0

いくつかのAndroidフォレンジック記事を読んだところ、sqliteレコードを復元できることは理解していますが、sqliteがSQLITE_SECURE_DELETEオプションでコンパイルされなかった場合(削除されたコンテンツを「0」でオーバーライド)、またはバキュームがトリガーされなかった場合(OSの未配置スペースに戻すため)+自動バキュームを行うためのsqliteのオプションもあります。

削除されたレコードを回復するという点で、Androidについて何を知っていますか?このオプションでコンパイルされましたか?意見、リンク、何でも歓迎します

PS。行の特定のフラグを削除済みとしてマークすることで、削除する他の方法についても知っていますが、データはまだそこにあります。そのため、私はそのことに興味がありません。

4

1 に答える 1

5

だから私はこれらのテストをしましたが、android 2.2のエミュレーターでのみです(私はモバイルをroot化していない)

15のSMSを送信し、それらをすべて削除し、5つの新しいSMSを送信します。結論:

  • 削除されたSMSは一般的なSQLiteビューアでは表示できません
  • 削除されたが上書きされていないSMSはまだdbファイルに存在し、16進ツール(winHex)またはより専門的なアプリ(Oxygen Forensic SQLiteなど)を使用して変更せずに表示できます。
  • 削除されたSMSは、同じテーブル(SMSおよびMMSテーブル)への新しい挿入によって上書きされます。つまり、mmssms.dbデータベースから他のテーブルに挿入しても、SMS-MMSテーブルからは何も上書きされません。
  • SMSは削除順に上書きされます(「空き領域スタック」に追加され、ここに追加または「削除」の順序で上書きされます)
  • したがって、SMSの完全な回復が可能です(新しいSMSが受信または送信されない場合は、同じテーブルにブースが格納されているため、MMSでも同じです)。
  • 部分的なSMSの回復は不可能です(削除されたSMSの全スペースは、パディングで満たされた新しいSMSで占められているため、16進ツールで見ると、古い削除されたSMSの残り物を見つけることができません)
  • 結論:SQLITE_SECURE_DELETEオプションが使用されておらず、vacuum()がトリガーされていない

グラシアス

于 2012-06-28T10:12:53.717 に答える