介绍
这篇文章主要介绍了怎么对已损坏的SQLite数据库取证分析,具有一定借鉴价值,感兴趣的朋友可以参考下,希望大家阅读完这篇文章之后大有收获、下面让小编带着大家一起了解一下。
<强> SQLite是当今最流行的数据库之一,许多移动应用台式计算机以及便携式笔记本上都用它来存储数据(例如桌面工具,浏览器以及社交媒体软件等),因此SQLite在电子取证当中也扮演着举足轻重的角色。取证网络浏览器,信使和其他数字证据来源。
市面上有许多支持对SQLite数据库分析取证的工具,例如磁铁公理,Belkasoft证据中心和BlackBag BlackLight等等。这些工具可以自动解析这些数据库,甚至可以从空闲列表和未分配空间中分割数据。此外,它们还提供了SQLite查看器,取证人员可以手动来分析数据库的类型。
那么对于那些已被损坏或破坏的数据库,我们又该如何取证呢?
我们在DFIR上收到了一个无法用任何工具打开的SQLite数据库。在此之前该数据库还曾被发送给供应商解决,但得到的答案是——并未在数据库中发现任何表格。
话不多说让我们直奔主题,该数据库名为:“contacts2。db”。如果你有足够的移动取证经验,那么你应该能猜到这是一个典型的Android数据库,其中包含了有关用户的联系人信息。
在我们手头有许多专业的取证工具包,因此我们决定使用最流行的取证工具来尝试打开它,其中包括有Belkasoft证据中心BlackBag BlackLight, Cellebrite佛罗里达大学物理分析器,SQLite数据库浏览器,磁铁公理和氧气法医侦探。但让我们感到惊讶的是,该数据库正如发布者所述,没有任何工具能打开它。如下截图所示:
