這篇文章主要介紹了怎么對已損壞的SQLite數(shù)據(jù)庫取證分析，具有一定借鑒價值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

創(chuàng)新互聯(lián)堅持“要么做到，要么別承諾”的工作理念，服務領(lǐng)域包括：成都做網(wǎng)站、網(wǎng)站建設、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務，滿足客戶于互聯(lián)網(wǎng)時代的細河網(wǎng)站設計、移動媒體設計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡建設合作伙伴！

SQLite是當今最流行的數(shù)據(jù)庫之一，許多移動應用臺式計算機以及便攜式筆記本上都用它來存儲數(shù)據(jù)（例如桌面工具、瀏覽器以及社交媒體軟件等），因此SQLite在電子取證當中也扮演著舉足輕重的角色。取證網(wǎng)絡瀏覽器，信使和其他數(shù)字證據(jù)來源。

市面上有許多支持對SQLite數(shù)據(jù)庫分析取證的工具，例如Magnet AXIOM，Belkasoft Evidence Center和BlackBag BlackLight等等。這些工具可以自動解析這些數(shù)據(jù)庫，甚至可以從空閑列表和未分配空間中分割數(shù)據(jù)。此外，它們還提供了SQLite查看器，取證人員可以手動來分析數(shù)據(jù)庫的類型。

那么對于那些已被損壞或破壞的數(shù)據(jù)庫，我們又該如何取證呢？

我們在DFIR上收到了一個無法用任何工具打開的SQLite數(shù)據(jù)庫。在此之前該數(shù)據(jù)庫還曾被發(fā)送給供應商解決，但得到的答案是 - 并未在數(shù)據(jù)庫中發(fā)現(xiàn)任何表格。

話不多說讓我們直奔主題，該數(shù)據(jù)庫名為：“contacts2.db”。如果你有足夠的移動取證經(jīng)驗，那么你應該能猜到這是一個典型的Android數(shù)據(jù)庫，其中包含了有關(guān)用戶的聯(lián)系人信息。

在我們手頭有許多專業(yè)的取證工具包，因此我們決定使用最流行的取證工具來嘗試打開它，其中包括有Belkasoft Evidence Center，BlackBag BlackLight，Cellebrite UFED Physical Analyser，SQLite數(shù)據(jù)庫瀏覽器，Magnet AXIOM和Oxygen Forensic Detective。但讓我們感到驚訝的是，該數(shù)據(jù)庫正如發(fā)布者所述，沒有任何工具能打開它。如下截圖所示：

Belkasoft Evidence Center

BlackBag BlackLight

Cellebrite UFED Physical Analyzer

SQLite數(shù)據(jù)庫瀏覽器

Magnet AXIOM

Oxygen Forensic Detective

正如你所看到的沒有任何工具可以打開它。那么接下來我們該怎么做呢？讓我們回到最開始！

首先，我們進入到SQLite的官方網(wǎng)站，并下載用于管理數(shù)據(jù)庫文件的命令行工具。

接著我們提取存檔內(nèi)容并將數(shù)據(jù)庫放到相同的文件夾下（可選）。

啟動Windows命令提示符并將目錄更改為提取SQLite命令行工具的目錄。

運行以下命令序列：

sqlite3.exe database_name.db

.mode insert

.output database_dump.sql

.dump

.exit

現(xiàn)在你有一個包含dump數(shù)據(jù)庫表的SQL文件。如果運氣好的話，你則可以刪除事務語句，比如BEGIN TRANSACTION和ROLLBACK，并將文件導入到一個新的SQLite數(shù)據(jù)庫中，例如，使用SQLite數(shù)據(jù)庫瀏覽器。但由于該數(shù)據(jù)庫受損嚴重，所以我們必須手動檢查文件并將感興趣的表保存在單獨的SQL文件中。

例如，我們找到'accounts'表，它看起來像下面這樣：

CREATE TABLE accounts (_id INTEGER PRIMARY KEY AUTOINCREMENT,account_name TEXT, account_type TEXT, data_set TEXT);
INSERT INTO accounts VALUES(1,’vnd.sec.contact.phone’,’vnd.sec.contact.phone’,NULL);
INSERT INTO accounts VALUES(2,’primary.sim.account_name’,’vnd.sec.contact.sim’,NULL);
INSERT INTO accounts VALUES(4,’vnd.sec.contact.agg.account_name’,’vnd.sec.contact.agg.account_type’,NULL);
INSERT INTO accounts VALUES(506,’test@gmail.com’,’com.google’,NULL);
INSERT INTO accounts VALUES(538,’WhatsApp’,’com.whatsapp’,NULL);
INSERT INTO accounts VALUES(655,’test’,’com.yandex.passport’,NULL);
INSERT INTO accounts VALUES(656,’+7 903 000-00-00′,’com.yandex.passport’,NULL);
INSERT INTO accounts VALUES(657,’+7 925 000-00-00′,’com.yandex.passport’,NULL);
INSERT INTO accounts VALUES(658,’+7 978 000-00-00′,’com.yandex.passport’,NULL);
INSERT INTO accounts VALUES(672,’test’,’com.vkontakte.account’,NULL);
INSERT INTO accounts VALUES(677,’+7 968 000-00-00′,’com.yandex.passport’,NULL);
INSERT INTO accounts VALUES(687,’Youla account’,’com.allgotitm.youla’,NULL);
INSERT INTO accounts VALUES(792,’+7 968 000-00-00′,’com.viber.voip’,NULL);

我們將它保存到一個單獨的SQL文件中，并使用SQLite數(shù)據(jù)庫瀏覽器創(chuàng)建數(shù)據(jù)庫。

創(chuàng)建過程如下：

• 打開SQLite數(shù)據(jù)庫瀏覽器。

• 從SQL文件轉(zhuǎn)到文件 - 導入 - 數(shù)據(jù)庫...

• 選擇SQL文件中你感興趣的表。

• 選擇要創(chuàng)建的數(shù)據(jù)庫的名稱。

• 現(xiàn)在你可以瀏覽數(shù)據(jù)并使用簡單的SQL查詢來導出數(shù)據(jù)。

恢復的表格

如果你想查看所有表格只需重復以上步驟即可。這個例子也向我們證明了，數(shù)字取證分析不能只依賴于取證工具，應該根據(jù)情況結(jié)合手動檢查的方式，這樣才能更準確的獲取和分析數(shù)據(jù)。

感謝你能夠認真閱讀完這篇文章，希望小編分享的“怎么對已損壞的SQLite數(shù)據(jù)庫取證分析”這篇文章對大家有幫助，同時也希望大家多多支持創(chuàng)新互聯(lián)，關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，更多相關(guān)知識等著你來學習!