khi khôi phục các bản ghi đã xóa (có thể là tin nhắn, nhật ký cuộc gọi hoặc danh bạ) là sự dễ thay đổi của cơ sở dữ liệu SQLite trong các phiên bản iOS hiện đại. Cách dễ dàng duy nhất để lấy cơ sở dữ liệu SQLite từ thiết bị là tạo bản sao lưu iTunes. Cho đến khi bạn thực hiện sao lưu, cơ sở dữ liệu được sử dụng với WAL (write-ahead logs) chưa được hợp nhất và một số bản ghi đã xóa chưa được hợp nhất vẫn có thể khôi phục được. Tuy nhiên, ngay thời điểm bạn bắt đầu sao lưu, cơ sở dữ liệu SQLite được hợp nhất và các bản ghi đã xóa sẽ bị mất vĩnh viễn.
Có một ngoại lệ duy nhất cho quy tắc này: cơ sở dữ liệu tệp phương tiện người ta có thể lấy thông qua giao thức AFC. Các cơ sở dữ liệu này chứa siêu dữ liệu cho tất cả hình ảnh và tệp video được lập chỉ mục, bao gồm cả những tệp người dùng đã xóa (và sau đó được xóa khỏi album đã xóa gần đây). Tuy nhiên, có rất ít giá trị trong siêu dữ liệu hình ảnh nếu như bạn không phải là một chuyên gia về pháp y kỹ thuật số. Điều này để lại khả năng khôi phục dữ liệu từ một bản sao lưu cũ (hiện có). Nếu bạn có thói quen sao lưu iTunes thường xuyên… thì không ai làm cả, hãy bỏ qua.
Nếu bạn có bản sao lưu iCloud hiện có chứa dữ liệu bạn đã xóa sau khi sao lưu, bạn có thể tải xuống bản sao lưu đó. Tuy nhiên, lưu ý rằng nếu bạn đã bật “Tin nhắn trong iCloud”, các tin nhắn sẽ không còn là một phần của bản sao lưu iCloud nữa; thay vào đó, chúng sẽ được đồng bộ hóa với đám mây. “Tin nhắn trong iCloud” được bảo vệ bằng mã hóa đầu cuối; tại thời điểm này, Elcomsoft Phone Breaker vẫn là công cụ duy nhất có thể truy cập dữ liệu được mã hóa end-to-end trong iCloud.
Kết luận
Với quá nhiều quảng cáo không rõ ràng, thật khó để tin tưởng vào các công cụ khôi phục dữ liệu trên iOS. Việc hiểu các nguyên tắc cơ bản về hoạt động của chúng cũng như nguồn dữ liệu được sử dụng bởi các công cụ đó là điều quan trọng để xác định khả năng khôi phục dữ liệu trong các trường hợp. Phần lớn các công cụ khôi phục dữ liệu iOS hoàn toàn dựa trên cơ chế sao lưu iOS / iTunes và giao thức đồng bộ hóa phương tiện riêng biệt. Rất ít công cụ có thể lấy thông tin được đồng bộ hóa (chẳng hạn như danh bạ, ghi chú và lịch) từ iCloud và thậm chí ít công cụ có thể tải xuống các bản sao lưu iCloud. Chúng tôi vẫn chưa thấy một công cụ khôi phục dữ liệu iOS có thể lấy bản sao lưu iCloud từ tài khoản được bảo vệ bằng 2FA.
Khôi phục dữ liệu trên iPhone ở đâu?
Hệ thống phòng lab của HTI Services là một trong những phòng lab được trang bị hiện đại nhất hiện nay tại Việt Nam. Tại đây quy tụ đầy đủ các trang thiết bị hiện đại bậc nhất đến từ những thương hiệu hàng đầu thế giới trong lĩnh vực kỹ thuật số điện tử: Cellebrite (các sản phẩm UFED), ACE LAB (các bộ PC3000), Rusolut, Magnet, Hancom,…
HTI Services cung cấp các dịch vụ phục hồi, trích xuất khôi phục dữ liệu từ nhiều thiết bị lưu trữ như ổ cứng HDD, SSD, ổ cứng di động, điện thoại, USB, thẻ nhớ,… bằng hệ thống máy móc hiện đại. Đội ngũ kỹ thuật viên dày dặn kinh nghiệm của HTI Services có khả năng xử lý sâu vào các dòng điện thoại, đảm bảo toàn vẹn nhất cho dữ liệu cần được khôi phục. Chúng tôi không chỉ tiếp nhận các case phục hồi dữ liệu thông thường, trong nhiều năm qua, các chuyên gia của HTI Services đã xử lý hàng trăm vụ việc cả về dân sự lẫn hỗ trợ lực lượng hành pháp trong lĩnh vực pháp y kỹ thuật số điện tử, điều tra tội phạm công nghệ cao và phục hồi dữ liệu điện tử.