基于WAL的SQLite取证方法
超级会员免费看
基于WAL的SQLite取证分析
在数字取证领域,SQLite数据库的分析至关重要。尤其是在Android设备中,SQLite被广泛用于存储各种应用数据,如短信、联系人等。本文将详细介绍基于预写式日志(WAL)的SQLite取证分析方法,包括WAL的原理、历史版本重建方法以及实验评估。
1. SQLite B - 树页面与WAL概述
- SQLite B - 树页面 :叶子B - 树页面没有指针,它使用单元结构来保存索引B - 树的键,或表B - 树的键和内容。数据也包含在单元中。单元从页面底部向上放置,由于大小不固定,会记录其第一个字节的偏移量,这些偏移值从页面顶部向下放置,这种双向增长设计便于在不进行碎片整理的情况下添加新记录。
- WAL(预写式日志) :从SQLite 3.7.0版本开始,引入了WAL模式来实现原子提交和回滚。在这种模式下,数据库中的原始内容得以保留,更改会追加到单独的WAL文件中。当一个表示提交的特殊记录追加到WAL时,提交操作发生,因此提交可以在不写入原始数据库的情况下进行,这允许读者在更改同时提交到WAL时使用未更改的原始数据库,多个事务可以追加到单个WAL的末尾。
2. WAL文件结构
WAL文件由文件头和多个帧组成,帧的数量范围从0到多个。
- WAL文件头 :长度为32字节,包含八个32位大端无符号整数,具体结构如下表所示:
| 偏移量 | 大小 | 描述 |
| — | — | — |
| 0 | 4 | 幻数:0x377f
订阅专栏 解锁全文
扫一扫
4144
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
