SurgeoN
Yeni Üye
iOS işletim sisteminde, lokal olarak ya da bulutta bir yedeğiniz olmadığı sürece, rastgele bir bilgiyi kurtarma olasılığınız epey düşüktür. Fakat buna karşın rastgele bir yedeğiniz olmasa bile, datalarınızı kurtarmanıza imkan tanıyan birtakım sistemler de mevcut. iPhone kullanıcıları, muhakkak şartlar sağlandığı takdirde aşağıda bahsedeceğimiz bilgi cinslerini kurtarma bahtına sahipler.
1. SQLite Data Tabanlarından Silinen Kayıtlar
Apple, bir hayli cinste kullanıcı verisini çeşitli data tabanlarında SQLite formatında saklıyor. Bir kullanıcı; bildiriler uygulamasından bir iMessage, bir Safari yer işareti ya da bir geçmiş öğesi üzere rastgele bir kaydı sildiğinde, performans değerlendirmeleri niçiniyle bu kayıt SQLite bilgi tabanında çabucak silinmez. Bunun yerine, SQLite motoru kaydı “silindi” olarak işaretler, sayfayı kullanılmamış olarak işaretler ve “serbest listeye” bir referans ekler. Bu tıp silinen kayıtlar, bir süre için SQLite “serbest listelerinde” saklanabilir ve bu durum da bilgi kurtarma araçlarının dataları kurtarmayı deneyebilmelerine imkan sağlar.
SQLite bilgi tabanından rastgele bir bilgiyi kurtarma usulü sırf şu durumlarda işe fayda:
2. WAL Evraklarının İçerisindeki Bilgiler
Üstte da sizlere bahsettiğimuz üzere, iOS’un en son sürümleri bile SQLite bilgi tabanlarını süratli bir biçimde temizleyerek silinen kayıtların (mesajlar, arama kayıtları yahut kişiler) kurtarılmasının önüne geçiyor. Lakin buna karşın SQLite bilgi tabanlarının datalarınızı kurtarmanıza imkan sağlayacak öbür bir özelliği daha mevcut. SQLite, yeni kayıtları WAL evrakları içerisinde meblağ. Bu tıp birleştirilmemiş kayıtlar silinirse, ana data tabanı ile birleştirildikleri ana kadar ilgili WAL evraklarında tutulurlar. Bu da silinmiş ve birleştirilmemiş olan kimi kayıtların kurtarılabilecekleri manasına gelmekte.
WAL evrakları içerisinde tutulan rastgele bir datayı kurtarma formülü sadece şu durumlarda işe fayda:
Lokal bir yedeğe sahipseniz, buradaki asıl sorun, tüm yedeklemeyi kimi iOS aygıtlarına geri yüklemeden datalara nasıl erişileceğidir. Elcomsoft Phone Viewer da dahil olmak üzere piyasada mahallî yedeklerin içeriğini ayrıştırmaya, tek tek belgeleri ve bilgi tabanı kayıtlarını (mesela bildiriler yahut günlük girişleri) görüntülemeye ya da çıkarmaya imkan tanıyan epey sayıda araç vardır.
tıpkı vakitte şayet iTunes yedeklemeniz parola korumalıysa, daha fazla bilgiye erişebileceğinizi de aklınızda bulundurun. Bilgi kurtarma gayesiyle bir parola ayarlamak için artık fazlaca geç olsa da, güvenlik emeliyle kuvvetli bir yedekleme parolası ayarlamanız hayli büyük kıymet taşıyor.
4. Eski iCloud Yedeklerinde Bulunan Datalar
Bu bilgi kurtarma usulü de evvelkine benziyor fakat tam olarak birebir değil. Bulut yedekleriniz var ise, Elcomsoft Phone Breaker ile indirebileceğiniz ve Elcomsoft Phone Viewer ile tahlil edebileceğiniz bilgilerinizin eski kopyalarına sahip olabilirsiniz. Bilhassa Apple, son iki iCloud yedeklemenizi (eskiden üç taneydi) saklayarak en eskisini indirmenizi mümkün kılıyor.
iCloud yedeklemesinin lokal yedeklemelere kıyasla diğer farklılıkları da var. Örneğin iCloud Fotoğraf Kitaplığı‘nı etkinleştirirseniz, iCloud yedekleriniz fotoğraf içermez (bu ayar için manuel geçersiz kılma vardır). Bunun yanı sıra senkronizasyon ayarlarınıza ve aygıtınızın iOS sürümüne bağlı olarak, diğer tıpta senkronize edilmiş dataları de içermezler. beraberinde iCloud yedeklemeleri, aşağıdakilerden hiç birini de içermezler:
** İletiler, aygıt ayarlarında bu kategorilerin iCloud senkronizasyonu etkinleştirilmediği sürece iCloud yedeklemelerine dahil edilmez. Fotoğraflar, hem senkronize edilmiş tıpkı vakitte yedek sürümleri tutmanıza imkan sağlayan bir manuel geçersiz kılma özelliğine sahiptir.
5. Senkronize Edilmiş Bilgiler
iPhone’lar bir hayli bilgi çeşidini iCloud ile senkronize edebilirler. Fakat bunun için senkronizasyonun gerçek vakitli olarak yahut buna fazlaca yakın bir biçimde gerçekleşmesi gerekiyor. bu biçimde durumlarda iPhone’nunuzdan sildiğiniz her şey buluttan da silinecektir, fakat olağan ki bununla ilgili kimi istisnai durumlar mevcut. Senkronize edilebilir bir öğeyi sildiğiniz vakit ile o bilgiyi kurtarmayı denediğiniz vakitle iPhone’unuz internete bağlı değilse, bu durum fazlaca büyük bir ihtimalle kelam konusu bilgiyi kurtarabileceğiniz manasına gelir. birebir vakitte bir süre geçtikten daha sonra bile kurtarmaya müsaade verecek senkronizasyon gecikmeleri yaşanabilir.
Sildiğiniz dataların iCloud’da tutulma müddetiyle ilgili olarak kimi istisnalar da var. Birtakım kategoriler (fotoğraflar ve notlar bunlara dahil, lakin diğer kategoriler de olabilir), silinmiş olan klasörden kaldırıldıktan daha sonra uzun bir süre (genellikle yaklaşık olarak 2 ya da 3 hafta) iCloud’da kullanılabilir durumda kalır. Hatta birkaç yıl evvel, Apple bu cins evrakları süresiz olarak saklardı.
niye iPhone’unuzdan Sildiğiniz Belgeleri Kurtaramazsınız?
Belge sistemine erişiminiz olsa dahi silinmiş olan bilgileri aramak için boş alan açamazsınız. Zira Apple, iOS 4‘ten beri belge sistemini şifreliyor ve iOS 8‘den beri de şifreleme anahtarları, kullanıcının şifresini temel alıyor. Yani kullanıcı kısmındaki evraklar (görüntüler, SQLite bilgi tabanları ve bunlara misal şeyler) şifreli. Üstelik her evrak, siz belgeyi sildikten daha sonrasında silinecek olan farklı bir anahtarla şifrelenir.
iOS belge sistemi (Apple, aygıtlar içinde APFS kullanır; birtakım eski iOS 10.3 öncesi aygıtlar ise HFS+ kullanırlar) aşağıda belirtmiş olduğumuz özellikleri barındırır:
Aygıtınızı var iseyılan ayarlarına (“Tüm bilgileri sil” seçeneği) döndürürseniz, “Silinebilir Depolama Alanı” silinir ki bu da ortak anahtarın yok bulunmasına yol açar. NAND depolama alanı silinmemiş olsa dahi, bu bile tek başına bilgileri, şifreleri çözülemez ve erişilemez hale getirir.
1. SQLite Data Tabanlarından Silinen Kayıtlar
Apple, bir hayli cinste kullanıcı verisini çeşitli data tabanlarında SQLite formatında saklıyor. Bir kullanıcı; bildiriler uygulamasından bir iMessage, bir Safari yer işareti ya da bir geçmiş öğesi üzere rastgele bir kaydı sildiğinde, performans değerlendirmeleri niçiniyle bu kayıt SQLite bilgi tabanında çabucak silinmez. Bunun yerine, SQLite motoru kaydı “silindi” olarak işaretler, sayfayı kullanılmamış olarak işaretler ve “serbest listeye” bir referans ekler. Bu tıp silinen kayıtlar, bir süre için SQLite “serbest listelerinde” saklanabilir ve bu durum da bilgi kurtarma araçlarının dataları kurtarmayı deneyebilmelerine imkan sağlar.
SQLite bilgi tabanından rastgele bir bilgiyi kurtarma usulü sırf şu durumlarda işe fayda:
- Etkilenmiş olan SQLite data tabanını düşük düzeyli bir çıkarma aracıyla çıkarabilmiş olmalısınız. (Bunun için aygıtınıza jailbreak uygulamanız ya da Elcomsoft iOS Forensic Toolkit‘i kullanmanız gerekir.)
- Data tabanının kendisinin temizlenmemiş ya da birleştirilmemiş olması gerekir. Zira bu iki durumdan rastgele biri gerçekleştiğinde, silme süreci kalıcı hale gelmiş olur.
- Gereğince süratli olmalı ve kayıt silindikten daha sonra etkilenmiş olan bilgi tabanını saniyeler içerisinde çıkarmalısınız. Zira iOS 12‘den beri sistem, kayıtları silindikten daha sonrasında kalıcı olarak siler. Bu niçinle iOS 12 ve daha yeni sürümlerde silinmiş olan SQLite kayıtlarını kurtarmanızın pek mümkün olmadığını söylememiz gerek.
2. WAL Evraklarının İçerisindeki Bilgiler
Üstte da sizlere bahsettiğimuz üzere, iOS’un en son sürümleri bile SQLite bilgi tabanlarını süratli bir biçimde temizleyerek silinen kayıtların (mesajlar, arama kayıtları yahut kişiler) kurtarılmasının önüne geçiyor. Lakin buna karşın SQLite bilgi tabanlarının datalarınızı kurtarmanıza imkan sağlayacak öbür bir özelliği daha mevcut. SQLite, yeni kayıtları WAL evrakları içerisinde meblağ. Bu tıp birleştirilmemiş kayıtlar silinirse, ana data tabanı ile birleştirildikleri ana kadar ilgili WAL evraklarında tutulurlar. Bu da silinmiş ve birleştirilmemiş olan kimi kayıtların kurtarılabilecekleri manasına gelmekte.
WAL evrakları içerisinde tutulan rastgele bir datayı kurtarma formülü sadece şu durumlarda işe fayda:
- Evrak sistemine düşük düzeyli erişime sahip olmalısınız. (Bunun için aygıtınıza jailbreak uygulamanız ya da Elcomsoft iOS Forensic Toolkit’i kullanmanız gerekir.)
- WAL belgelerinin hala birleştirilmemiş olması gerekir.
- Kaydın silindiği vakit ile çıkarma vakti içinde bir iTunes yedeği oluşturmamış olmanız gerekir. Zira iTunes yedeği oluşturmaya başladığınız anda WAL evrakları, ilgili ana data tabanlarıyla birleştirilir ve silinen kayıtlar kaybolur. Lakin medya evrakları bu hususta istisnadır. iOS Forensic Toolkit aracılığıyla medya evraklarını (iPhone, iPad, Apple Watch ve Apple TV modelleri de dahil olmak üzere her türlü cihazdan) çıkarırken birleştirilmemiş WAL evrakları da alırsınız. Bu, kimi imaj meta bilgilerinin kurtarılmasına imkan sağlar.
Lokal bir yedeğe sahipseniz, buradaki asıl sorun, tüm yedeklemeyi kimi iOS aygıtlarına geri yüklemeden datalara nasıl erişileceğidir. Elcomsoft Phone Viewer da dahil olmak üzere piyasada mahallî yedeklerin içeriğini ayrıştırmaya, tek tek belgeleri ve bilgi tabanı kayıtlarını (mesela bildiriler yahut günlük girişleri) görüntülemeye ya da çıkarmaya imkan tanıyan epey sayıda araç vardır.
tıpkı vakitte şayet iTunes yedeklemeniz parola korumalıysa, daha fazla bilgiye erişebileceğinizi de aklınızda bulundurun. Bilgi kurtarma gayesiyle bir parola ayarlamak için artık fazlaca geç olsa da, güvenlik emeliyle kuvvetli bir yedekleme parolası ayarlamanız hayli büyük kıymet taşıyor.
4. Eski iCloud Yedeklerinde Bulunan Datalar
Bu bilgi kurtarma usulü de evvelkine benziyor fakat tam olarak birebir değil. Bulut yedekleriniz var ise, Elcomsoft Phone Breaker ile indirebileceğiniz ve Elcomsoft Phone Viewer ile tahlil edebileceğiniz bilgilerinizin eski kopyalarına sahip olabilirsiniz. Bilhassa Apple, son iki iCloud yedeklemenizi (eskiden üç taneydi) saklayarak en eskisini indirmenizi mümkün kılıyor.
iCloud yedeklemesinin lokal yedeklemelere kıyasla diğer farklılıkları da var. Örneğin iCloud Fotoğraf Kitaplığı‘nı etkinleştirirseniz, iCloud yedekleriniz fotoğraf içermez (bu ayar için manuel geçersiz kılma vardır). Bunun yanı sıra senkronizasyon ayarlarınıza ve aygıtınızın iOS sürümüne bağlı olarak, diğer tıpta senkronize edilmiş dataları de içermezler. beraberinde iCloud yedeklemeleri, aşağıdakilerden hiç birini de içermezler:
- Anahtarlık *
- Sıhhat dataları
- Konut dataları
- iCloud Fotoğrafları **
- İletiler **
- iOS 13’ten beri: Davet günlükleri
- iOS 13’ten beri: Safari geçmişi
** İletiler, aygıt ayarlarında bu kategorilerin iCloud senkronizasyonu etkinleştirilmediği sürece iCloud yedeklemelerine dahil edilmez. Fotoğraflar, hem senkronize edilmiş tıpkı vakitte yedek sürümleri tutmanıza imkan sağlayan bir manuel geçersiz kılma özelliğine sahiptir.
5. Senkronize Edilmiş Bilgiler
iPhone’lar bir hayli bilgi çeşidini iCloud ile senkronize edebilirler. Fakat bunun için senkronizasyonun gerçek vakitli olarak yahut buna fazlaca yakın bir biçimde gerçekleşmesi gerekiyor. bu biçimde durumlarda iPhone’nunuzdan sildiğiniz her şey buluttan da silinecektir, fakat olağan ki bununla ilgili kimi istisnai durumlar mevcut. Senkronize edilebilir bir öğeyi sildiğiniz vakit ile o bilgiyi kurtarmayı denediğiniz vakitle iPhone’unuz internete bağlı değilse, bu durum fazlaca büyük bir ihtimalle kelam konusu bilgiyi kurtarabileceğiniz manasına gelir. birebir vakitte bir süre geçtikten daha sonra bile kurtarmaya müsaade verecek senkronizasyon gecikmeleri yaşanabilir.
Sildiğiniz dataların iCloud’da tutulma müddetiyle ilgili olarak kimi istisnalar da var. Birtakım kategoriler (fotoğraflar ve notlar bunlara dahil, lakin diğer kategoriler de olabilir), silinmiş olan klasörden kaldırıldıktan daha sonra uzun bir süre (genellikle yaklaşık olarak 2 ya da 3 hafta) iCloud’da kullanılabilir durumda kalır. Hatta birkaç yıl evvel, Apple bu cins evrakları süresiz olarak saklardı.
niye iPhone’unuzdan Sildiğiniz Belgeleri Kurtaramazsınız?
Belge sistemine erişiminiz olsa dahi silinmiş olan bilgileri aramak için boş alan açamazsınız. Zira Apple, iOS 4‘ten beri belge sistemini şifreliyor ve iOS 8‘den beri de şifreleme anahtarları, kullanıcının şifresini temel alıyor. Yani kullanıcı kısmındaki evraklar (görüntüler, SQLite bilgi tabanları ve bunlara misal şeyler) şifreli. Üstelik her evrak, siz belgeyi sildikten daha sonrasında silinecek olan farklı bir anahtarla şifrelenir.
iOS belge sistemi (Apple, aygıtlar içinde APFS kullanır; birtakım eski iOS 10.3 öncesi aygıtlar ise HFS+ kullanırlar) aşağıda belirtmiş olduğumuz özellikleri barındırır:
- şimdi her şey şifrelidir.
- Her belge kendi eşsiz anahtarıyla şifrelenir.
- Tüm şifreleme anahtarları diğer bir ortak anahtarla şifrelenir.
- Bu ortak anahtar, birinci kilit açma sırasında kullanıcılar parolalarını girdiklerinde hesaplanır.
Aygıtınızı var iseyılan ayarlarına (“Tüm bilgileri sil” seçeneği) döndürürseniz, “Silinebilir Depolama Alanı” silinir ki bu da ortak anahtarın yok bulunmasına yol açar. NAND depolama alanı silinmemiş olsa dahi, bu bile tek başına bilgileri, şifreleri çözülemez ve erişilemez hale getirir.