Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5

Iphone Forensik - Datenwiederherstellung
#21

Jetzt habe ich mal in den Quellcode von irecovery geschaut und dort keinen Hinweis darauf gefunden, dass ausser Send, help und exit befehle zur Verfügung stehen. Fsboot funktioniert ja aber trotzdem. Ausserdem gibt es die Befehle stop und go mit denen man Prozesse wohl starten kann. Die stehen aber wohl nur im DFU Modus zur Verfügung. Ausserdem hat man mit md eine Poke-Funktion.
???
Ich bin mir nun fast sicher, dass man das Iphone aus dem Wartungsmosdus kicken können müsste, mir fehlt nur der entscheidende Hinweis.
Zitieren
#22

hast Du den post 20 gesehen, es gibt mehr...

Der Grund, dass du nichts im Quellcode siehst ist, dass Du mit iBoot auf dem iPhone kommunizierst, das ist nur ein Fenster in den boot-Manager.
Zitieren
#23

Danke für den reply.
Leider das gleiche Ergebnis.
Mir ist noch aufgefallen, dass ausgegeben wird "Boot Failure Count:4" Kann man den Zähler zurücksetzen ?

Hast Du eine Ahnung, wer mir sonst weiterhelfen kann, evt. mit Eingriff in die Hardware ?
Zitieren
#24

Hmm. Ich bin auf http://code.google.com/p/chronicdev/wiki/BootSequence
gestossen und habe gesehen, dass neben setenv auch getenv und clearenv zur Verfügung steht.
Leider weiss ich zu wenig über iboot um Beurteilen zu können, was geht und was ich besser lassen sollte. Mir scheint nur, dass man schon noch ein bischen schrauben könnte.
Zitieren
#25

Das würde ich lassen. das Problem ist, abseits der Befehle, die Du genommen hast, dass Du halt in iBoot rumfummelst, das kann deutlich ins Auge gehen, sorry
Zitieren
#26

Jetzt wird es spannend:
Schau mal hier: http://code.google.com/p/chronicdev/wiki/iBootCommands

Nun würde ich mir vorstellen, dass bei mir die "NVRAM variables" geschrottet sind.
fsboot will check the 'boot-path' NVRAM variable, and boot that kernel, into the partition specified in the 'boot-partition' variable, on the 'boot-device' device.
Defaults: boot-path = /System/Library/Caches/com.apple.kernelcaches/kernelcache.s5l8900 (iPhone / iPod Touch / iPhone 3G), or it will be kernelcache.s5l8720x on the iPod Touch 2G.
boot-partition = Partition 0
boot-device = nand0

Da müsste doch was gehen.
Ich denke, bei mir ist die Variable "boot-path" verbogen.
Richtig müsste sie wohl boot-path = /System/Library/Caches/com.apple.kernelcaches/kernelcache.s5l8900 heissen.
Wie wäre es mit:

setenv boot-path = /System/Library/Caches/com.apple.kernelcaches/kernelcache.s5l8900
saveenv
fsboot

Soll ich mich mal trauen ?
Zitieren
#27

Ich weiß nicht-----
Falls das teil komplett fubar geht, musste ein restore machen, dann sind die Bilder weg.
Zitieren
#28

Was habe ich denn noch für Optionen ?
Kennst Du jemanden der evt. auch nach einem Restore die Fotos retten kann ?
Oder alternativ mir in dieser Situation sagen kann was zu tun ist ?
Auf "getenv bootpath" antwortet irecovery mit "tenv <var>
Was soll mir das sagen ?
Zitieren
#29

Auf "getenv boot-partition" antwortet irecovery mit ""
Zitieren
#30

Das Teil scheint schwer zu hängen. Ich weiß auch keinen tipp mehr mit iRecovery, sorry.
Nach einem Restore musst Du eine spezielle custom firmware bauen, das ist ein Mega-Terminalgehacke. Die darf keine Daten zerhauen und muss die Tools haben, um Daten wiederherzustellen. ich hab das einmal unter Firmware 2.1 gemacht und mir geschworen, das nie wieder zu tun.
Jonathan A. Zdziarski alias NerveGas hat dazu ein ganzes Buch verfasst (http://www.zdziarski.com/), das Buch heißt iPhone Forensics. Schau mal auf der site, dann bekommst Du ne Idee.
Zitieren
#31

Das Buch klingt wirklich sehr interessant. Habe ich es richtig verstanden, dass dort erläutert wird wie die custom firmware gebaut wird ?
Ehrlich gesagt, würde ich gerne lieber EUR auf den Tisch legen als zu fregglen, obwohl es schon sehr interessant ist.

Kann ich Dich mit EUR locken ? 100 ? Alternativ biete ich Dir eine echte!!! Advocard. Als Advokat kann ich schon hin und wieder weiterhelfen.
Oder ...
setenv boot-path /System/Library/Caches/com.apple.kernelcaches/kernelcache.s5l8900
saveenv
fsboot

Ich wüsste zu gerne wie der boot-path derzeit ist, wenn der verbogen wäre, würde ich mich trauen:
Zitieren
#32

(29.04.2009, 23:05)loa4 schrieb:  Das Buch klingt wirklich sehr interessant. Habe ich es richtig verstanden, dass dort erläutert wird wie die custom firmware gebaut wird ?
Ehrlich gesagt, würde ich gerne lieber EUR auf den Tisch legen als zu fregglen, obwohl es schon sehr interessant ist.

Es wird erläutert, gibt sogar viele der benötigten dateien, die allerdings bei jeder firmware anders sind. Ich hab seit fw 2.1 nix mehr damit gemacht, sollte aber weiter aktuell sein.
Ich bin leider in meinem real-life-job derart eingespannt, dass ich da nicht aushelfen kann. Wenn ich auch noch meine Sonntage opfere, krieg ich nen Kopfschuss von meiner Freundin - im besten Falle.
Ich kann mal die Tage schauen, ob die Daten für die Custom Firmware jemand hat, den ich kenne. Das wäre dann ein Anfang. Allein das Wiederherstellen dauert dann noch Stunden und Tage, ist aber nur zeitaufwändig.
Zitieren
#33

TX schon jetzt .... mal schauen was geht.
via: loa@gmx.de und Skype:loa4you
Zitieren
#34

Hab doch noch die Adresse mit Befehlen für iBoot gefunden, hier isse
http://www.iphonelinux.org/index.php/IBooter
ist zwar für ibooter, gilt aber natürlich ebenso für iRecovery.
Zitieren
#35

Danke für den Link.
Habe eben mit printenv die Env ausgelesen.
Der war OK: boot-path /System/Library/Caches/com.apple.kernelcaches/kernelcache.s5l8900
Aber Dein Tipp und Ansatz war richtig: auto-boot war false
Habe daraufhin auto-boot nocheinmal auf true gesetzt und statt mit fsboot mit reboot neu gestartet.
Nun dachte ich zunächst Success, was sich leider nicht bestätigte. Aber es gibt neue Hinweise.

Das Iphone wurde nach reboot sofort ge-boot-et (fsboot verzögert etwa 15sek)
Es erschien der Apfel und blieb eine ganze Zeit - alles schien wieder OK.
Dann verschwand der Apfel wieder - Kam sofort wieder und das Iphone sprang in den Wartungsmodus.
Mit Irecovery nachgeschaut und .... autoboot war wieder false ...
Irgendetwas sorgt also dafür, dass der Wartungsmodus während des bootens wieder aktiviert wird. Ich habe schon gedacht, dass die Home-Taste oder der USB Stecker defekt sein könnten. Habe den Stecker daher so schnell es ging nach dem reboot entfernt. Kein Ergebnis.

Danke noch einmal bis hierher
Printenv wirft auch plattform-uuid <Data> aus. Was das wohl ist ?
Googlen hat geholfen. UUID Ist für mein Problem nicht interessant.
http://www.computerbase.de/lexikon/Unive...Identifier

Vor Auto-boot steht wie vor verschiedenen anderen Env ein 'P' heisst das protected ?
Zitieren
#36

Habe noch eine Alternativliteratur entdeckt bei dem Teil ist eine DVD mit Code + Programmen enthalten. Ich fürchte allerdings nur für MAC OS:

Macintosh OS X, iPod, and iPhone Forensic Analysis DVD Toolkit

Läuft MAcOS eigentlich unter VMWare ?
Zitieren
#37

Ich denke, das sollte gehen mit VM ware, hab es allerdings nie probiert.

Ich hab noch etwas gefunden, dass interessant sein könnte, geht zwar um einen iPod Touch, ist aber dieselbe Kiste
Da sind die env Variablen beim Restore nicht zurückgesetzt worden, deshalb hängt das Teil am Apple Logo. Kurz zusammengefasst:

iRecovery -s
clearenv 1
setenv boot-path
setenv auto-boot true
saveenv

und dann reboot

das alle alle Probleme nach einem Restore oder bei Fehler im Restore Modus beseitigt.

iTunes setzt "setenv auto-boot FALSE" beim Restore - das ist der Status bei Dir, da ist das iPhone hängen geblieben - der iPod bootet nicht, Dein iPhone auch nicht.
"clearenv 1" löst das Problem auf, indem alle env gelöscht werden und "setenv boot-path" setzt den boot-path richtig
Das klingt logisch, ich würde es mal testen.


Und noch einen, den hab ich noch nicht getestet, es aber gelesen. Ist auf Deinem iPhone OpenSSH installiert und am Laufen? Wenn ja, mach mal fsboot und versuch, dich per WinSCP einzologgen. falls das klappt, findest Du deine Bilder ja wieder.
Zitieren
#38

Probier ich, danke. Habe gerade kein Xp-Rechner den ich für irecovery brauche.
Danke
Zitieren
#39

Du meinst doch:
iRecovery -s
clearenv 1
setenv boot-path /System/Library/Caches/com.apple.kernelcaches/kernelcache.s5l8900
setenv auto-boot true
saveenv
fsboot
????
Zitieren
#40

boot-path reicht - angeblich. Ich würde es mal so versuchen.
versuch es mal so und reboot am Ende. die Alternative bleibt ja immer noch ;-)
Zitieren


Möglicherweise verwandte Themen…
Thema / Verfasser Antworten Ansichten Letzter Beitrag



Benutzer, die gerade dieses Thema anschauen: 8 Gast/Gäste