iPhone’daki Silinmiş Dataları Kurtarmak İçin 5 Formül

iOS işletim sisteminde, lokal olarak ya da bulutta bir yedeğiniz olmadığı sürece, rastgele bir datayı kurtarma olasılığınız çok düşüktür. Fakat buna karşın rastgele bir yedeğiniz olmasa bile, datalarınızı kurtarmanıza imkan tanıyan kimi formüller de mevcut. iPhone kullanıcıları, makul şartlar sağlandığı takdirde aşağıda bahsedeceğimiz bilgi tiplerini kurtarma talihine sahipler.

1. SQLite Bilgi Tabanlarından Silinen Kayıtlar

Apple, pek çok tıpta kullanıcı verisini çeşitli data tabanlarında SQLite formatında saklıyor. Bir kullanıcı; iletiler uygulamasından bir iMessage, bir Safari yer işareti ya da bir geçmiş öğesi üzere rastgele bir kaydı sildiğinde, performans değerlendirmeleri nedeniyle bu kayıt SQLite bilgi tabanında çabucak silinmez. Bunun yerine, SQLite motoru kaydı “silindi” olarak işaretler, sayfayı kullanılmamış olarak işaretler ve “serbest listeye” bir referans ekler. Bu tıp silinen kayıtlar, bir mühlet için SQLite “serbest listelerinde” saklanabilir ve bu durum da bilgi kurtarma araçlarının dataları kurtarmayı deneyebilmelerine imkan sağlar.

SQLite data tabanından rastgele bir datayı kurtarma prosedürü sırf şu durumlarda işe fayda:

  • Etkilenmiş olan SQLite bilgi tabanını düşük düzeyli bir çıkarma aracıyla çıkarabilmiş olmalısınız. (Bunun için aygıtınıza jailbreak uygulamanız ya da Elcomsoft iOS Forensic Toolkit‘i kullanmanız gerekir.)
  • Data tabanının kendisinin temizlenmemiş ya da birleştirilmemiş olması gerekir. Zira bu iki durumdan rastgele biri gerçekleştiğinde, silme süreci kalıcı hale gelmiş olur.
  • Gereğince süratli olmalı ve kayıt silindikten sonra etkilenmiş olan bilgi tabanını saniyeler içerisinde çıkarmalısınız. Zira iOS 12‘den beri sistem, kayıtları silindikten çabucak sonra kalıcı olarak siler. Bu nedenle iOS 12 ve daha yeni sürümlerde silinmiş olan SQLite kayıtlarını kurtarmanızın pek mümkün olmadığını söylememiz gerek.

Uzun lafın kısası, SQLite’tan data kurtarma usulü, artık silinen iMessage’lar, Safari yer işaretleri, sekmeler ve geçmiş ya da SQLite data tabanlarında depolanan öteki bilgi çeşitleri için geçerli değildir.

2. WAL Belgelerinin İçerisindeki Bilgiler

Üstte da sizlere bahsetmiş olduğumuz üzere, iOS’un en son sürümleri bile SQLite data tabanlarını süratli bir formda temizleyerek silinen kayıtların (mesajlar, arama kayıtları yahut kişiler) kurtarılmasının önüne geçiyor. Lakin buna karşın SQLite bilgi tabanlarının datalarınızı kurtarmanıza imkan sağlayacak öteki bir özelliği daha mevcut. SQLite, yeni kayıtları WAL evrakları içerisinde meblağ. Bu tıp birleştirilmemiş kayıtlar silinirse, ana bilgi tabanı ile birleştirildikleri ana kadar ilgili WAL belgelerinde tutulurlar. Bu da silinmiş ve  birleştirilmemiş olan birtakım kayıtların kurtarılabilecekleri manasına gelmekte.

WAL belgeleri içerisinde tutulan rastgele bir bilgiyi kurtarma yolu sırf şu durumlarda işe fayda:

  • Evrak sistemine düşük düzeyli erişime sahip olmalısınız. (Bunun için aygıtınıza jailbreak uygulamanız ya da Elcomsoft iOS Forensic Toolkit’i kullanmanız gerekir.)
  • WAL evraklarının hala birleştirilmemiş olması gerekir.
  • Kaydın silindiği vakit ile çıkarma vakti ortasında bir iTunes yedeği oluşturmamış olmanız gerekir. Zira iTunes yedeği oluşturmaya başladığınız anda WAL evrakları, ilgili ana data tabanlarıyla birleştirilir ve silinen kayıtlar kaybolur. Lakin medya belgeleri bu hususta istisnadır. iOS Forensic Toolkit aracılığıyla medya evraklarını (iPhone, iPad, Apple Watch ve Apple TV modelleri de dahil olmak üzere her türlü cihazdan) çıkarırken birleştirilmemiş WAL evrakları da alırsınız. Bu, kimi imaj meta datalarının kurtarılmasına imkan sağlar.

3. Eski Lokal Yedeklerde Tutulan Bilgiler

Lokal bir yedeğe sahipseniz, buradaki asıl sorun, tüm yedeklemeyi birtakım iOS aygıtlarına geri yüklemeden bilgilere nasıl erişileceğidir. Elcomsoft Phone Viewer da dahil olmak üzere piyasada lokal yedeklerin içeriğini ayrıştırmaya, tek tek belgeleri ve data tabanı kayıtlarını (örneğin bildiriler yahut günlük girişleri) görüntülemeye ya da çıkarmaya imkan tanıyan çok sayıda araç vardır.

Bununla birlikte şayet iTunes yedeklemeniz parola korumalıysa, daha fazla bilgiye erişebileceğinizi de aklınızda bulundurun. Data kurtarma hedefiyle bir parola ayarlamak için artık çok geç olsa da, güvenlik maksadıyla güçlü bir yedekleme parolası ayarlamanız çok büyük kıymet taşıyor.

4. Eski iCloud Yedeklerinde Bulunan Bilgiler

Bu bilgi kurtarma usulü de evvelkine benziyor fakat tam olarak tıpkı değil. Bulut yedekleriniz varsa, Elcomsoft Phone Breaker ile indirebileceğiniz ve Elcomsoft Phone Viewer ile tahlil edebileceğiniz datalarınızın eski kopyalarına sahip olabilirsiniz. Bilhassa Apple, son iki iCloud yedeklemenizi (eskiden üç taneydi) saklayarak en eskisini indirmenizi mümkün kılıyor.

iCloud yedeklemesinin lokal yedeklemelere kıyasla öbür farklılıkları da var. Örneğin iCloud Fotoğraf Kitaplığı‘nı etkinleştirirseniz, iCloud yedekleriniz fotoğraf içermez (bu ayar için manuel geçersiz kılma vardır). Bunun yanı sıra senkronizasyon ayarlarınıza ve aygıtınızın iOS sürümüne bağlı olarak, öteki tıpta senkronize edilmiş bilgileri de içermezler. Birebir vakitte iCloud yedeklemeleri, aşağıdakilerden hiçbirini de içermezler:

  • Anahtarlık *
  • Sıhhat bilgileri
  • Mesken bilgileri
  • iCloud Fotoğrafları **
  • İletiler **
  • iOS 13’ten beri: Davet günlükleri
  • iOS 13’ten beri: Safari geçmişi

* Aslında anahtarlık, iCloud yedeklerinin içerisinde yer alır lakin aygıta özel bir anahtar kullanılarak şifrelenir. Tam olarak birebir aygıta geri yükleme yapmadığınız takdirde, iCloud yedeklerinden anahtarlık öğelerine erişemezsiniz.

** Bildiriler, aygıt ayarlarında bu kategorilerin iCloud senkronizasyonu etkinleştirilmediği sürece iCloud yedeklemelerine dahil edilmez. Fotoğraflar, hem senkronize edilmiş hem de yedek sürümleri tutmanıza imkan sağlayan bir manuel geçersiz kılma özelliğine sahiptir.

5. Senkronize Edilmiş Datalar

iPhone’lar pek çok bilgi cinsini iCloud ile senkronize edebilirler. Lakin bunun için senkronizasyonun gerçek vakitli olarak yahut buna çok yakın bir halde gerçekleşmesi gerekiyor. Bu türlü durumlarda iPhone’nunuzdan sildiğiniz her şey buluttan da silinecektir, fakat olağan ki bununla ilgili birtakım istisnai durumlar mevcut. Senkronize edilebilir bir öğeyi sildiğiniz vakit ile o bilgiyi kurtarmayı denediğiniz vakit ortasında iPhone’unuz internete bağlı değilse, bu durum çok büyük bir ihtimalle kelam konusu bilgiyi kurtarabileceğiniz manasına gelir. Bununla birlikte bir müddet geçtikten sonra bile kurtarmaya müsaade verecek senkronizasyon gecikmeleri yaşanabilir.

Sildiğiniz bilgilerin iCloud’da tutulma müddetiyle ilgili olarak birtakım istisnalar da var. Kimi kategoriler (fotoğraflar ve notlar bunlara dahil, fakat öteki kategoriler de olabilir), silinmiş olan klasörden kaldırıldıktan sonra uzun bir mühlet (genellikle yaklaşık olarak 2 ya da 3 hafta) iCloud’da kullanılabilir durumda kalır. Hatta birkaç yıl evvel, Apple bu tıp belgeleri süresiz olarak saklardı.

Neden iPhone’unuzdan Sildiğiniz Evrakları Kurtaramazsınız?

Belge sistemine erişiminiz olsa dahi silinmiş olan bilgileri aramak için boş alan açamazsınız. Zira Apple, iOS 4‘ten beri evrak sistemini şifreliyor ve iOS 8‘den beri de şifreleme anahtarları, kullanıcının şifresini temel alıyor. Yani kullanıcı kısmındaki belgeler (görüntüler, SQLite data tabanları ve bunlara emsal şeyler) şifreli. Üstelik her evrak, siz belgeyi sildikten çabucak sonra silinecek olan başka bir anahtarla şifrelenir.

iOS evrak sistemi (Apple, aygıtlar ortasında APFS kullanır; birtakım eski iOS 10.3 öncesi aygıtlar ise HFS+ kullanırlar) aşağıda belirtmiş olduğumuz özellikleri barındırır:

  • Çabucak çabucak her şey şifrelidir.
  • Her evrak kendi eşsiz anahtarıyla şifrelenir.
  • Tüm şifreleme anahtarları diğer bir ortak anahtarla şifrelenir.
  • Bu ortak anahtar, birinci kilit açma sırasında kullanıcılar parolalarını girdiklerinde hesaplanır.

Rastgele bir evrak silindikten sonra, iOS, belgenin meta datalarından ilgili evrak anahtarını da siler. Bunun bir sonucu olarak silinmiş olan evrakın daha evvel bulunduğu bilgi bloklarını okusanız bile, belge anahtarı olmadan belgenin şifresini çözemezsiniz.

Aygıtınızı varsayılan ayarlarına (“Tüm dataları sil” seçeneği) döndürürseniz, “Silinebilir Depolama Alanı” silinir ki bu da ortak anahtarın yok olmasına neden olur. NAND depolama alanı silinmemiş olsa dahi, bu bile tek başına bilgileri, şifreleri çözülemez ve erişilemez hale getirir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.