Роль режима восстановления iPhone в мобильной криминалистике невелика, однако даже относительно небольшой объём информации, доступной в этом режиме, может иметь важное значение, если никакие другие способы анализа недоступны. Режим восстановления — один из немногих способов, позволяющих узнать достаточно информации об устройстве для составления официального запроса устройство в Apple, если устройство повреждено, заблокировано или отключено после десяти неудачных попыток разблокировки. Режим восстановления — один из немногих способов, доступных для устройств в режиме ограничения USB.
Перевод устройства в режим восстановления
В сети хватает инструкций о том, как можно перевести в режим восстановления то или иное устройство. Мы обнаружили, что многие такие инструкции избыточны, в том числе и официальная. Для перевода в режим восстановления выполните следующие действия.
- iPhone 6s/SE и более старые модели, оборудованные физической кнопкой Домой. Исходное состояние устройства: выключено, не подключено к компьютеру. Действия : нажмите и удерживайте кнопку «Домой». Продолжая удерживать кнопку, подключите устройство к компьютеру кабелем Lightning. Продолжайте удерживать кнопку, пока на телефоне не отобразится экран режима восстановления.
- iPhone 7, iPhone 7 Plus . Исходное состояние: устройство может быть включено или выключено; должно быть подключено к компьютеру. Действия : одновременно нажмите и удерживайте боковую кнопку (кнопку питания) и кнопку уменьшения громкости. Продолжайте удерживать их, пока не появится экран режима восстановления.
- iPhone 8 и более новые модели . Исходное состояние: устройство может быть включено или выключено; должно быть подключено к компьютеру. Действия : нажмите и быстро отпустите кнопку увеличения громкости. Нажмите и быстро отпустите кнопку уменьшения громкости. Затем нажмите и удерживайте боковую кнопку (кнопку питания), пока не появится экран режима восстановления.
Данные, которые можно извлечь в режиме восстановления
Режим восстановления позволяет извлечь лишь ограниченное количество информации об устройстве.
Доступны следующие данные:
Device Model: iPhone8,1
Model: n71map
ECID: XXXXXXXXXXXXXXXX
Serial Number: XXXXXXXXXXX
IMEI: XXXXXXXXXXXXXXX
MODE: Recovery
iBoot: версия загрузчика
iOS version: версия или диапазон версий iOS
Пояснения:
- Device model и Model: идентификация модели устройства. К примеру, iPhone7,2 (n61ap), iPhone10,6 (d221ap) и т.п. Идентифицировать модель можно по следующей ссылке .
- ECID (UCID): XXXXXXXXXXXXXXXX. Идентификатор ECID (Exclusive Chip Identification) или Unique Chip ID (UCID) уникален для каждого конкретного устройства (а точнее, установленного в нём процессора).
- Serial Number: серийный номер устройства в формате XXXXXXXXXXX (или N/A)
- IMEI: XXXXXXXXXXXXXXX (или N/A). Обратите внимание: как правило, информация об IMEI устройства системой не выдаётся даже тогда, когда в него вставлена SIM-карта.
- Mode: индикация режима, в данном случае – Recovery, режим восстановления.
- iBoot: номер версии загрузчика. По этому номеру можно определить версию или диапазон версий iOS, под управлением которой работает устройство.
- iOS version: EIFT автоматически определит версию или диапазон версий iOS, установленной на устройстве. Определение основано на информации, доступной по ссылке .
Количество доступной информации не поражает воображение, однако её вполне достаточно, чтобы корректно оформить запрос в Apple . В целях расследования наибольший интерес, вероятно, представляет версия загрузчика. По версии загрузчика iBoot можно определить версию или диапазон версий iOS, что, в свою очередь, позволяет определить приблизительную дату последнего использования устройства, которая не может быть раньше выхода соответствующей версии iOS. Кроме того, таким образом можно определить, совместимо ли устройство с методом извлечения посредством эксплойта checkm8 (который сам по себе универсален и не привязан к версии iOS, однако как джейлбрейк checkra1n, так и продукты с поддержкой этого извлечения работают только с версиями iOS 12.3 и выше).
Elcomsoft iOS Forensic Toolkit 6.71 определяет версию iOS по версии загрузчика в автоматическом режиме. Также вы можете воспользоваться информацией из таблицы iBoot (Bootloader) — The iPhone Wiki . Для некоторых версий загрузчика нет точного соответствия конкретной версии iOS; в этом случае вы узнаете диапазон версий iOS, в которых использовалась данная версия загрузчика. В показанном на скриншоте выше примере версия загрузчика — iBoot-6723.42.4, которая использовалась в iOS версий 14.2 и 14.2.1.
Выход из режима восстановления
Процедура вывода устройства из режима восстановления также различается для разных поколений устройств. Самый простой способ вывести устройства из режима восстановления — просто отсоединить его от компьютера и отключить его, зажав и удерживая кнопку питания.
- Отсоедините кабель USB.
- Зажмите и удерживайте кнопку питания до отключения устройства.
- Чтобы включить устройство, продолжайте удерживать кнопку питания или отпустите, а потом снова зажмите эту кнопку.
- Отпустите кнопку питания. Устройство начнёт загружаться.
В случае, если штатным образом вывести устройство из режима восстановления не удаётся, воспользуйтесь следующей процедурой.
- iPhone 6s и более старые модели : зажмите и удерживайте кнопки «Домой» и кнопку выключения питания, пока устройство не перезагрузится.
- iPhone 7 и iPhone 7 Plus : удерживайте кнопку выключения питания и уменьшения громкости до перезагрузки.
- iPhone 8 и более новые : короткое нажатие Громкость+, короткое нажатие Громкость-, затем удерживать кнопку отключения питания до перезагрузки.