SQLite Format für einen Forensiker so interessant? Na, weil sehr viele Tools dieses Format für ihre interne Datenverwaltung verwenden. So basieren z.B. die Konfigurations- oder Inhaltedaten folgender Anwendungen auf SQLite-Datenbanken: Mozilla Cache und Verlauf, iPhone, DropBox, iTunes, Google Suchverlauf, Safari Cache, Picasa, Skype, Realplayer, Android…..
Insofern ist es wichtig, einen SQLite Browser stets zur Hand zu haben. Der SQLite Forensic Reporter hat für die o.g. Anwendungen bereits Query Templates dabei, man kann sich diese aber auch sehr einfach selbst erstellen, um jegliche SQLite-Datenbank abzufragen.
Am besten man geht so vor, dass man den SQLite Forensic Reporter die verdächtige Festplatte (natürlich wie immer als Image gemountet oder via Writeblocker angeschlossen oder auch gern in einer VM) anhand von Headersignaturen nach entsprechenden SQLite-Datenbanken der einzelnen Anwendungen suchen lässt. Sind die Datenbanken dann gefunden worden, lassen sich diese einfach auswerten. Wer mag, kann CSV- oder auch HTML-Reports erzeugen. Die Suche ist für den optional, der die Datenbank bereits kennt und einfach so öffnet. Unbekannte Datenbanken – also wofür weder Template noch Headersignatur vorhanden sind – werden standardmäßig aus analysiert.
Der SQLite Forensic Reporter kostet USD125 kann hier heruntergeladen werden.
Wer „mal eben“ ein graphisches Interface für SQLite Datenbandateien sucht, der könnte bei den Firefox-Add-Ons fündig werden: der SQLite Manager.
Allerdings muss man dort schon den Speicherort der Datei kennen und angeben. Eine Suchfunktion bietet der nicht. Dafür ist der kostenlos und portabel (Linux, Win, …)
Danke für den Hinweis, Volker. Kann man bei dem Add-on auch (Reporting)-Templates einbinden. Wenn ja, wäre dies eine gute Alternative. Ein full blown SQL-Manager ist ja eigentlich immer besser. Aber wenn man nur die Inhalte auswerten will, ist dies vielleicht nicht jedermanns Sache?
Demo-Version funktioniert nicht unter Windows 7 64bit Ultimate. Es kommt immer „Error 103“. Der Entwickler kann da auch nicht weiter helfen. Die Dateipfade habe ich zuvor mit X-Ways komplett (inklusive Pfad) extrahiert. Kann das jemand reproduzieren?
Doch alles funktioniert! Ich habe zuvor einen falschen Pfad für Ausgabe-Ordner ausgewählt.
Doch alles funktioniert. Eine falsche Ausgang-Ordner-Pfadangabe war die Ursache.
Prima. 😉