有很多工具聲稱能夠恢復丟失或刪除的iPhone信息，這些工具號稱恢復的范圍可以從“恢復因掉到水里、硬件損壞、刪除、設備丟失等而丟失的數據”到更為保守的“選擇性地從內存、iCloud和iTunes中恢復iPhone數據”。這些工具是否真的有效，它們是否達到了用戶的期望?答案是復雜的。

掉到水里的iPhone也可以恢復其中的數據嗎?

在研究各種數據iOS恢復工具時，有公司聲稱其工具可以“恢復因掉到水里、損壞、刪除、設備丟失等而丟失的數據”，例如“設備無法開機”。

這是不可能的，雖然一個專門的數據恢復實驗室可以嘗試暫時恢復落到水里的iPhone，因為他們需要從你的設備上復制你的數據，但沒有終端用戶軟件(當然也沒有免費軟件)可以做到這一點。

有趣的是，這種說法純粹是廣告。數據恢復工具可以嘗試從你的iCloud賬戶下載信息。這可能包括備份和一些同步數據(可能包括你的照片，如果你啟用了iPhone的iCloud照片設置)。由于端到端加密，我們還沒有看到任何消費者級別的工具可以下載你的密碼或消息(SMS和iMessage歷史)。

“下載iCloud備份和照片”聽起來足夠好，但問題是你是否有這些備份。多年的經驗告訴我，用戶擁有的數據越有價值、越獨特，他就越不可能對這些數據進行備份。如果你正在閱讀這篇文章，請檢查你的設備是否有最近的iCloud備份，以及是否啟用了iCloud照片。

由于蘋果只免費提供5GB的iCloud空間，備份和照片很可能都不適合，所以很有可能你只剩下一些非常老的備份和很少的照片。支付額外的iCloud空間是確保你的照片得到備份的一種方法。另一種方法是使用第三方云提供商(如谷歌Photos或Microsoft OneDrive)備份照片。如果你只需要自己的照片，而且你已經啟用了iCloud照片，你完全可以不借助任何第三方工具輕松地將照片下載到電腦上。對于macOS，只需連接你的蘋果賬戶并使用Photos應用程序。在Windows中，在你的Windows電腦上設置并使用iCloud Photos。

硬件損壞的iPhone可以恢復其中的數據嗎?

損壞的iPhone和“落到水里”的iPhone有什么不同?如果設備不能接通電源，這與數據恢復點沒有區別。然而，“損壞”的iPhone可能會有顯示器被破壞，觸摸功能無法工作。如果是這種情況，你可能無法解鎖設備，因為你將無法輸入你的密碼。有趣的是，在某些情況下，數據還可以從這些設備中恢復。

事實上，如果你可以解鎖你的iPhone(例如使用Touch ID/Face ID)，并且手機之前在你的電腦上被“信任”(存在一個鎖定文件/iTunes配對記錄)，這可能會發生。否則，你必須在設備上輸入密碼，才能在電腦和手機之間建立信任關系。假設你的觸摸屏損壞，你就倒霉了，更換顯示器可能是你最好的選擇。

上圖中的工具的作用是，該工具將嘗試進行備份或提取你的照片(即使備份受密碼保護，該協議也可以使用)。這類似于我們在Elcomsoft iOS Forensic Toolkit中執行的高級邏輯獲取過程。一些更高級的數據恢復工具可能會利用現有的配對記錄/鎖定文件，而其他工具則不會。

不過該工具的限制是在斷開iPhone和計算機之間的連接之前，你必須已建立信任關系。如果不存在信任關系，則必須在iPhone上鍵入屏幕鎖定密碼以建立密碼，如果觸摸屏壞了，則可能無法實現。

正確的做法是如果只需要照片，并且以前已將iPhone與計算機配對，則可以按照說明將它們導入到計算機中，而無需第三方工具。了解如何將照片和視頻從手機導入PC。但是，如果你要查看短信/ iMessages，或者需要其他信息，則需要先創建iTunes格式，然后再使用一種工具來分析該備份。 Apple沒有提供用于分析iTunes備份的工具(僅允許你將數據還原到新的iPhone)，因此第三方工具可以為你提供幫助。我們為此提供Elcomsoft Phone Viewer。

恢復已經刪除的數據

“刪除數據恢復”的說法是最含糊的，盡管用戶希望能夠恢復任何類型的已刪除文件，但事實并非如此。在iPhone中，幾乎每個用戶文件都是加密存儲的。文件系統采用基于文件的加密，每個文件都有單獨的唯一加密密鑰。一旦一個文件被刪除，加密密鑰就會暫時被銷毀，即使一個人有低層次訪問數據分區的權限(順便說一句，如果沒有越獄或利用，這是不可能的)，也不可能“恢復”或恢復該文件。

然而，某些類型的數據仍然可以被恢復，這是因為它們不是文件或者沒有被真正刪除。這些類型的數據包括:

照片和視頻。一旦你刪除了iPhone上的圖片，系統實際上不會刪除文件。取而代之的是，圖片被移動到一個特殊的相冊(“最近刪除”文件夾)。照片保存在最近刪除的相冊至少30天。在此期間，用戶可以輕松恢復已刪除的圖片。

消息。你的文本消息和imessage以SQLite格式存儲在數據庫中，默認情況下，SQLite不會在記錄被刪除后立即覆蓋它們。SQLite將它們標記為“已刪除”。被刪除的頁面不再使用，并存儲在所謂的“自由列表”中，如果你獲得了數據庫文件(不過前提是你已經進行了備份)，那么可以恢復這些記錄，直到數據庫被完全清空且碎片被整理過，如果是，那么刪除將成為永久性的。這在ios8到ios11中是常見的情況，從iOS 12開始，蘋果似乎轉向了一種非標準的執行方式，在刪除記錄后幾乎會立即對其進行物理清除。因此，被刪除的短信和imessage無法在iOS 12、13及更新版本中恢復。

書簽。刪除的Safari書簽以SQLite格式存儲在HomeDomain/Library/Safari/Bookmarks.db數據庫中。刪除的書簽可以從SQLite數據庫恢復到ios12。從ios13開始，刪除的書簽將無法被恢復。

歷史記錄，Safari瀏覽歷史記錄存儲在AppDomain-com.apple.mobilesafari/Library/Safari/ history .db SQLite數據庫中。從iOS 12開始，刪除的Safari歷史將無法恢復。

標簽。從ios10開始，Safari打開的標簽存儲在AppDomain-com.apple.mobilesafari/Library/Safari/BrowserState.db SQLite數據庫中。在iOS 10和iOS 11中，打開的標簽會被無限期存儲直到關閉，包括在隱私瀏覽會話中打開的標簽。然而，即使在標簽被關閉之后，它們仍然可以被恢復。從iOS 12開始，這種情況就不復存在了。iOS 13增加了一個額外的保護機制，允許用戶指定一個標簽可以保持打開的最長時間，然后自動關閉標簽，并在此之后擦去相應的記錄。在iOS 12和13中，關閉Safari標簽的信息將無法恢復。

閱讀列表以com.apple.ReadingList作為父級存儲書簽。自iOS 13起，無法從閱讀列表中刪除項目。

聯系人、日歷、筆記和呼叫歷史記錄，所有這些都存儲在相應的SQLite數據庫中。刪除的記錄可以通過拉取和掃描數據庫文件來恢復，除非數據庫已經被清空和整理。

文件應用程序中的文件。你在設備上存儲在文件應用程序中的文件會在你刪除后移動到最近刪除的文件夾中，你可以找到和恢復這些文件打開位置>最近刪除的文件夾。

iCloud驅動器中的文件，就像照片和視頻一樣，你存儲在iCloud驅動器中的文件不會立即被刪除。蘋果公司的說法如下：

“當你從iCloud驅動器上刪除一個文件時，它會進入最近刪除的文件夾。如果你改變主意或者不小心刪除了一個文件，你有30天的時間把它找回來。轉到位置>最近刪除。選擇要保存的文件并單擊‘恢復’。30天后，你的文件將從最近刪除。”

正如你所看到的，大多數數據只能從以前做的備份中“恢復”，不過前提是你曾經做過那些備份。

下面是一個匯總表的快速表格，如你所見，從iOS 13開始，無論你使用哪種備份類型(iTunes，iCloud，同步數據或通過文件系統映像生成的TAR或ZIP文件)，幾乎無法恢復任何內容。

在較舊的iOS版本中(這是大多數“iOS數據恢復”工具發揮作用的地方)，鑒于未對數據庫進行清理和壓縮，存儲在SQLite數據庫中的任何內容都可以恢復。唯一的問題：它今天不再起作用。某些類型的數據在iOS 12中變得不可恢復，而蘋果公司開始在iOS 13中擦除其余數據。如今，大多數依賴SQLite空閑列表的iOS數據恢復工具都是無用的。

從技術上講，可以通過越獄或利用直接訪問SQLite數據庫。這不是一個單鍵解決方案，遠遠不是，而且無論如何你都不能訪問大多數被刪除的記錄。你需要一個低級的取證級提取工具(例如Elcomsoft iOS取證工具包)和一個像SQLite取證工具包這樣的工具來分析預寫日志(WAL)。可以使用諸如UFED或Oxygen之類的取證級軟件，這兩種軟件都不是針對普通用戶的。

特殊情況下的數據備份

在現代版本的iOS中，恢復已刪除記錄(無論是消息、調用日志還是聯系人)的一個問題是SQLite數據庫的不穩定性。從設備中獲取SQLite數據庫的唯一簡單方法是進行iTunes備份。在進行備份之前，數據庫與未合并的WAL(預寫日志)一起使用，一些未合并的已刪除記錄仍然可以恢復。但是，在初始化備份的那一刻，SQLite數據庫就會被合并，被刪除的記錄就會永遠丟失。

此規則有一個例外：媒體文件數據庫可以通過AFC協議獲得。這些數據庫包含所有索引圖像和視頻文件的元數據，包括用戶刪除的(以及隨后從最近刪除的相冊中清除的)。但是，除了取證人員外，圖像元數據幾乎沒有價值。

這為從舊的(現有)備份中還原數據提供了恢復的可能性，不過前提是如果你有定期進行iTunes備份的習慣。

如果你現有的iCloud備份包含進行備份后已刪除的數據，則可以下載該備份，即使你的帳戶受兩因素身份驗證保護，我們也只知道一個可以使用的工具——Elcomsoft Phone Breaker。但是請注意，如果啟用了“iCloud中的消息”，則這些消息將不再屬于iCloud備份;相反，它們將與云同步。“iCloud中的信息”采用端到端加密保護，目前，Elcomsoft Phone Breaker仍然是唯一能夠訪問iCloud端到端的加密數據的工具。

簡要說明一下：iOS恢復工具已經變得非常流行，以至于許多恢復工具都打著恢復數據的幌子來做營銷。

總結

綜上所述，許多iOS數據恢復工具都只是把數據恢復作為營銷噱頭。理解這些工具運行的基本原理以及這些工具使用的數據來源對于調整你的預期非常重要。絕大多數數據iOS恢復工具都是完全基于iOS/iTunes備份機制和獨立的媒體同步協議。很少有工具可以從iCloud獲取同步信息(如聯系人、筆記和日歷)，當然，能夠下載iCloud備份的工具就更少了。我們還沒有看到一個iOS數據恢復工具可以在受雙因素保護的賬戶中提取iCloud備份。