Utilisation de l’analyseur de base de données SQLite générique EnScript dans les examens médico-légaux d’un appareil mobile

Dans mon blog précédent, l’utilisation d’EnScript a été introduite comme un avantage pour étendre la portée de l’artefact et ajouter une analyse personnalisée pour le encore pris en charge. Ce blog se concentrera sur la configuration et l’utilisation de l’analyseur de base de données SQLite générique, illustrant comment des requêtes SQLite personnalisées peuvent être ajoutées pour une ou plusieurs bases de données SQLite, comment une ou plusieurs requêtes personnalisées peuvent être exécutées à partir d’EnScript et comment les données exposées est présenté dans OpenText™ EnCase™ et sous forme de TSV (valeurs séparées par des tabulations).

Pour l’examen d’une seule base de données SQLite qui peut utiliser un Write Ahead Log (WAL), ou pour le développement de requêtes SQLite pertinentes, le plugin View SQLite with WAL EnScript sera introduit. Alors que les bases de données spécifiques mentionnées concerneront Apple iOS ou macOS, le sujet exploré est directement transférable pour toute base de données SQLite.

En tant qu’examinateur médico-légal numérique, vous pouvez avoir une collection de requêtes SQLite qui peuvent être utilisées dans tout ou partie de vos examens DFIR. Celles-ci peuvent avoir été créées sur une période de temps et stockées dans un fichier texte avec d’autres requêtes SQLite regroupées par un thème commun, telles que :

• macOS
• iOS
• Photos Apple
• Artefacts du navigateur Web

C’est formidable et j’admets qu’en tant que médecin légiste moi-même, j’ai suivi une pratique similaire. La requête pertinente pour une base de données donnée peut être copiée et collée depuis le fichier texte dans une visionneuse SQLite et exécutée. Ce processus pourrait-il être rendu plus efficace à une époque où les charges de travail et les quantités de données dans l’examen médico-légal augmentent ?

En utilisant le Analyseur de base de données SQLite générique, EnScript peut améliorer le flux de travail, après une configuration initiale. Le principe de base d’EnScript est d’utiliser la fonctionnalité d’analyse SQLite intégrée d’EnCase pour automatiser l’exécution d’une ou plusieurs requêtes SQLite sur une ou plusieurs bases de données SQLite. L’EnScript peut être configuré avec le nom de la base de données SQLite comme dossier parent pour un ou plusieurs objets enfants ; requêtes SQLite personnalisées pouvant être exécutées sur ladite base de données.

Prenons par exemple la base de données Photos.sqlite utilisée par l’application Photos sur iOS et macOS. L’interrogation de cette base de données peut permettre à l’examinateur d’identifier rapidement et facilement les photographies qui ont été :

• Modifié par l’utilisateur dans l’application Photos
• Supprimé et référencé dans l’album Récemment supprimé
• Contenir les données de localisation pertinentes.

En tant qu’examinateur de la base de données SQLite et utilisateur d’EnScript, il peut être avantageux de formuler une convention de dénomination pour permettre d’identifier facilement la requête. Dans l’exemple suivant, le nom de la requête SQLite commence par iOS ou macOS pour faciliter l’identification et la différenciation.

Plusieurs options de sortie sont disponibles, mises en signet directement dans le boîtier EnCase ou exportées et enregistrées sous forme de fichier TSV pour une révision ultérieure dans des applications tierces, telles que Microsoft Excel.

Compte tenu de la pléthore de recherches et d’informations Open Source relatives à DFIR, une abondance de requêtes SQLite existent et sont disponibles à partir de sources multiples et respectées. Ceux-ci peuvent être inclus pour être utilisés avec l’analyseur de base de données SQLite générique, en configurant comme décrit ci-dessus.

Il est recommandé de valider la requête SQLite utilisée pour s’assurer qu’elle produit les résultats attendus. Même si une requête SQLite a fonctionné pour une base de données SQLite à partir d’une version donnée d’une application ou d’un système d’exploitation mobile, cela ne signifie pas qu’elle continuera à fournir les résultats requis pour les versions ultérieures.

Il convient également d’envisager l’utilisation de la Afficher SQLite avec le plug-in WAL EnScript. Cela permet d’exporter temporairement une base de données SQLite et un journal WAL (Write Ahead Log) à partir du boîtier EnCase et de les afficher avec un visualiseur tiers de votre choix. L’utilisation de ce plugin EnScript est bénéfique lorsque :

• Développement de requêtes SQLite personnalisées à utiliser avec l’analyseur de base de données SQLite générique
• Validation de requêtes SQLite personnalisées avant de les configurer pour une utilisation avec l’analyseur de base de données SQLite générique
• Examen ad hoc d’une base de données pertinente, à partir d’une application ou d’un artefact de système d’exploitation qui n’est pas commun aux examens #DFIR et qu’il pourrait ne pas être avantageux d’inclure dans l’analyseur de base de données SQLite générique
• Examen général d’une base de données SQLite qui utilise la journalisation en écriture anticipée

L’utilisation à la fois de l’analyseur de base de données SQLite générique et de View SQLite avec le plug-in WAL tel que décrit ne peut être suffisamment recommandée. Leur utilisation a été et continue d’être inestimable et est fréquemment utilisée. Bien que ce blog ait été écrit en ce qui concerne les examens d’appareils mobiles, les programmes EnScript mentionnés sont tout aussi précieux pour l’examen et la recherche relatifs aux systèmes d’exploitation tels que macOS.

Les EnScripts mentionnés sont démontrés et utilisés pendant les deux DF125 Examens d’appareils mobiles avec EnCase et Examens DF420 Mac avec EnCase. L’utilisation des bases de données SQLite et de la récupération de données SQLite est largement discutée et démontrée au cours de la DF320-Analyse avancée des artefacts Windows avec EnCase.

Les cours de formation peuvent être enregistrés et achetés individuellement en utilisant les liens ci-dessus ou pris dans le cadre du Abonnement à l’apprentissage OpenText, édition de sécurité Premium. S’abonner à un ans ou pour plus d’informations, un devis pour un abonnement de deux ans ou une mise à niveau Nous contacter.