iOS 16.XでロックされたApple Notesを復号化する

iOS 16.xでロックされたApple Notesを復号化する方法

オープンソースツールを使用したフォレンジックグレードのステップバイステップのワークフローで、iOS 16で保護されたApple Notesのロックを解除します。 このガイドでは、暗号化されたメモのコンテンツを復元するための実際のテクニックを、デジタル調査者に説明します。 商用ツールでは不十分な場合でも、このガイドでは、暗号化されたメモのコンテンツを復元するための実際のテクニックをデジタル調査者に紹介します。

• - から主要なメタデータを抽出する。 NoteStore.sqlite ロックされたエントリーを特定する
• - ユーザが設定したノート・パスワードをクラックする ハッシュキャット
• - AESキーの導出とアンラップ パイソン または サイバーシェフ
• - BLOBを復号化し、解凍して元の平文メモを復元する。
• - 暗号化されたApple NotesのGZIPとProtobufデータ構造を探る

このメソッドは、Appleデバイス上の暗号化されたアプリデータを扱うモバイルフォレンジックの専門家、ラボのアナリスト、調査官のために構築されています。以下のようなツールを使用します：

• - SQLite用DBブラウザ - 暗号フィールドの検索と抽出
• - サイバーシェフ - 鍵の導出、AESのアンラッピング、復号化
• - Pythonスクリプト - キー操作を自動化する（GitHubで入手可能）

注： この方法は iOS 16.x にのみ適用されます。AppleはiOS 17と18でNotesの暗号化を大幅に変更しました。

なぜ重要なのか

ロックされたアップルノートには、重要な証拠が含まれていることがよくあります。デフォルトのツール解析とは異なり、このアプローチはあなたを助けます：

• - 調査結果を手動で検証する
• - 報道用または法廷用の文書暗号構造
• - 標準的なフォレンジック・ツールの制限を回避する

リソース＆スクリプト

notes_to_hashcat.py
get_kek.py
unwrap.py

報告書の作成でもCTFの準備でも、このガイドは暗号化されたApple Notesを深く掘り下げるための技術的なワークフローを提供します。 フォレンジック・コンサルタントや、証拠を1バイト単位で管理することを求める専門家向けです。