[Linux-Biella] sqlite carving

[vallini.daniele a bilug.it]

Sat, Jan 28, 2017 at 06:38:43PM +0100  Jumping Jack ha scritto: 

> >beh avevo detto che il db lo aprivo e vedevo dei bei NULL in
> >corrispondenza di messaggi cancellati, che io utlizzi sqlitebroser o
> >qualunque altro tool per aprire un sqlite poco cambia, chiedevo se ci
> >fossero altri strumenti
> >
> >
> Devi fare il parsing del file con qualcosa che non sia una engine sqlite ma
> legga semplicemente tutto quello che trova e poi presentandolo in qualche
> altro modo. Qualcuno avrà fatto qualcosa di utile. Magari anche LibreOffice
> Calc riesce ad interpretarlo e rendertelo comprensibile. In ogni caso prima
> ti puoi spulciare a vista il file e vedere se effettivamente c'è altro che
> ti interessa. Vai a tentativi con la codifica che magari è diversa per tra
> tabelle.

Non mi risulta che sqlite 3 faccia effettivamente il delete bensi'
l'update ed i dati vengano abbandonati solo con il vacuum.

Il database andava in auto-vacuum o e' stato dato un vacuum?

Hai copiando il DB file ed effettuato su questa copia il vacuum?

Se sei fortunato che il db originale non ha subito il vacuum le pagine
differenti tra il file originale e quello copiato sono quelle eliminate
dal vacuum e contengono i dati cancellati.

Con un diff vedi se c'e' qualcosa di interessante da analizzare.

E' possibile analizzare i dati in binario cononoscendo la struttura
interna di SQLite ma non ne ho esperienza.

http://www.xenialab.it/meo/web/white/oracle/sqliteInt.htm
http://www.simplecarver.com/exchange/articles/article-41.html http://forensicsfromthesausagefactory.blogspot.it