電(diàn)子數據采集産(chǎn)品系列

消防勘查取證産(chǎn)品系列

《格物(wù)刊第四輯》

【數據庫取證】快速從服務(wù)器鏡像文(wén)件中(zhōng)獲取後台隐藏數據
發布時間:2024-11-15

文(wén)章關鍵詞:電(diàn)子數據取證、數據庫取證、電(diàn)子物(wù)證、雲取證、手機取證、計算機取證、服務(wù)器取證

小(xiǎo)編最近做了很(hěn)多(duō)鑒定案件和參加相關電(diàn)子數據取證比武賽,經常涉及到服務(wù)器數據庫分(fēn)析。現在分(fēn)享一下技(jì )術方案,供各位在工(gōng)作(zuò)中(zhōng)和取證賽事中(zhōng)取得好成績。

取證工(gōng)具(jù):

LX-A601數據庫取證恢複系統

LX-A303免拆機取證工(gōng)具(jù)


取證思路

一般App的數據都是部署在服務(wù)器上面,數據庫通常使用(yòng)的類型為(wèi)“mysql”。(1)首先使用(yòng)LX-A303免拆機取證工(gōng)具(jù)對涉案電(diàn)腦做完整鏡像

(2)使用(yòng)LX-A601數據庫取證恢複系統對鏡像文(wén)件進行後台數據。

(3)現需要對該鏡像内數據進行分(fēn)析,得出人員注冊數量,以及app内獲取的賬号進行研判分(fēn)析,從中(zhōng)看能(néng)否獲取其它類似的行為(wèi)。


取證步驟

1. 加載需要分(fēn)析的鏡像,本案例中(zhōng)加載服務(wù)器鏡像,通過LX_A601數據庫提取恢複系統中(zhōng)鏡像模式進行掃描;

2. 掃描結束以後以數據庫類型為(wèi)“mysql”進行篩選,排除系統默認的數據庫,勾選過後點擊“開始解析”,等待數據庫解析完成;

3. 數據庫解析完成後,對數據庫内表進行查看,直觀看到 該表下記錄的是注冊人員信息,注冊數量為(wèi)58;

4. 使用(yòng)查詢功能(néng)輸入“微信”進行查詢;

5. 并對查詢結果進行分(fēn)析,得知app内統計的微信号數量為(wèi)305;



6. 對兩次的查詢分(fēn)析後的結果,進行勾選導出即可(kě);

LX-A601數據庫取證恢複系統

(1)LX-A601 數據庫取證恢複系統是一款針對數據庫快速固定、還原重建、數據恢複以及數據分(fēn)析的數據庫取證專業工(gōng)具(jù)。

(2)支持MySQL、SQL Server、Oracle、Access、Sybase、FoxBase、MariaDB、PostgreSQL、SQLite、Dameng、InterBase、Redis File、MongoDB File、CSV(标準格式)、SQL文(wén)件等數十種數據庫的多(duō)個版本提取解析;支持阿裏雲數據庫PolarDB MySQL版雲備份SQL/CSV文(wén)件解析;支持國(guó)産(chǎn)達夢數據庫解析

(3)有(yǒu)效解決在網絡賭博、網絡傳銷、網絡詐騙等案件中(zhōng)數據庫提取分(fēn)析難的問題。


龍信軟件提供對鏡像文(wén)件的直接分(fēn)析能(néng)力,我們誠摯邀請您進行試用(yòng)體(tǐ)驗,并将全力支持您在比賽中(zhōng)的各項需求。


來源:大耳朵圖圖
本期編輯:龍小(xiǎo)信
審核:Celeste