不是什么数据都能恢复的：留神那些号称可以恢复iPhone数据的工具！

有很多工具声称能够恢复丢失或删除的iPhone信息，这些工具号称恢复的范围可以从“恢复因掉到水里、硬件损坏、删除、设备丢失等而丢失的数据”到更为保守的“选择性地从内存、iCloud和iTunes中恢复iPhone数据”。这些工具是否真的有效，它们是否达到了用户的期望?答案是复杂的。

掉到水里的iPhone也可以恢复其中的数据吗？

在研究各种数据iOS恢复工具时，有公司声称其工具可以“恢复因掉到水里、损坏、删除、设备丢失等而丢失的数据”，例如“设备无法开机”。

这是不可能的，虽然一个专门的数据恢复实验室可以尝试暂时恢复落到水里的iPhone，因为他们需要从你的设备上复制你的数据，但没有终端用户软件(当然也没有免费软件)可以做到这一点。

有趣的是，这种说法纯粹是广告。数据恢复工具可以尝试从你的iCloud账户下载信息。这可能包括备份和一些同步数据(可能包括你的照片，如果你启用了iPhone的iCloud照片设置)。由于端到端加密，我们还没有看到任何消费者级别的工具可以下载你的密码或消息(SMS和iMessage历史)。

“下载iCloud备份和照片”听起来足够好，但问题是你是否有这些备份。多年的经验告诉我，用户拥有的数据越有价值、越独特，他就越不可能对这些数据进行备份。如果你正在阅读这篇文章，请检查你的设备是否有最近的iCloud备份，以及是否启用了iCloud照片。

由于苹果只免费提供5GB的iCloud空间，备份和照片很可能都不适合，所以很有可能你只剩下一些非常老的备份和很少的照片。支付额外的iCloud空间是确保你的照片得到备份的一种方法。另一种方法是使用第三方云提供商(如谷歌Photos或Microsoft OneDrive)备份照片。如果你只需要自己的照片，而且你已经启用了iCloud照片，你完全可以不借助任何第三方工具轻松地将照片下载到电脑上。对于macOS，只需连接你的苹果账户并使用Photos应用程序。在Windows中，在你的Windows电脑上设置并使用iCloud Photos。

硬件损坏的iPhone可以恢复其中的数据吗？

损坏的iPhone和“落到水里”的iPhone有什么不同?如果设备不能接通电源，这与数据恢复点没有区别。然而，“损坏”的iPhone可能会有显示器被破坏，触摸功能无法工作。如果是这种情况，你可能无法解锁设备，因为你将无法输入你的密码。有趣的是，在某些情况下，数据还可以从这些设备中恢复。

事实上，如果你可以解锁你的iPhone(例如使用Touch ID/Face ID)，并且手机之前在你的电脑上被“信任”(存在一个锁定文件/iTunes配对记录)，这可能会发生。否则，你必须在设备上输入密码，才能在电脑和手机之间建立信任关系。假设你的触摸屏损坏，你就倒霉了，更换显示器可能是你最好的选择。

上图中的工具的作用是，该工具将尝试进行备份或提取你的照片(即使备份受密码保护，该协议也可以使用）。这类似于我们在Elcomsoft iOS Forensic Toolkit中执行的高级逻辑获取过程。一些更高级的数据恢复工具可能会利用现有的配对记录/锁定文件，而其他工具则不会。

不过该工具的限制是在断开iPhone和计算机之间的连接之前，你必须已建立信任关系。如果不存在信任关系，则必须在iPhone上键入屏幕锁定密码以建立密码，如果触摸屏坏了，则可能无法实现。

正确的做法是如果只需要照片，并且以前已将iPhone与计算机配对，则可以按照说明将它们导入到计算机中，而无需第三方工具。了解如何将照片和视频从手机导入PC。但是，如果你要查看短信/ iMessages，或者需要其他信息，则需要先创建iTunes格式，然后再使用一种工具来分析该备份。 Apple没有提供用于分析iTunes备份的工具（仅允许你将数据还原到新的iPhone），因此第三方工具可以为你提供帮助。我们为此提供Elcomsoft Phone Viewer。

恢复已经删除的数据

“删除数据恢复”的说法是最含糊的，尽管用户希望能够恢复任何类型的已删除文件，但事实并非如此。在iPhone中，几乎每个用户文件都是加密存储的。文件系统采用基于文件的加密，每个文件都有单独的唯一加密密钥。一旦一个文件被删除，加密密钥就会暂时被销毁，即使一个人有低层次访问数据分区的权限(顺便说一句，如果没有越狱或利用，这是不可能的)，也不可能“恢复”或恢复该文件。

然而，某些类型的数据仍然可以被恢复，这是因为它们不是文件或者没有被真正删除。这些类型的数据包括:

照片和视频。一旦你删除了iPhone上的图片，系统实际上不会删除文件。取而代之的是，图片被移动到一个特殊的相册(“最近删除”文件夹)。照片保存在最近删除的相册至少30天。在此期间，用户可以轻松恢复已删除的图片。

消息。你的文本消息和imessage以SQLite格式存储在数据库中，默认情况下，SQLite不会在记录被删除后立即覆盖它们。SQLite将它们标记为“已删除”。被删除的页面不再使用，并存储在所谓的“自由列表”中，如果你获得了数据库文件(不过前提是你已经进行了备份)，那么可以恢复这些记录，直到数据库被完全清空且碎片被整理过，如果是，那么删除将成为永久性的。这在ios8到ios11中是常见的情况，从iOS 12开始，苹果似乎转向了一种非标准的执行方式，在删除记录后几乎会立即对其进行物理清除。因此，被删除的短信和imessage无法在iOS 12、13及更新版本中恢复。

书签。删除的Safari书签以SQLite格式存储在HomeDomain/Library/Safari/Bookmarks.db数据库中。删除的书签可以从SQLite数据库恢复到ios12。从ios13开始，删除的书签将无法被恢复。

历史记录，Safari浏览历史记录存储在AppDomain-com.apple.mobilesafari/Library/Safari/ history .db SQLite数据库中。从iOS 12开始，删除的Safari历史将无法恢复。

标签。从ios10开始，Safari打开的标签存储在AppDomain-com.apple.mobilesafari/Library/Safari/BrowserState.db SQLite数据库中。在iOS 10和iOS 11中，打开的标签会被无限期存储直到关闭，包括在隐私浏览会话中打开的标签。然而，即使在标签被关闭之后，它们仍然可以被恢复。从iOS 12开始，这种情况就不复存在了。iOS 13增加了一个额外的保护机制，允许用户指定一个标签可以保持打开的最长时间，然后自动关闭标签，并在此之后擦去相应的记录。在iOS 12和13中，关闭Safari标签的信息将无法恢复。

阅读列表以com.apple.ReadingList作为父级存储书签。自iOS 13起，无法从阅读列表中删除项目。

联系人、日历、笔记和呼叫历史记录，所有这些都存储在相应的SQLite数据库中。删除的记录可以通过拉取和扫描数据库文件来恢复，除非数据库已经被清空和整理。

文件应用程序中的文件。你在设备上存储在文件应用程序中的文件会在你删除后移动到最近删除的文件夹中，你可以找到和恢复这些文件打开位置>最近删除的文件夹。

iCloud驱动器中的文件，就像照片和视频一样，你存储在iCloud驱动器中的文件不会立即被删除。苹果公司的说法如下：

“当你从iCloud驱动器上删除一个文件时，它会进入最近删除的文件夹。如果你改变主意或者不小心删除了一个文件，你有30天的时间把它找回来。转到位置>最近删除。选择要保存的文件并单击‘恢复’。30天后，你的文件将从最近删除。”

正如你所看到的，大多数数据只能从以前做的备份中“恢复”，不过前提是你曾经做过那些备份。

下面是一个汇总表的快速表格，如你所见，从iOS 13开始，无论你使用哪种备份类型（iTunes，iCloud，同步数据或通过文件系统映像生成的TAR或ZIP文件），几乎无法恢复任何内容。

在较旧的iOS版本中（这是大多数“iOS数据恢复”工具发挥作用的地方），鉴于未对数据库进行清理和压缩，存储在SQLite数据库中的任何内容都可以恢复。唯一的问题：它今天不再起作用。某些类型的数据在iOS 12中变得不可恢复，而苹果公司开始在iOS 13中擦除其余数据。如今，大多数依赖SQLite空闲列表的iOS数据恢复工具都是无用的。

从技术上讲，可以通过越狱或利用直接访问SQLite数据库。这不是一个单键解决方案，远远不是，而且无论如何你都不能访问大多数被删除的记录。你需要一个低级的取证级提取工具(例如Elcomsoft iOS取证工具包)和一个像SQLite取证工具包这样的工具来分析预写日志(WAL)。可以使用诸如UFED或Oxygen之类的取证级软件，这两种软件都不是针对普通用户的。

特殊情况下的数据备份

在现代版本的iOS中，恢复已删除记录(无论是消息、调用日志还是联系人)的一个问题是SQLite数据库的不稳定性。从设备中获取SQLite数据库的唯一简单方法是进行iTunes备份。在进行备份之前，数据库与未合并的WAL(预写日志)一起使用，一些未合并的已删除记录仍然可以恢复。但是，在初始化备份的那一刻，SQLite数据库就会被合并，被删除的记录就会永远丢失。

此规则有一个例外：媒体文件数据库可以通过AFC协议获得。这些数据库包含所有索引图像和视频文件的元数据，包括用户删除的(以及随后从最近删除的相册中清除的)。但是，除了取证人员外，图像元数据几乎没有价值。

这为从旧的（现有）备份中还原数据提供了恢复的可能性，不过前提是如果你有定期进行iTunes备份的习惯。

如果你现有的iCloud备份包含进行备份后已删除的数据，则可以下载该备份，即使你的帐户受两因素身份验证保护，我们也只知道一个可以使用的工具——Elcomsoft Phone Breaker。但是请注意，如果启用了“iCloud中的消息”，则这些消息将不再属于iCloud备份；相反，它们将与云同步。“iCloud中的信息”采用端到端加密保护，目前，Elcomsoft Phone Breaker仍然是唯一能够访问iCloud端到端的加密数据的工具。

简要说明一下：iOS恢复工具已经变得非常流行，以至于许多恢复工具都打着恢复数据的幌子来做营销。

总结

综上所述，许多iOS数据恢复工具都只是把数据恢复作为营销噱头。理解这些工具运行的基本原理以及这些工具使用的数据来源对于调整你的预期非常重要。绝大多数数据iOS恢复工具都是完全基于iOS/iTunes备份机制和独立的媒体同步协议。很少有工具可以从iCloud获取同步信息(如联系人、笔记和日历)，当然，能够下载iCloud备份的工具就更少了。我们还没有看到一个iOS数据恢复工具可以在受双因素保护的账户中提取iCloud备份。