iOS 16.X에서 잠긴 Apple 노트 암호 해독하기

iOS 16.x에서 잠긴 Apple 메모를 해독하는 방법

오픈 소스 도구를 사용해 포렌식 등급의 단계별 워크플로우로 iOS 16에서 보호된 Apple 노트를 잠금 해제하세요. 이 가이드는 디지털 수사관에게 암호화된 노트 콘텐츠를 복구하는 실제 기술을 안내합니다. 상용 도구로는 부족할 때에도 말이죠.

• - 다음에서 주요 메타데이터를 추출합니다. NoteStore.sqlite 를 클릭하고 잠긴 항목을 식별합니다.
• - 다음을 사용해 사용자가 설정한 노트 비밀번호를 해독하세요 해시캣
• - 다음을 사용하여 AES 키를 도출하고 래핑 해제합니다. Python 또는 사이버 셰프
• - 원본 일반 텍스트 노트를 복구하려면 BLOB의 암호를 해독하고 압축을 풉니다.
• - 암호화된 Apple Notes의 GZIP 및 Protobuf 데이터 구조 살펴보기

이 방법은 Apple 기기에서 암호화된 앱 데이터를 다루는 모바일 포렌식 전문가, 연구소 분석가 및 수사관을 위해 만들어졌습니다. 다음과 같은 도구를 사용하게 됩니다:

• - SQLite용 DB 브라우저 - 를 사용하여 암호화 필드를 찾고 추출합니다.
• - 사이버 셰프 - 키 파생, AES 언래핑 및 디코딩을 위해
• - Python 스크립트 - 를 사용하여 주요 작업을 자동화할 수 있습니다(깃허브에서 사용 가능).

참고: 이 방법은 iOS 16.x에만 적용됩니다. Apple은 iOS 17과 18에서 노트 암호화를 크게 변경했습니다.

중요한 이유

잠긴 Apple 노트에는 종종 중요한 증거가 포함되어 있습니다. 기본 도구 구문 분석과 달리 이 접근 방식은 도움이 됩니다:

• - 수동으로 결과 유효성 검사
• - 보고 또는 법원을 위한 문서 암호화 구조
• - 표준 포렌식 도구의 제한 사항 해결

리소스 및 스크립트

notes_to_hashcat.py
get_kek.py
unwrap.py

이 가이드는 보고서를 작성하든 CTF를 준비하든, 암호화된 Apple 노트를 심층적으로 분석할 수 있는 기술 워크플로우를 제공합니다. 모든 바이트의 증거를 제어해야 하는 포렌식 컨설턴트 및 전문가를 위한 가이드입니다.