怎么對(duì)已損壞的SQLite數(shù)據(jù)庫(kù)取證分析

這篇文章主要介紹了怎么對(duì)已損壞的SQLite數(shù)據(jù)庫(kù)取證分析，具有一定借鑒價(jià)值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

SQLite是當(dāng)今最流行的數(shù)據(jù)庫(kù)之一，許多移動(dòng)應(yīng)用臺(tái)式計(jì)算機(jī)以及便攜式筆記本上都用它來(lái)存儲(chǔ)數(shù)據(jù)（例如桌面工具、瀏覽器以及社交媒體軟件等），因此SQLite在電子取證當(dāng)中也扮演著舉足輕重的角色。取證網(wǎng)絡(luò)瀏覽器，信使和其他數(shù)字證據(jù)來(lái)源。

市面上有許多支持對(duì)SQLite數(shù)據(jù)庫(kù)分析取證的工具，例如Magnet AXIOM，Belkasoft Evidence Center和BlackBag BlackLight等等。這些工具可以自動(dòng)解析這些數(shù)據(jù)庫(kù)，甚至可以從空閑列表和未分配空間中分割數(shù)據(jù)。此外，它們還提供了SQLite查看器，取證人員可以手動(dòng)來(lái)分析數(shù)據(jù)庫(kù)的類型。

那么對(duì)于那些已被損壞或破壞的數(shù)據(jù)庫(kù)，我們又該如何取證呢？

我們?cè)贒FIR上收到了一個(gè)無(wú)法用任何工具打開(kāi)的SQLite數(shù)據(jù)庫(kù)。在此之前該數(shù)據(jù)庫(kù)還曾被發(fā)送給供應(yīng)商解決，但得到的答案是 - 并未在數(shù)據(jù)庫(kù)中發(fā)現(xiàn)任何表格。

話不多說(shuō)讓我們直奔主題，該數(shù)據(jù)庫(kù)名為：“contacts2.db”。如果你有足夠的移動(dòng)取證經(jīng)驗(yàn)，那么你應(yīng)該能猜到這是一個(gè)典型的Android數(shù)據(jù)庫(kù)，其中包含了有關(guān)用戶的聯(lián)系人信息。

在我們手頭有許多專業(yè)的取證工具包，因此我們決定使用最流行的取證工具來(lái)嘗試打開(kāi)它，其中包括有Belkasoft Evidence Center，BlackBag BlackLight，Cellebrite UFED Physical Analyser，SQLite數(shù)據(jù)庫(kù)瀏覽器，Magnet AXIOM和Oxygen Forensic Detective。但讓我們感到驚訝的是，該數(shù)據(jù)庫(kù)正如發(fā)布者所述，沒(méi)有任何工具能打開(kāi)它。如下截圖所示：

Belkasoft Evidence Center

BlackBag BlackLight

Cellebrite UFED Physical Analyzer

SQLite數(shù)據(jù)庫(kù)瀏覽器

Magnet AXIOM

Oxygen Forensic Detective

正如你所看到的沒(méi)有任何工具可以打開(kāi)它。那么接下來(lái)我們?cè)撛趺醋瞿?？讓我們回到最開(kāi)始！

首先，我們進(jìn)入到SQLite的官方網(wǎng)站，并下載用于管理數(shù)據(jù)庫(kù)文件的命令行工具。

接著我們提取存檔內(nèi)容并將數(shù)據(jù)庫(kù)放到相同的文件夾下（可選）。

啟動(dòng)Windows命令提示符并將目錄更改為提取SQLite命令行工具的目錄。

運(yùn)行以下命令序列：

sqlite3.exe database_name.db

.mode insert

.output database_dump.sql

.dump

.exit

現(xiàn)在你有一個(gè)包含dump數(shù)據(jù)庫(kù)表的SQL文件。如果運(yùn)氣好的話，你則可以刪除事務(wù)語(yǔ)句，比如BEGIN TRANSACTION和ROLLBACK，并將文件導(dǎo)入到一個(gè)新的SQLite數(shù)據(jù)庫(kù)中，例如，使用SQLite數(shù)據(jù)庫(kù)瀏覽器。但由于該數(shù)據(jù)庫(kù)受損嚴(yán)重，所以我們必須手動(dòng)檢查文件并將感興趣的表保存在單獨(dú)的SQL文件中。

例如，我們找到'accounts'表，它看起來(lái)像下面這樣：

CREATE TABLE accounts (_id INTEGER PRIMARY KEY AUTOINCREMENT,account_name TEXT, account_type TEXT, data_set TEXT);
INSERT INTO accounts VALUES(1,’vnd.sec.contact.phone’,’vnd.sec.contact.phone’,NULL);
INSERT INTO accounts VALUES(2,’primary.sim.account_name’,’vnd.sec.contact.sim’,NULL);
INSERT INTO accounts VALUES(4,’vnd.sec.contact.agg.account_name’,’vnd.sec.contact.agg.account_type’,NULL);
INSERT INTO accounts VALUES(506,’test@gmail.com’,’com.google’,NULL);
INSERT INTO accounts VALUES(538,’WhatsApp’,’com.whatsapp’,NULL);
INSERT INTO accounts VALUES(655,’test’,’com.yandex.passport’,NULL);
INSERT INTO accounts VALUES(656,’+7 903 000-00-00′,’com.yandex.passport’,NULL);
INSERT INTO accounts VALUES(657,’+7 925 000-00-00′,’com.yandex.passport’,NULL);
INSERT INTO accounts VALUES(658,’+7 978 000-00-00′,’com.yandex.passport’,NULL);
INSERT INTO accounts VALUES(672,’test’,’com.vkontakte.account’,NULL);
INSERT INTO accounts VALUES(677,’+7 968 000-00-00′,’com.yandex.passport’,NULL);
INSERT INTO accounts VALUES(687,’Youla account’,’com.allgotitm.youla’,NULL);
INSERT INTO accounts VALUES(792,’+7 968 000-00-00′,’com.viber.voip’,NULL);

我們將它保存到一個(gè)單獨(dú)的SQL文件中，并使用SQLite數(shù)據(jù)庫(kù)瀏覽器創(chuàng)建數(shù)據(jù)庫(kù)。

創(chuàng)建過(guò)程如下：

• 打開(kāi)SQLite數(shù)據(jù)庫(kù)瀏覽器。

• 從SQL文件轉(zhuǎn)到文件 - 導(dǎo)入 - 數(shù)據(jù)庫(kù)...

• 選擇SQL文件中你感興趣的表。

• 選擇要?jiǎng)?chuàng)建的數(shù)據(jù)庫(kù)的名稱。

• 現(xiàn)在你可以瀏覽數(shù)據(jù)并使用簡(jiǎn)單的SQL查詢來(lái)導(dǎo)出數(shù)據(jù)。

恢復(fù)的表格

如果你想查看所有表格只需重復(fù)以上步驟即可。這個(gè)例子也向我們證明了，數(shù)字取證分析不能只依賴于取證工具，應(yīng)該根據(jù)情況結(jié)合手動(dòng)檢查的方式，這樣才能更準(zhǔn)確的獲取和分析數(shù)據(jù)。

感謝你能夠認(rèn)真閱讀完這篇文章，希望小編分享的“怎么對(duì)已損壞的SQLite數(shù)據(jù)庫(kù)取證分析”這篇文章對(duì)大家有幫助，同時(shí)也希望大家多多支持億速云，關(guān)注億速云行業(yè)資訊頻道，更多相關(guān)知識(shí)等著你來(lái)學(xué)習(xí)!