Cada vez se ven más bases de datos SQLite, en sistemas operativos móviles se ha convertido en el estándar para almacenar información.
Los últimos días he estado mirando un poco más a fondo el formato en el que este motor guarda la información y cuál era el estado de arte en técnicas forenses, así que empiezo una serie de entradas donde describiré lo que he visto y acabar publicando un script para este propósito.
Como ya hice con la serie de IOS, empiezo por las referencias con las que me he empapado:
Artículos muy completos y bien escritos con aspectos técnicos del formato:
- http://forensicsfromthesausagefactory.blogspot.com.es/2011/04/carving-sqlite-databases-from.html
- http://forensicsfromthesausagefactory.blogspot.com.es/2011/05/analysis-of-record-structure-within.html
- http://forensicsfromthesausagefactory.blogspot.com.es/2011/05/sqlite-pointer-maps-pages.html
- http://forensicsfromthesausagefactory.blogspot.com.es/2011/07/sqlite-overflow-pages-and-other-loose.html
- http://mobileforensics.wordpress.com/2011/04/30/sqlite-records/
- http://mobileforensics.wordpress.com/2011/09/17/huffman-coding-in-sqlite-a-primer-for-mobile-forensics/
- http://www.forensicswiki.org/wiki/Mozilla_Firefox_3_History_File_Format
- http://digitalinvestigation.wordpress.com/2012/05/04/the-forensic-implications-of-sqlites-write-ahead-log/
- http://sandbox.dfrws.org/2011/fox-it/DFRWS2011_results/Report/Sqlite_carving_extractAndroidData.pdf
- http://computer-forensics.sans.org/summit-archives/2011/2-taking-it-to-the-next-level.pdf
- http://www.ccl-forensics.com/images/f3%20presentation3.pdf
Documentación oficial:
- http://www.sqlite.org/fileformat.html
- http://www.sqlite.org/fileformat2.html
- http://sqlite.org/docs.html
- http://www.sqlite.org/pragma.html#pragma_secure_delete
- http://www.sqlite.org/src/artifact/cce1c3360c
Herramientas (comerciales y gratuitas) para el análisis forense de ficheros:
- http://www.garykessler.net/software/sqlite_parser_v2.1a.zip
- http://www.crypticbit.com/zen/products/iphoneanalyzer
- http://www.ccl-forensics.com/Software/epilog-from-ccl-forensics.html
- http://www.filesig.co.uk/sqlite-forensic-reporter.html
- http://www.oxygen-forensic.com/en/features/sqliteviewer/
Estudios o publicaciones comerciales:
- http://www.springerlink.com/content/n6l6526n16847kh8/
- http://www.sciencedirect.com/science/article/pii/S1742287609000048
Libros:
- http://www.amazon.com/Definitive-Guide-SQLite-Mike-Owens/dp/1590596730
- http://books.google.es/books/about/Inside_SQLite.html?id=QoxUx8GOjKMC&redir_esc=y
Todos las entradas de la serie:
- http://www.securitybydefault.com/2012/08/forense-de-sqlite-i-recursos.html
- http://www.securitybydefault.com/2012/08/forense-de-sqlite-ii-cabecera.html
- http://www.securitybydefault.com/2012/08/forense-de-sqlite-iii-paginas-libres.html
- http://www.securitybydefault.com/2012/08/forense-de-sqlite-iv-paginas-b-tree-y.html
- http://www.securitybydefault.com/2012/09/forense-de-sqlite-v-celdas.html
- http://www.securitybydefault.com/2012/09/forense-de-sqlite-vi-practica.html
- http://www.securitybydefault.com/2012/09/forense-de-sqlite-vii-ejercicio-resuelto.html
3 comments :
Esperamos impacientes el último con el script :)
Más que impacientes, ANSIOSOS
se agradece mucho las fuentes para comenzar a empaparse con esta parte de la forensia en moviles, saludos
Publicar un comentario