查看原文
其他

【技术实战】数据库碎片信息提取助力破获网络赌博案

效率源 2023-01-02

帅气客服工程师唐爸

你好,效率源科技!请问有什么


可以为您服务的吗?


某网安警官

您好,我们这边有一起网络赌


博案希望你们能给予技术上的


协助。


接到电话后,效率源科技客户服务团队马上组织相关技术人员对案件进行分析探讨,讨论快速有效的解决方案。

案情背景陈述

2017年9月,效率源科技客户服务部工程师收到某地关于网络赌博案的协助申请,想恢复网络赌博游戏服务器里面的交易记录

经过对整个案件的详细了解后,我们了解到:

▲ 这个服务器内所存储数据的数据库类型是Sqlsever

犯罪嫌疑人一个月左右就会把服务器里面的交易数据拷贝到不同地方,但是犯罪嫌疑人拒绝说出交易记录的存放路径;

在通过对数据库的常规查看和恢复只能找到6月1日之后的数据,没有其他更多的数据;

现有交易金额无法达到法定标准,法院在无法获得法定标准的交易金额的前提下,无法对犯罪嫌疑人准确定罪。

案件协助需求

恢复游戏服务器500G硬盘镜像中所有涉案的交易记录

操作思路分析

数据库的记录在存储时应该是符合其所属表的结构,即相同表的记录应该有共同的特征,类似于文件的签名特征一样。而针对数据库的残留记录,要提取出具有相同结构的数据,需要分析更多的信息,其大致步骤如下:

1、获取样本数据库,确定所需表,分析其结构特征;

2、对需要扫描的镜像添加到效率源科技数据库碎片信息抽取大师软件中;

3、将分析到的结构特征添加效率源科技数据库碎片信息抽取大师软件中,对需要扫描的镜像进行底层数据结构匹配扫描;

4、将匹配扫描到的数据确认后导出到EXECL表格;

5、过滤无效数据,统计有效数据;

具体操作步骤

1获取样本数据库,确定所需表,分析其结构特征


安装SQL2008安装包,搭载数据库环境;

运行已安装好的数据库软件;


找到原镜像中正常的样本数据库的存储位置,一般在存储在默认位置,但也可能存储其他位置,根据实际情况灵活查找;

将需要分析结构的样本数据库附加到已安装的数据管理软件中;

加载数据注意数据和日志(mdf与ldf文件)要一起选择;

查看数据库中的表,找到需要分析结构特征的表;

选择我们需要的表进行前1000行查看数据

选择后就可以查看数据,此时我们在 “设计里面”可以查看数据的类型,确定其数据特征

2对需要扫描的镜像添加到效率源科技数据库碎片信息抽取大师软件中;


3将分析到的结构特征添加效率源科技数据库碎片信息抽取大师软件中,当然如特征中的“头标记数据值”则需要通过winhex进行深入分析,结构特征设置完成后,对需要扫描的镜像进行底层数据结构匹配扫描;


4将匹配扫描到的数据确认后导出到EXECL表格,确认正确后就可以导出数据,可以看到我们已经恢复出2月的数据


5在导出的EXECL表中过滤无效数据,统计有效数据;


通过以上操作成功找回之前交易记录的数据,为相关单位对犯罪嫌疑人准确定位提供了非常关键的证据。



操作要领分享

数据库的碎片记录恢复主要是分析所需数据表记录的结构特征, 对于不同数据库类型的分析方式是不一样的。

如果我们能获取到样本数据库,就能通过样本数据库快速分析出所需数据表的结构特征。

对样本数据库进行操作前,最好是对数据库所在的存储硬盘或者分区做数据镜像不要直接对原盘进行操作,有分析需求则对镜像文件进行分析,这样就可以有效的保护底层存储的数据库残留数据

如果遇到格式化或者卸载了软件的情况,我们最好能够知道存储这些数据用的是什么软件和相应的数据库,这样恢复的可能性就会越大。

敲黑板

以客户为中心,以市场为导向,全力协助公安及各行业应用数据恢复及电子数据取证技术并产生业务价值是一直以来我们奋斗和坚持的目标。

近期,效率源科技技术团队接到大大小小的案件近百起,针对不同案件类型和不同情况,不仅需要依托专业的取证设备,更缺不了专业的技术服务。面对网络科技的飞速发展和网络犯罪手段的提高,单靠单一的设备已经无法满足需求。

未来,结合人工智能、机器学习等智能化的关联、碰撞、比对变得越来越突出。而电子数据取证也已经从公、检、法、司等执法系统迅速扩展到社会政治、经济生活的各个方面。我们将一如既往致力于数据恢复及电子数据取证领域,不忘初心,继续前行!



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存