Восстановление удалённой переписки в Telegram на Mac и iPhone

[darw1n]

Привет всем
Возникла необходимость восстановить удалённую переписку в Telegram, которая была на Mac и iPhone.
Какие существуют методы для извлечения или восстановления этих данных, если:

1. Переписка была удалена на обоих устройствах
2. Неизвестно, сохранились ли следы данных на устройствах.

Интересуют профессиональные подходы, которые могут быть применены в рамках цифровой криминалистики. Буду благодарен за любые советы или информацию.


На Мак просмотрел тут ~/Library/Containers/ru.keepcoder.Telegram/Data ничего существенного не нашел.

 

[Che]

проще бросить ее и все)))))00))0

Восстановить нельзя, ведь телеграм "не хранит чаты на серверах" и бла-бла

 

[darw1n]

проще бросить ее и все)))))00))0

Я бы так и сделал, но, к сожалению, проблема лежит в другой области.

 

[systemer]

Я бы так и сделал, но, к сожалению, проблема лежит в другой области.

Финансовой ?

 

[Che]

Я бы так и сделал, но, к сожалению, проблема лежит в другой области.

тогда увы
(Часто 9 \10 просят чаты телеги из-за девок) )

 

[darw1n]

тогда увы
(Часто 9 \10 просят чаты телеги из-за девок) )

Если в отношениях нет прозрачности, а человек намеренно что-то скрывает или удаляет, возможно, лучше сосредоточить своё время и энергию на более значимых и интересных занятиях

 

[S1tr1p1o]

Восстановить переписку можно попробовать с помощью специального ПО типа Oxygen Forensic Detective или програмно-аппаратного комплекса Cellebrite UFED. Но этого нету в свободно доступе и на устройстве не должна пройти перезапись информации.

 

[tonorov]

проще бросить ее и все)))))00))0

Восстановить нельзя, ведь телеграм "не хранит чаты на серверах" и бла-бла

вообще то не хранит, есть сторонние телеграм клиенты (например ayugram) которые хранят все удаленные сообщения в чатах и личных сообщениях, думаю эти сообщения все же где то хранятся.

 

[falkone]

вообще то не хранит, есть сторонние телеграм клиенты (например ayugram) которые хранят все удаленные сообщения в чатах и личных сообщениях, думаю эти сообщения все же где то хранятся.

К сожалению, стороние клиенты не сохраняют сообщения, которые были написаны до установки этого клиента.
И Ayugram не доступен на IOS.

 

[onioncoder]

Никак, тг после удаления переписки с обоих устройств удаляет и со своего сервера (они так говорят), но я думаю что все таки они логируют чаты (как минимум сообщения). Вывод я сделал из за поста одного обитателя данного форума. Он утверждал что есть сервис который логирует все аватарки, имена и прочее. С таким утверждением можно сделать вывод что тг не хранит информацию, а какие то другие сервисы — да) Посоветуйся с специалистами из ФСТЭКа или из такого рода деятельности людьми. Возможно они владеют такой информацией и уже с помощью них ты чудом вытащишь переписку.

 

[lazyload]

проще бросить ее и все)))))00))0

Восстановить нельзя, ведь телеграм "не хранит чаты на серверах" и бла-бла

Читал новости, что на телефонах сотрудники органов восстанавливают переписки из телеграмма, но проверить это на самом деле никак нельзя к сожалению, более открытой информации нигде не нашел

 

[Svetilo inc]

Попробуй что нить из этого, жпт выдал:

Восстановление удалённых данных из Telegram в рамках цифровой криминалистики требует системного подхода. Вот ключевые методы и рекомендации:

---

### **1. Для macOS**
#### a) Поиск артефактов в файловой системе
- **Актуальные пути к данным**:
- `~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram` (основное хранилище)
- `~/Library/Containers/ru.keepcoder.Telegram/Data/Library/Application Support` (для старых версий)
- **Инструменты**:
- Используйте **DB Browser for SQLite** для анализа файлов `tgdata.sqlite` или `cache.db`.
- Поиск удалённых записей через **SQL-запросы** к базам данных (например, таблицы `messages_old`).
- **Фоторекавери-утилиты** (например, R-Studio, Disk Drill) для восстановления удалённых файлов из свободного пространства диска.

#### b) Анализ резервных копий
- Проверьте **Time Machine** или облачные бэкапы (iCloud, Backblaze).
- Изучите **локальные снэпшоты** через `tmutil listlocalsnapshots /`.

#### c) Оперативная память и временные файлы
- Если устройство не перезагружалось, используйте **Volatility** или **Rekall** для дампа RAM (актуально для живых систем).

---

### **2. Для iPhone**
#### a) Физический и логический дамп
- **Инструменты**:
- **Cellebrite UFED** или **Elcomsoft iOS Forensic Toolkit** (требуется доверенный компьютер и пароль устройства).
- **iTunes/Finder-бэкапы**: Анализ файлов `ChatStorage.sqlite` в бэкапе через **iMazing** или **SQLite Browser**.

#### b) Ключевые артефакты
- **Файлы кэша**: `Library/Caches/Telegram` (могут содержать временные медиа).
- **Уведомления**: Проверьте журналы уведомлений в `Library/Application Support/NotificationCenter`.

#### c) iCloud-бэкапы
- Если включена синхронизация с iCloud, восстановите данные через **последний бэкап** (требуется доступ к Apple ID).

---

### **3. Общие методы криминалистики**
- **Секретные чаты**: Не подлежат восстановлению (E2E-шифрование, данные не сохраняются в облаке).
- **Сетевые артефакты**:
- Анализ трафика через Wireshark (если есть доступ к сетевому журналу).
- Поиск метаданных в **Telegram Desktop Logs** (`~/Library/Logs/Telegram`).
- **Серверные данные**: Официально Telegram не предоставляет доступ к удалённым сообщениям, но можно запросить **судебный запрос** через правоохранительные органы (для аккаунтов без секретных чатов).

---

### **4. Критические шаги**
1. **Изоляция устройств**:
- Прекратите использование Mac и iPhone.
- Создайте **образ диска** (например, через **FTK Imager** или **dd**) для анализа без модификации оригинала.
2. **Хеширование**: Зафиксируйте хеши файлов для доказательной базы.
3. **Журналирование**: Документируйте все действия для соблюдения процессуальных норм.

---

### **5. Ограничения**
- **Шифрование**: Данные Telegram на iOS защищены аппаратным шифрованием (Secure Enclave). Без пароля/биометрии доступ крайне сложен.
- **Перезапись данных**: Чем активнее использовалось устройство после удаления, тем ниже шансы на восстановление.

---

### **Рекомендуемые инструменты**
- **macOS**: Autopsy, Sleuth Kit, Hex Editor Neo.
- **iOS**: GrayKey, Belkasoft Evidence Center.
- **Общие**: Magnet AXIOM, Oxygen Forensic Detective.

Если данные критичны, рекомендую обратиться к профессиональным криминалистам с лицензией на работу с инструментами класса Cellebrite или MSAB.

 

[S1tr1p1o]

Специалисты с доступом к UFED могут сделать дамп памяти айфона и востановить удаленные сообщения. Если на ячейку памяти не была произведена перезапись

 

[Dron]

програмно-аппаратного комплекса Cellebrite UFED

Этим софтом действительно можно выкопать как сообщения так и thumbnail отправленных изображений. Своими глазами видел что это возможно. Сама же телега скорей всего и не хранит сообщения особенно удаленные с обоих устройств, но на аппаратной части iOS остаются следы.