iPhone’daki Silinmiş Verileri Kurtarmak İçin 5 Yöntem

iOS işletim sisteminde, lokal olarak ya da bulutta bir yedeğiniz olmadığı sürece, herhangi bir veriyi kurtarma olasılığınız çok düşüktür. Ancak buna rağmen herhangi bir yedeğiniz olmasa bile, verilerinizi kurtarmanıza imkan tanıyan bazı yöntemler de mevcut. iPhone kullanıcıları, belirli koşullar sağlandığı takdirde aşağıda bahsedeceğimiz veri türlerini kurtarma şansına sahipler.

1. SQLite Veri Tabanlarından Silinen Kayıtlar

Apple, pek çok türde kullanıcı verisini çeşitli veri tabanlarında SQLite formatında saklıyor. Bir kullanıcı; mesajlar uygulamasından bir iMessage, bir Safari yer işareti ya da bir geçmiş öğesi gibi herhangi bir kaydı sildiğinde, performans değerlendirmeleri nedeniyle bu kayıt SQLite veri tabanında hemen silinmez. Bunun yerine, SQLite motoru kaydı “silindi” olarak işaretler, sayfayı kullanılmamış olarak işaretler ve “serbest listeye” bir referans ekler. Bu tür silinen kayıtlar, bir süre için SQLite “serbest listelerinde” saklanabilir ve bu durum da veri kurtarma araçlarının verileri kurtarmayı deneyebilmelerine olanak sağlar.



SQLite veri tabanından herhangi bir veriyi kurtarma yöntemi yalnızca şu durumlarda işe yarar:

• Etkilenmiş olan SQLite veri tabanını düşük seviyeli bir çıkarma aracıyla çıkarabilmiş olmalısınız. (Bunun için cihazınıza jailbreak uygulamanız ya da Elcomsoft iOS Forensic Toolkit‘i kullanmanız gerekir.)
• Veri tabanının kendisinin temizlenmemiş ya da birleştirilmemiş olması gerekir. Çünkü bu iki durumdan herhangi biri gerçekleştiğinde, silme işlemi kalıcı hale gelmiş olur.
• Yeterince hızlı olmalı ve kayıt silindikten sonra etkilenmiş olan veri tabanını saniyeler içerisinde çıkarmalısınız. Çünkü iOS 12‘den beri sistem, kayıtları silindikten hemen sonra kalıcı olarak siler. Bu nedenle iOS 12 ve daha yeni sürümlerde silinmiş olan SQLite kayıtlarını kurtarmanızın pek mümkün olmadığını söylememiz gerek.

Uzun lafın kısası, SQLite’tan veri kurtarma yöntemi, artık silinen iMessage’lar, Safari yer işaretleri, sekmeler ve geçmiş ya da SQLite veri tabanlarında depolanan diğer veri türleri için geçerli değildir.

2. WAL Dosyalarının İçerisindeki Veriler

Yukarıda da sizlere bahsetmiş olduğumuz gibi, iOS’un en son sürümleri bile SQLite veri tabanlarını hızlı bir şekilde temizleyerek silinen kayıtların (mesajlar, arama kayıtları veya kişiler) kurtarılmasının önüne geçiyor. Ancak buna rağmen SQLite veri tabanlarının verilerinizi kurtarmanıza olanak sağlayacak başka bir özelliği daha mevcut. SQLite, yeni kayıtları WAL dosyaları içerisinde tutar. Bu tür birleştirilmemiş kayıtlar silinirse, ana veri tabanı ile birleştirildikleri ana kadar ilgili WAL dosyalarında tutulurlar. Bu da silinmiş ve  birleştirilmemiş olan bazı kayıtların kurtarılabilecekleri anlamına gelmekte.



WAL dosyaları içerisinde tutulan herhangi bir veriyi kurtarma yöntemi yalnızca şu durumlarda işe yarar:

• Dosya sistemine düşük seviyeli erişime sahip olmalısınız. (Bunun için cihazınıza jailbreak uygulamanız ya da Elcomsoft iOS Forensic Toolkit’i kullanmanız gerekir.)
• WAL dosyalarının hala birleştirilmemiş olması gerekir.
• Kaydın silindiği zaman ile çıkarma zamanı arasında bir iTunes yedeği oluşturmamış olmanız gerekir. Çünkü iTunes yedeği oluşturmaya başladığınız anda WAL dosyaları, ilgili ana veri tabanlarıyla birleştirilir ve silinen kayıtlar kaybolur. Ancak medya dosyaları bu konuda istisnadır. iOS Forensic Toolkit aracılığıyla medya dosyalarını (iPhone, iPad, Apple Watch ve Apple TV modelleri de dahil olmak üzere her türlü cihazdan) çıkarırken birleştirilmemiş WAL dosyaları da alırsınız. Bu, bazı görüntü meta verilerinin kurtarılmasına olanak sağlar.

3. Eski Lokal Yedeklerde Tutulan Veriler

Lokal bir yedeğe sahipseniz, buradaki asıl sorun, tüm yedeklemeyi bazı iOS cihazlarına geri yüklemeden verilere nasıl erişileceğidir. Elcomsoft Phone Viewer da dahil olmak üzere piyasada yerel yedeklerin içeriğini ayrıştırmaya, tek tek dosyaları ve veri tabanı kayıtlarını (örneğin mesajlar veya günlük girişleri) görüntülemeye ya da çıkarmaya imkan tanıyan çok sayıda araç vardır.



Bununla birlikte eğer iTunes yedeklemeniz parola korumalıysa, daha fazla bilgiye erişebileceğinizi de aklınızda bulundurun. Veri kurtarma amacıyla bir parola ayarlamak için artık çok geç olsa da, güvenlik amacıyla güçlü bir yedekleme parolası ayarlamanız çok büyük önem taşıyor.

4. Eski iCloud Yedeklerinde Bulunan Veriler

Bu veri kurtarma yöntemi de öncekine benziyor ancak tam olarak aynı değil. Bulut yedekleriniz varsa, Elcomsoft Phone Breaker ile indirebileceğiniz ve Elcomsoft Phone Viewer ile analiz edebileceğiniz verilerinizin eski kopyalarına sahip olabilirsiniz. Özellikle Apple, son iki iCloud yedeklemenizi (eskiden üç taneydi) saklayarak en eskisini indirmenizi mümkün kılıyor.



iCloud yedeklemesinin lokal yedeklemelere kıyasla başka farklılıkları da var. Örneğin iCloud Fotoğraf Kitaplığı‘nı etkinleştirirseniz, iCloud yedekleriniz fotoğraf içermez (bu ayar için manuel geçersiz kılma vardır). Bunun yanı sıra senkronizasyon ayarlarınıza ve cihazınızın iOS sürümüne bağlı olarak, başka türde senkronize edilmiş verileri de içermezler. Aynı zamanda iCloud yedeklemeleri, aşağıdakilerden hiçbirini de içermezler:

• Anahtarlık *
• Sağlık verileri
• Ev verileri
• iCloud Fotoğrafları **
• Mesajlar **
• iOS 13’ten beri: Çağrı günlükleri
• iOS 13’ten beri: Safari geçmişi

* Aslında anahtarlık, iCloud yedeklerinin içerisinde yer alır ancak cihaza özel bir anahtar kullanılarak şifrelenir. Tam olarak aynı cihaza geri yükleme yapmadığınız takdirde, iCloud yedeklerinden anahtarlık öğelerine erişemezsiniz.

** Mesajlar, cihaz ayarlarında bu kategorilerin iCloud senkronizasyonu etkinleştirilmediği sürece iCloud yedeklemelerine dahil edilmez. Fotoğraflar, hem senkronize edilmiş hem de yedek sürümleri tutmanıza olanak sağlayan bir manuel geçersiz kılma özelliğine sahiptir.

5. Senkronize Edilmiş Veriler

iPhone’lar pek çok veri türünü iCloud ile senkronize edebilirler. Ancak bunun için senkronizasyonun gerçek zamanlı olarak veya buna çok yakın bir şekilde gerçekleşmesi gerekiyor. Böyle durumlarda iPhone’nunuzdan sildiğiniz her şey buluttan da silinecektir, ancak tabii ki bununla ilgili bazı istisnai durumlar mevcut. Senkronize edilebilir bir öğeyi sildiğiniz zaman ile o veriyi kurtarmayı denediğiniz zaman arasında iPhone’unuz internete bağlı değilse, bu durum çok büyük bir ihtimalle söz konusu veriyi kurtarabileceğiniz anlamına gelir. Bununla birlikte bir süre geçtikten sonra bile kurtarmaya izin verecek senkronizasyon gecikmeleri yaşanabilir.



Sildiğiniz verilerin iCloud’da tutulma süresiyle ilgili olarak bazı istisnalar da var. Bazı kategoriler (fotoğraflar ve notlar bunlara dahil, ancak başka kategoriler de olabilir), silinmiş olan klasörden kaldırıldıktan sonra uzun bir süre (genellikle yaklaşık olarak 2 ya da 3 hafta) iCloud’da kullanılabilir durumda kalır. Hatta birkaç yıl önce, Apple bu tür dosyaları süresiz olarak saklardı.

Neden iPhone’unuzdan Sildiğiniz Dosyaları Kurtaramazsınız?

Dosya sistemine erişiminiz olsa dahi silinmiş olan verileri aramak için boş alan açamazsınız. Çünkü Apple, iOS 4‘ten beri dosya sistemini şifreliyor ve iOS 8‘den beri de şifreleme anahtarları, kullanıcının şifresini temel alıyor. Yani kullanıcı bölümündeki dosyalar (görüntüler, SQLite veri tabanları ve bunlara benzer şeyler) şifreli. Üstelik her dosya, siz dosyayı sildikten hemen sonra silinecek olan ayrı bir anahtarla şifrelenir.

iOS dosya sistemi (Apple, cihazlar arasında APFS kullanır; bazı eski iOS 10.3 öncesi cihazlar ise HFS+ kullanırlar) aşağıda belirtmiş olduğumuz özellikleri barındırır:

• Hemen hemen her şey şifrelidir.
• Her dosya kendi benzersiz anahtarıyla şifrelenir.
• Tüm şifreleme anahtarları başka bir ortak anahtarla şifrelenir.
• Bu ortak anahtar, ilk kilit açma sırasında kullanıcılar parolalarını girdiklerinde hesaplanır.

Herhangi bir dosya silindikten sonra, iOS, dosyanın meta verilerinden ilgili dosya anahtarını da siler. Bunun bir sonucu olarak silinmiş olan dosyanın daha önce bulunduğu veri bloklarını okusanız bile, dosya anahtarı olmadan dosyanın şifresini çözemezsiniz.

Cihazınızı varsayılan ayarlarına (“Tüm verileri sil” seçeneği) döndürürseniz, “Silinebilir Depolama Alanı” silinir ki bu da ortak anahtarın yok olmasına neden olur. NAND depolama alanı silinmemiş olsa dahi, bu bile tek başına verileri, şifreleri çözülemez ve erişilemez hale getirir.

Iclouda yüklenilmemiş verilerde bahsedilen yöntemleri işe yarar mı? Yıllar önce kullanmış olduğum ıphone 7 vardı. Yeni telefona geçiş yaptığımda onu sıfırlamıştım ve tüm bilgilerim de onunla beraber gitmişti nedense. Diğer telefonuma da senkronize olmadı malesef . İçinde yüzlerce fotoğrafım vardı onlara tekrar ulaşabilmek benim için çok iyi olurdu.