Steffen Rapp
Bachelor Thesis, Hochschule Wismar, Juli 2024
Autor: Steffen Rapp
Titel: IT-forensische Analyse von SQLite Datenbanken mit kommerzieller und frei verfügbarer Software
Abstrakt
SQLite-Datenbanken finden in einer Vielzahl von Anwendungen ihren Einsatz. Zu finden ist die „Database in a single file“ unter anderem in Browsern, Messangern, E-Mail-Programmen, Betriebssystemen und Frameworks. Somit dienen die Datenbanken als potenzielle Quelle von Beweisen für zum Beispiel Strafverfahren. Daraus resultiert ein benötigtes Verständnis für die Beweisquelle und die Möglichkeit diese forensisch untersuchen zu können. Diese Thesis verfolgt das Ziel zu untersuchen, wann gelöschte Datensätze aus SQLite-Datenbanken wiederherstellbar sind und welche Umstände dies begünstigen oder ausschließen. Die praktische Umsetzung erfolgt anhand realitätsnaher SQLite-Datenbanken, die mit frei verfügbarer und kommerzieller Software untersucht werden. Die gewonnene Erkenntnis, zeigt dass es unter bestimmten Umständen nachvollziehbar ist, wann Daten gelöscht, hinzugekommen oder geändert wurden und wann eine Wiederherstellung nicht mehr möglich ist.
Abstract
SQLite databases are used in a variety of applications. The "database in a single file" can be found in browsers, messengers, email programs, operating systems and frameworks, among others. The databases therefore serve as a potential source of evidence for criminal proceedings. This results in a necessary understanding of the source of evidence and the possibility to examine it forensically. This thesis aims to investigate when deleted data record from SQLite databases can be recovered and which circumstances favor or exclude this. The practical implementation is based on realistic SQLite databases that are examined with opensource and commercial software. The knowledge gained shows that under certain circumstances it is possible to trace when data has been deleted, added or changed and when recovery is no longer possible.
