Роль режима восстановления iPhone в мобильной криминалистике невелика, однако даже относительно небольшой объём информации, доступной в этом режиме, может иметь важное значение, если никакие другие способы анализа недоступны. Режим восстановления — один из немногих способов, позволяющих узнать достаточно информации об устройстве для составления официального запроса устройство в Apple, если устройство повреждено, заблокировано или отключено после десяти неудачных попыток разблокировки. Режим восстановления — один из немногих способов, доступных для устройств в режиме ограничения USB.

Перевод устройства в режим восстановления

В сети хватает инструкций о том, как можно перевести в режим восстановления то или иное устройство. Мы обнаружили, что многие такие инструкции избыточны, в том числе и официальная. Для перевода в режим восстановления выполните следующие действия.

1. iPhone 6s/SE и более старые модели, оборудованные физической кнопкой Домой. Исходное состояние устройства: выключено, не подключено к компьютеру. Действия: нажмите и удерживайте кнопку «Домой». Продолжая удерживать кнопку, подключите устройство к компьютеру кабелем Lightning. Продолжайте удерживать кнопку, пока на телефоне не отобразится экран режима восстановления.
2. iPhone 7, iPhone 7 Plus. Исходное состояние: устройство может быть включено или выключено; должно быть подключено к компьютеру. Действия: одновременно нажмите и удерживайте боковую кнопку (кнопку питания) и кнопку уменьшения громкости. Продолжайте удерживать их, пока не появится экран режима восстановления.
3. iPhone 8 и более новые модели. Исходное состояние: устройство может быть включено или выключено; должно быть подключено к компьютеру. Действия: нажмите и быстро отпустите кнопку увеличения громкости. Нажмите и быстро отпустите кнопку уменьшения громкости. Затем нажмите и удерживайте боковую кнопку (кнопку питания), пока не появится экран режима восстановления.

Данные, которые можно извлечь в режиме восстановления

Режим восстановления позволяет извлечь лишь ограниченное количество информации об устройстве.

Доступны следующие данные:

Device Model: iPhone8,1
Model: n71map
ECID: XXXXXXXXXXXXXXXX
Serial Number: XXXXXXXXXXX
IMEI: XXXXXXXXXXXXXXX
MODE: Recovery
iBoot: версия загрузчика
iOS version: версия или диапазон версий iOS

Пояснения:

• Device model и Model: идентификация модели устройства. К примеру, iPhone7,2 (n61ap), iPhone10,6 (d221ap) и т.п. Идентифицировать модель можно по следующей ссылке.
• ECID (UCID): XXXXXXXXXXXXXXXX. Идентификатор ECID (Exclusive Chip Identification) или Unique Chip ID (UCID) уникален для каждого конкретного устройства (а точнее, установленного в нём процессора).
• Serial Number: серийный номер устройства в формате XXXXXXXXXXX (или N/A)
• IMEI: XXXXXXXXXXXXXXX (или N/A). Обратите внимание: как правило, информация об IMEI устройства системой не выдаётся даже тогда, когда в него вставлена SIM-карта.
• Mode: индикация режима, в данном случае – Recovery, режим восстановления.
• iBoot: номер версии загрузчика. По этому номеру можно определить версию или диапазон версий iOS, под управлением которой работает устройство.
• iOS version: EIFT автоматически определит версию или диапазон версий iOS, установленной на устройстве. Определение основано на информации, доступной по ссылке.

Количество доступной информации не поражает воображение, однако её вполне достаточно, чтобы корректно оформить запрос в Apple. В целях расследования наибольший интерес, вероятно, представляет версия загрузчика. По версии загрузчика iBoot можно определить версию или диапазон версий iOS, что, в свою очередь, позволяет определить приблизительную дату последнего использования устройства, которая не может быть раньше выхода соответствующей версии iOS. Кроме того, таким образом можно определить, совместимо ли устройство с методом извлечения посредством эксплойта checkm8 (который сам по себе универсален и не привязан к версии iOS, однако как джейлбрейк checkra1n, так и продукты с поддержкой этого извлечения работают только с версиями iOS 12.3 и выше).

Elcomsoft iOS Forensic Toolkit 6.71 определяет версию iOS по версии загрузчика в автоматическом режиме. Также вы можете воспользоваться информацией из таблицы iBoot (Bootloader) — The iPhone Wiki. Для некоторых версий загрузчика нет точного соответствия конкретной версии iOS; в этом случае вы узнаете диапазон версий iOS, в которых использовалась данная версия загрузчика. В показанном на скриншоте выше примере версия загрузчика — iBoot-6723.42.4, которая использовалась в iOS версий 14.2 и 14.2.1.

Выход из режима восстановления

Процедура вывода устройства из режима восстановления также различается для разных поколений устройств. Самый простой способ вывести устройства из режима восстановления — просто отсоединить его от компьютера и отключить его, зажав и удерживая кнопку питания.

• Отсоедините кабель USB.
• Зажмите и удерживайте кнопку питания до отключения устройства.
• Чтобы включить устройство, продолжайте удерживать кнопку питания или отпустите, а потом снова зажмите эту кнопку.
• Отпустите кнопку питания. Устройство начнёт загружаться.

В случае, если штатным образом вывести устройство из режима восстановления не удаётся, воспользуйтесь следующей процедурой.

• iPhone 6s и более старые модели: зажмите и удерживайте кнопки «Домой» и кнопку выключения питания, пока устройство не перезагрузится.
• iPhone 7 и iPhone 7 Plus: удерживайте кнопку выключения питания и уменьшения громкости до перезагрузки.
• iPhone 8 и более новые: короткое нажатие Громкость+, короткое нажатие Громкость-, затем удерживать кнопку отключения питания до перезагрузки.