SQLite-tietokantojen palautustyökalu : olemassa olevan ja poistetun datan etsiminen SQLite-tietokannoista

Abstract

Opinnäytetyö tehtiin Keskusrikospoliisille, ja sen tavoitteena oli kehittää yleiskäyttöinen työkalu SQLite-tietokantojen karveeraukseen, eli poistetun tai muuten tavoittamattoman datan hakemiseen. Idea työkalulle oli muodostunut Keskusrikospoliisin ICT-ryhmässä, jossa forensinen tutkimus SQLite-tietokantojen parissa on yleistä.

Projekti alkoi SQLite-tietokantojen rakenteeseen tutustumisella, minkä jälkeen itse sovelluksen rungon suunnittelu alkoi. Ohjelmointikielenä käytettiin C++:aa, koska se on tehokas matalan tason kieli, ja sen käytöstä kehittäjällä oli eniten kokemusta. Tuloksena syntyi tavoitteiden mukainen työkalu, jonka avulla käyttökohteesta riippumatta saatiin käsiteltyä mikä tahansa SQLite-tietokanta. Olemassa oleva data parsittiin käyttäjälle luettavaan muotoon, ja tietokannan rakennetta hyödyntäen myös poistettua dataa onnistuttiin palauttamaan.

Projektin edetessä osaaminen ja ymmärrys SQLite-tietokannan rakenteesta kehittyi, ja parannuksia sekä lisäominaisuuksia kehiteltiin dynaamisesti. Jos otetaan huomioon, mitä ominaisuuksia työkalulta vaadittiin, onnistui tuotos tavoitteiden mukaisesti. Datan eheyden kannalta mitään merkittäviä riskejä ei otettu, ja käyttäjä voi luottaa saamansa tiedon eheyteen. Karveerauksessa olisi kuitenkin ollut mahdollisuus käsitellä osittain vioittunutta dataa tarkemmin, jolloin jotain tietoa olisi ollut mahdollista saada enemmän esille. Tämä olisi kuitenkin lisännyt merkittävästi riskejä datan eheyteen, joten se jätettiin tarkoituksella projektin ulkopuolelle.

This thesis was written for the National Bureau of Investigation (NBI). The goal of the thesis was to develop a tool for SQLite database carving, i.e., searching for removed or otherwise unavailable data. The idea originated from NBI’s ICT department where forensic research on SQLite databases is common.

The project began with learning the basics of SQLite database storing, after which the planning of the application structure was started. C++ as a low-level programming language was used in the implementation since it is effective. As a result of this project, the created tool fulfilled the predefined requirements, and the tool was able to handle data from all the tested SQLite databases. Intact data was parsed to readable format, and by using the structure of the database it was possible to recover removed data.

As the project advanced, the knowledge and expertise in SQLite database structure increased, and improvements and features were developed dynamically. The result met the requirements set for the thesis. No significant risks were taken related to the integrity of the data and the user can trust on the validity of the searched data. It could have been possible to restore more removed data by handling partly invalid data more thoroughly, but this would have significantly increased risks related to the data integrity, and hence, it was purposely left out of the scope of this thesis.