68、基于WAL的SQLite取证分析与软件分支转移环境影响研究

基于WAL的SQLite取证分析与软件分支转移环境影响研究

基于WAL的SQLite取证分析

SQLite数据库在桌面计算机和移动设备中广泛用于存储消息、通话记录、浏览器历史等数据，具有巨大的取证潜力。当SQLite数据库处于WAL（Write-Ahead Logging）模式时，潜在的取证数据会先存储在WAL中，然后定期写入数据库，因此WAL也是重要的证据来源。

1. 数据恢复与篡改检测

   • 恢复删除记录 ：嫌疑人可能会使用内置的短信删除功能删除短信，也可能篡改证据内容而不删除记录，传统的恢复方法在这种情况下效果不佳。通过比较两个不同版本的文件，可以检测到篡改行为。实验结果表明，在两种不同情况下，对于篡改的记录，该方法能有效检测到大部分记录。具体结果如下表所示：
     | 编号 | 图像大小(KB) | 总记录数 | 篡改记录数 | 检测记录数 | 精确率 | 召回率 | F值 |
     | ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- |
     | 1 | 3251200 | 150 | 10 | 10 | 1 | 1 | 1 |
     | 2 | 3251200 | 250 | 10 | 8 | 1 | 0.8 | 0.89 |
   • 数据恢复实践 ：为了方便数据收集，研究中获取了root权限并使用dd工具获取存储图像进行分析。但在实际应用中，建议使用物理获取方法以确保数据完整性。如果文件系统的元数据允许正常访问，可以使用现有工具