Forum myiPhone.com.pl : wszystkie tajemnice iPhone'a, iPada, iOS, Apple w Twoim zasięgu

Odzyskiwanie danych z iPhone/iPod Touch.

Tutoriale, Pewne i skuteczne sposoby użytkowników

Postprzez rudi Cz, 18 cze 2009, 12:57:02

Dzień dobry.

W dzisiejszym odcinku zademonstruję jak dobrać się do danych znajdujących się na iPhonie. Nawet tych już usuniętych (o ile nie zostały nadpisane..)
Polecam na początek dokładne przeczytanie całości.

1. Rzeczy potrzebne/przydatne.
  • iPhone/iPod Touch po jailbreaku.
  • Komputer - w tym tutorialu skupie się głównie na Windowsie, lecz wszystko można równie dobrze wykonać na Linuxie czy Mac'u - większość programów ma swoje odpowiedniki dla inncych systemów (lub nawet z nich pochodzi..)
  • Sieć iPhone-Komputer (ad hoc, czy cokolwiek.)
  • Sporo miejsca na dysku komputera - zależnie od pojemności iPhona.
  • Umiejętność czytania/kombinowania.
  • Czas. Czas. Czas.

2. Przygotowania.

  • 1. iPhone/Cydia:
    Odpalamy i sprawdzamy, czy paczuszki już mamy:
    • Mobile Terminal (lub klient SSH na PC)
    • netcat
    • Core Utilities
  • 2. Komputer:
    Jeśli już mamy sieć iPhone-Komputer (instrukcja na forum, w odpowiednim dziale), poszukujemy następujących programów zależnie od systemu operacyjnego:
    • dd
    • netcat
    Jeśli mamy Windowsa i nie chce nam się szukać - ściągamy przygotowaną paczkę z jednego z serwerów: rudi.rtk ZippyShare.com RapidShare.com zSHARE.net FileFactory.com Easy-Share.com

  • 3. Odzyskiwanie partycji (Media):
    Ściągnięte w punkcie drugim archiwum rozpakowujemy - i umieszczamy wszystko w jednym folderze. Upewniamy się, czy mamy wystarczająco dużo miejsca na dysku. Odpalamy recieve.bat.
    (czyli wywołujemy 'nc -L -p 7000 | dd of=./rdisk0s2 bs=4096' - dzięki czemu nc nasłuchuje połączeń przez port 7000, a dd zapisuje wszystko do pliku rdisk0s2.)

    Obrazek

    Zostawiamy teraz komputer w spokoju, przenosimy się na iPhona. Warto teraz wyłączyć autoblokadę np. za pomocą SBSetting, oraz podłączyć urządzenie do ładowania - następny krok może potrwać nawet kilka godzin! (1h ~2,5GB). Nastąpi kopiowanie wszystkich danych z partycji ajfonowej na PC.
    Uruchamiamy wifi, łączymy się z siecią, odpalamy Mobile Terminal, i wpisujemy fioletowe komendy:
    • su - Logujemy się jako root. Podajemy hasło (zwykle 'alpine').
    • dd if=/dev/rdisk0s2 bs=4096 | nc X.X.X.X 7000 (Wysyłamy dane na PC. Zamiast X.X.X.X wpisujemy IP komputera na którym nasłuchujemy.)
    Teraz czas na rzeczy na które do tej pory w życiu nie mieliśmy czasu. Robimy sobie dobrą herbatę, zasiadamy w fotelu, czekając na nieuniknioną apokalipsę - lub też wychodzimy z domu, by dobrze spędzić czas, poznać kobietę z którą chcemy być przez całe życie, zakochać się i zestarzeć. Po wykonaniu tych wszystkich czynności i powrocie do domu dane prawdopodobnie dalej się kopiują, więc polecam kanapki z salami.

    Po zakończeniu kopiowania na wyświetlaczu iPhone ukaże się podsumowanie.
    Możemy teraz zamknąć terminal, i konsolę - oraz przejść do odzyskiwania danych.

3. Odzyskiwanie danych.

  • 1. Wszelkiego rodzaju pliki: Scalpel:
    Pobieramy program z digitalforensicssolutions.com/Scalpel/ (limit linków na forum..). Wypakowujemy zawartość archiwum do folderu z plikiem 'rdisk0s2'. Edytorem tekstu (prostym) uruchamiamy plik scalpel.conf, po czym na końcu dodajemy:
    Spoiler:
    Są to informacje dla programu - jakich plików powinien szukać oraz odpowiednie nagłówki/stopki charakterystyczne dla nich. (Pliki często spotykane w iPhone.) Warto też przeglądnąć cały plik .conf i wybrać dodatkowe pliki do odzyskania usuwając komentarz "#" przed linijką zawierającą ich opis. (Lub nie szukać plików danego typu, dodając "#", jeśli wiemy konkretnie - czego szukamy.) Choć lepiej zaznaczyć więcej, niż mniej.

    Opis:
    jpg y 5000000 \xff\xd8\xff\xe1 \x7f\xff\xd9

    Pierwsza kolumna to rozszerzenie pliku, jakie dodane zostanie po odzyskaniu pliku.
    Druga informuje, czy program ma rozróżniać duże/małe litery.
    Trzecia kolumna to domyślny rozmiar pliku (jeśli stopka nie zostanie znaleziona).
    Czwarta kolumna to nagłówek pliku (może być heksadecymalny - poprzedzony \x, lub zwykły tekst).
    Ostatnia kolumna to stopka pliku. Plik zostanie zakończony - jeśli dany wzór zostanie odnaleziony.

    Większość plików uruchomi się nawet jeśli na końcu znajdą się zupełnie inne dane. Jeśli jednak plik zostanie ucięty - można spróbować zwiększyć wartość w trzeciej kolumnie.

    Jeśli szukamy pliku z innym rozszerzeniem - musimy znać dokładną charakterystykę pliku. Przykładowo, jeśli szukamy filmu nagranego przez iPhona - warto nagrać kilka nowych filmów, i porównać ich początek/koniec - stąd uzyskamy nagłówek/stopkę.

    Uruchamiamy teraz program poprzez komendę:
    scalpel -c scalpel.conf rdisk0s2 (jeśli scalpel.conf i rdisk0s2 znajdują się w tym samym folderze co scalpel.exe).
    Jeśli nie wiesz jak to zrobić: otwórz notatnik, wklej komendę, i całość zapisz jako scalpel.bat ( tylko nie scalpel.bat.txt!). Uruchom.

    Obrazek

    Po wykonaniu zadania - okno powinno się zamknąć.
    Sprawdzamy teraz nowo utworzony folder scalpel-output - w nim znajdują się wszystkie wynalezione pliki posegregowane rozszerzeniem (oraz plik audit.txt z dodatkowymi informacjami). Teraz czeka nas żmudne przekopywanie się nawet przez kilka(naście) tysięcy plików w poszukiwaniu interesujących nas informacji.
    Oczywiście wiele z nich może nie nadawać się już do użytku -np. zostały już nadpisane przez inne pliki, lub zostały źle odczytane. (lecz nie usuwajmy ich jeszcze).

  • 2.Lista poszczególnych plików:
    Co zrobić, by je otworzyć, edytować, odczytać:
    • PNG:
      Pliki .png w iPhonie często występują w dziwacznym formacie, który nie tak łatwo odczytać zwykłym programem graficznym. Trzeba je wcześniej przekonwertować programem fixpngWindows (mediafire.com/download.php?jnn5fnzqywm), o ile nie można ich podejrzeć od razu.
    • JPG:
      Pliki .jpg, możemy spróbować odzyskać programem JPEGsnoop (impulseadventure.com/photo/jpeg-snoop.html)
    • PLIST:
      Pliki .plist zawierają przeróżne rzeczy - począwszy od danych aplikacji, informacji od nich, kończąc na ostatnim odczytanym położeniu GPS. Niektóre pliki .plist można otworzyć zwykłym edytorem tekstu (polecam Notepad++), a inne (te binarne - dziwne znaczki po odpaleniu notatnikiem) można odczytać programem pledit (mediafire.com/?m6iu4zwo4s3).
    • SQLITE:
      To pliki bazy danych, w takich plikach spotkać można treści sms'ów, kontakty, dane google maps, historię połączeń etc. (o czym później). Odpalamy za pomocą SQLite Browser (sourceforge.net/projects/sqlitebrowser/) Przyda się też znajomość SQL.
    • INNE: Większość plików można podglądnąć jakimś edytorem heksadecymalnym (długie słowo).
  • 3. Co, gdzie?
    Do system plików można się dostać za pomocą programu HFSExplorer (hem.bredband.net/catacombae/hfsx.html) - Potrzebna JAVA!

    Obrazek

    Ważne pliki (niektórych może nie być w danej chwili):

    • Property Lists (plist):
      • /mobile/Library/Maps/History.plist - Historia Google Maps.
      • /mobile/Library/Preferences/com.apple.Maps.plist - Tu także współrzędnie ostatnio oglądanego obszaru.
      • /mobile/Library/Mail/Accounts.plist - Dane Kont E-Mail.
      • /mobile/Library/Preferences/*.plist - Ustawienia zainstalowanych aplikacji.
      • /mobile/Library/Safari/Bookmarks.plist - Zakładki Safari.
      • /mobile/Library/Cookies/Cookies.plist - Ciasteczka z Safari.
      • /mobile/Library/Safari/History.plist - Historia Safari.
      • /mobile/Library/Preferences/com.apple.Safari.plist - Np. Ostatnie wyszukiwania w Safari.
      • /mobile/Library/Safari/SuspendState.plist - Informacje dot. stanu w którym Safari zostało zamknięte - by po odpaleniu przywrócić otwarte okna i obrazek strony.
      • /root/Library/Lockdown/data_ark.plist - Różne informacje dot. sprzętu i konta Apple, zsynchronizowanych aplikacji itp. Oj, sporo prywatnych danych..
      • /root/Library/Caches/locationd/cache.plist - Ostatnie znane położenie GPS (iPhone 3G)
      • itd..
    • Bazy danych SQLite:
      • /mobile/Library/AddressBook/AddressBook.sqlitedb - Książka adresowa. Opis tabel:
        • ABPerson - Imię, nazwisko itp.
        • ABRecent - Ostatnie zmiany dot. kontaktu.
        • ABMultiValue - Numery telefonów, strony WWW, Emaile..
        • ABMultiValueEntry - Dodatkowe informacje dot. kontaktu.
      • /mobile/Library/Calendar/Calendar.sqlitedb - Kalendarz.
      • /mobile/Library/Caches/MapTiles/MapTiles.sqlitedb - Cache Google maps. (Kafle w .png)
      • /mobile/Library/CallHistory/call_history.db - Historia połączeń.
      • /mobile/Library/Mail/Envelope Index - Emaile.
      • /mobile/Library/Notes/notes.db - Notatki.
      • /mobile/Library/SMS/sms.db - Sms'y.
      • /mobile/Library/Voicemail/voicemail.db - Voicemail. (Pliki audio w folderze).
    • Inne pliki:
      • /mobile/Library/Keyboard/*****dynamic-text.dat - Ciekawa rzecz. Plik zawiera cache tekstów wpisywanych na klawiaturze. Nawet hasła tam są.. Polecam otwierać Hex Editorem.
      • /mobile/Media/DCIM/100APPLE - Zdjęcia zrobione aparatem, wraz z miniaturkami. (Można wyciągnąć daty i współrzędne zdjęcia z exif.)
      • /mobile/Media/iTunes_Control/Music - Muzyka zsynchronizowana z iTunes.
  • 4. Szukanie tekstu po słowach kluczowych.
    Jeśli wiemy czego szukamy (np. zagubiony ważny mail, który nie zachował się w całości) możemy też przeszukać kopię w celu odnalezienia łańcuchów tekstu. Z pomocą przychodzi tu program strings (technet.microsoft.com/en-us/sysinternals/bb897439.aspx).
    Wrzucamy do tego samego folderu co kopia, i odpalamy za pomocą komendy:
    strings.exe rdisk0s2 > plik.txt (Uruchom -> cmd lub z pliku .bat, co opisałem wyżej)

    Obrazek

    Po odnalezieniu wszystkich tekstów możemy przeglądnąć nowo utworzony plik (Może on być ogroomny, więc nie polecam notatnika..) i szukać słów kluczowych.

4. Podsumowanko.
Jak widzimy w iPhonie znajduje się sporo prywatnych danych. (Nie opisałem nawet połowy). Większość z nich można odzyskać nawet po restore, więc pomyślmy zanim oddamy komuś naszego iPhona.

Dziękuję za uwagę.
Tutorial na podstawie "iPhone Forensics" (Jonathan Zdziarski) oraz własnych obserwacji.

V 0.9
.
Ostatnio edytowano Cz, 18 cze 2009, 18:29:19 przez rudi, łącznie edytowano 2 razy
Avatar użytkownika
rudi
 
Posty: 212
Dołączył(a): Cz, 26 lut 2009, 17:12:30
Mój: brak
iOS: 3.1.3
Jailbreak: Tak


Postprzez FiTzu Cz, 18 cze 2009, 13:22:32

Osz kurde - trochę czarna magia.
Czyli domyślam się, że z drobną modyfikacją tego co napisałeś można bezpiecznie całkowicie wyczyścić telefon, tak??

Ten tutek Zdziarski'ego czytałem też kiedyś, ale nie do końca skumałem :P
Nie pomagam na PW. Do zadawania pytań służy forum.
Chcesz wygrać aplikację? Sprawdź aktywne konkursy -> Konkursy myiPhone
.Bombing.For.Peace.Is.Like.Fucking.For.Virginity.
Avatar użytkownika
FiTzu
 
Posty: 8256
Dołączył(a): Pn, 15 wrz 2008, 12:58:05
Lokalizacja: Sosnowiec
Mój: iPhone 6
iOS: 9.3
Jailbreak: Nie
Game Center: iFiTzu

Postprzez rudi Cz, 18 cze 2009, 14:08:15

Hm.. trzeba by było zapełnić partycję samymi zerami, lub losowymi liczbami (zajęłoby to więcej czasu). Po czym wgrać nowy soft z Recovery Mode na iTunesie w którym nie ma naszych prywatnych danych. Jest to do wykonania.

A najlepiej to zapełnić losowymi liczbami kilku(nasto) krotnie, wtedy to nawet CIA nam danych nie odtworzy.

EDIT: Możemy też kupić iErase z AppStore ( http://itunes.apple.com/WebObjects/MZSt ... 28114&mt=8 ), no ale właśnie.. "kupić". Dane AppStore nadal pozostają w iPhonie.
Avatar użytkownika
rudi
 
Posty: 212
Dołączył(a): Cz, 26 lut 2009, 17:12:30
Mój: brak
iOS: 3.1.3
Jailbreak: Tak

Postprzez KIRI86 Śr, 27 sty 2010, 23:19:17

Witam serdecznie,
i z góry przepraszam, że truję - jestem totalnym laikiem iphone'owym. Mam to cacko od 2 tygodni, a powyższy tutorial, mimo, iż jest z pewnością świetny, dla mnie jest niezrozumiały. Czy ktoś mógłby pokierować mnie na jakiś link dla totalnie początkujących lub wytłumaczyć krok po kroku jak odzyskać dane utracone w niżej wymienionym przeze mnie przypadku ( jeśli jest to w ogóle do zrobienia)... Dodam <zawstydzona>, iż nie mówi mi jeszcze nic słowo jailbreak, lub paczuszki, które mam szukać w Cydia - nawet nie wiem, po co to jest... Za to dysponuję czasem i sporymi chęciami, na usługę u prywatnej osoby mnie póki co nie stać,a straciłam śliczne fotki z zaręczyn...

Otóż straciłam wszystkie zdjęcia z IPhone'a łącznie z tapetami oryginalnymi itp. poprzez skopiowanie ( a raczej chęci ) wszystkiego na PC, gdy weszłam po prostu przez znalezione urządzenie w 'mój komputer'...( IP zdefiniowany jest jako aparat, tamże weszłam, zaznaczyłam wszystko, skopiowałam, usunęłam <głupek>, ale w wybranym folderze nastąpiły problemy z wklejeniem, a w schowku nagle też był problem w ogóle z podglądem...). Żadne narzędzie typu 'recovery' mi jeszcze nie pomogło, bo pliki nigdy nie znalazły się widocznie na C:/a z IP nie umiem. Czy jest na to jakaś rada? Błagam o pomoc i z góry dziękuję za jakiekolwiek wskazówki.
Kiri
KIRI86
 
Posty: 1
Dołączył(a): Śr, 27 sty 2010, 22:55:37
Mój: iPhone 3GS
iOS: 3.1.2
Jailbreak: Nie

Postprzez rudi Cz, 28 sty 2010, 14:40:48

Cześć,
jeżeli nie wiesz czym jest jailbreak, ni Cydia - prawdopodobnie sama sobie z tym nie poradzisz. A nawet jeśli zaczniesz teraz czytać o tym wszystkim - zdjęcia przepadną wskutek nadpisania. Wyżej opisany sposób działa tylko w przypadku jeśli pliki zginęły niedawno - żaden nowy plik nie został pobrany, muzyka zsynchronizowana itp. A i wtedy szanse na odzyskanie plików nie wynoszą 100%.

Może znasz jakiegoś informatyka, lub osobę mającą iPhona i znającą się na rzeczy?
Ew. jeśli jesteś z okolic Krakowa, mógłbym spróbować Ci pomóc.

Najlepiej byłoby jak najszybciej wykonać punkty 2.1, 2.2 i 2.3. Musisz jednak najpierw wykonać Jailbreak'a (jest wiele opisów na forum - poszukaj odpowiedni do 3GS z softem 3.1.2 - może inni Ci pomogą, ja w tym temacie nic mądrego powiedzieć nie mogę.)
Avatar użytkownika
rudi
 
Posty: 212
Dołączył(a): Cz, 26 lut 2009, 17:12:30
Mój: brak
iOS: 3.1.3
Jailbreak: Tak

Postprzez heba1979 Śr, 12 maja 2010, 22:51:59

No dobra, to kotś może wie jak wykreować odpowiedni plik sms.db po scalpelu?
bo sama zmiana nazwy i rozszerzenia niestety nic nie daje.
Wydaje mi sie, ze to juz grupsza akcja zabawy w SQLu
dzieks za odpowiedzi
Avatar użytkownika
heba1979
 
Posty: 1
Dołączył(a): Pn, 10 maja 2010, 23:54:38
Mój: iPhone 4
iOS: 4.1
Jailbreak: Tak

Postprzez donmatteo Wt, 9 lis 2010, 14:26:54

rudi napisał(a):Cześć,
jeżeli nie wiesz czym jest jailbreak, ni Cydia - prawdopodobnie sama sobie z tym nie poradzisz. A nawet jeśli zaczniesz teraz czytać o tym wszystkim - zdjęcia przepadną wskutek nadpisania. Wyżej opisany sposób działa tylko w przypadku jeśli pliki zginęły niedawno - żaden nowy plik nie został pobrany, muzyka zsynchronizowana itp. A i wtedy szanse na odzyskanie plików nie wynoszą 100%.

Może znasz jakiegoś informatyka, lub osobę mającą iPhona i znającą się na rzeczy?
Ew. jeśli jesteś z okolic Krakowa, mógłbym spróbować Ci pomóc.

Najlepiej byłoby jak najszybciej wykonać punkty 2.1, 2.2 i 2.3. Musisz jednak najpierw wykonać Jailbreak'a (jest wiele opisów na forum - poszukaj odpowiedni do 3GS z softem 3.1.2 - może inni Ci pomogą, ja w tym temacie nic mądrego powiedzieć nie mogę.)


Witaj Rudi

jestem z okolic Krakowa i mam problem z Iphonem 3g a scislej piszac z danymi ktore gdzies wsiakły... Moglbys pomoc???

Pozdrawiam
donmatteo
 
Posty: 1
Dołączył(a): Wt, 9 lis 2010, 09:53:23
Mój: iPhone 4
iOS: 4.0.1
Jailbreak: Nie

Postprzez donnitro N, 21 lis 2010, 13:01:45

Potrzebuje pomocy postępuje w 100% z artykułem lecz nie mogę sobie poradzić z MT,a dokładnie
Dane:Kontakty , Zdjęcia ,Sms ,Filmy
Kopia zapasowa: brak
po wpisaniu w Mobile Terminal :
"dd if=/dev/rdisk0s2 bs=4096 | nc moje_IP 7000 " [return]
nie zaczyna odzyskiwać danych tylko wyskakuje
"Nitro-Vip:- root#"
tylko to wyskakuje i nic dalej się nie dzieje
na kompie mam włączony
recieve
na ip zainstalowany MT i NC
donnitro
 
Posty: 4
Dołączył(a): Wt, 2 lis 2010, 07:32:54
Mój: iPhone 3G
iOS: 4.1
Jailbreak: Tak

Postprzez seebs Wt, 7 gru 2010, 22:46:34

Witam,
Tak się składa, że jestem tymczasowym posiadaczem iphone'a 3G z najnowszym softem 4.2.1. Moja koleżanka zapytała mnie czy nie umiałbym odzyskać zdjęć z telefonu, które zniknęły jej po wgraniu w/w aktualizacji. Znalazłem ten tutorial i pewny siebie zgodziłem się jej pomóc. Niestety nigdy wcześniej nie miałem doczynienia z produktami apple, nie mówiąc już o iphonie. No więc zacząłem zgłębiać temat i zdałem sobie sprawę, że nie będzie łatwo. Utknąłem na połączeniu terminalowym. Udało mi się zainstalować Cydie przez redsn0w'a - niestety nie działa Mobile Terminal. Zainstalowałem OpenSSH ale przez putty telefon też się nie zgłasza. Najgorsze jest to, że taka osoba jak ja, mająca iphonea od dwóch dni, która nie rozwijała swojej wiedzy wraz z kolejnymi wersjami softu ma problem aby odnaleźć się w gąszczu postów dotyczących różnych wersji programów i softu -co kiedy trzeba instalować a czego już teraz się nie instaluje bo zostało zastąpione czymś innym... Doczytałem, że Mobile Terminal będzie działał jak zainstaluje wersję nieoficjalną (jeszcze niestabliną) niestety nie umiem dojść do tego w jaki sposób mogę podmienić pliki w telefonie z kompa, gdzie ściągnąłem najnowszą nieoficjalną wersję MT. Jak to rozwiąże to pojawi się kolejny problem - jak zainstalować netcat'a i Core Utilities...
Pytanie moje brzmi czy na tym sofcie uda mi się zgrać dane z telefonu wg. instrukcji z tego tutka?
Za wszelką pomoc będę wdzięczny - jeszcze się nie poddałem...

Pozdrawiam
Sebastian
seebs
 
Posty: 1
Dołączył(a): Cz, 2 gru 2010, 12:24:40
Mój: iPhone 3G
iOS: 123
Jailbreak: Nie

Postprzez rudi Śr, 8 gru 2010, 13:11:07

Dostać się do iPhona możesz przez programy typu iPhone Explorer, DiskAid, czy Total Commander z wtyczka T-Pot.

netcat i Core Utilities powinny być dostępne do zainstalowania z Cydii (Core utilities już zainstalowane chyba są domyślnie - nie wiem czy w nowszych softach też), jeśli ich nie ma możesz sprawdzić, czy w ustawieniach Cydii jest filtr ustawiony na "Developer" - wtedy wszystkie paczki będą widoczne, lub spróbować pobrać tego netcata:
http://ipod-touch-max.ru/cydia/index.ph ... age&id=786
Wrzucić plik .deb na iPhona np. do /usr/test/
Później w mobile terminalu wpisujesz 'su' i swoje hasło ('alpine' ?), później 'dpkg -i /usr/test/plik.deb'.
Avatar użytkownika
rudi
 
Posty: 212
Dołączył(a): Cz, 26 lut 2009, 17:12:30
Mój: brak
iOS: 3.1.3
Jailbreak: Tak

Dodaj do:  Wypowiedź dla Wykop  Wypowiedź dla Facebook  Wypowiedź dla Delicious  Wypowiedź dla Google  Wypowiedź dla Gwar  Wypowiedź dla Digg  Wypowiedź dla Wyczaj.to  Wypowiedź dla Technorati  Wypowiedź dla YahooMyWeb  Wypowiedź dla Furl  Wypowiedź dla Magnolia  Wypowiedź dla Reddit  Wypowiedź dla Simpy  Wypowiedź dla Slashdot
Następna strona

Powrót do Sprawdzone porady, Tutoriale (Software)

Kto przegląda forum

Użytkownicy przeglądający ten dział: Brak zalogowanych użytkowników i 2 gości