本发明属于数据处理的,特别是涉及一种基于sqlite3特征值的内存检索数据库的数据提取方法与系统。
背景技术:
1、随着信息技术的发展,越来越多的应用程序采用sqlite3数据库存储数据。特别是在pc端应用中,数据库通常不会将密钥存储在本地文件中,而是在程序运行时动态生成并存储在内存中,这给电子数据取证工作带来了挑战,因为获取这些密钥成为解密数据库的关键步骤。
2、现有的技术手段主要集中在文件级别的分析和简单的内存扫描,缺乏对数据库结构的深入理解和针对性的检索方法,这导致在面对加密数据库时,往往需要大量的时间和资源来尝试破解,并且成功率较低。
技术实现思路
1、鉴于以上所述现有技术的缺点,本发明的目的在于提供一种基于sqlite3特征值的内存检索数据库的数据提取方法与系统,用于解决sqlite3数据库中数据提取难的技术问题。
2、第一方面,本发明提供一种基于sqlite3特征值的内存检索数据库的数据提取方法,所述方法包括以下步骤:
3、扫描目标进程的内存以识别得到当前sqlite3数据库中的目标特征值,并基于所述目标特征值定位得到内存地址;
4、基于所述内存地址解析sqlite3数据库的数据结构以获取第一变量和第二变量;
5、基于所述第一变量进行密钥定位与提取以得到目标密钥,以及基于所述第二变量进行地址分析与函数定位以得到加解密算法;
6、基于所述目标密钥和所述加解密算法对目标进程内存中的sqlite3数据库进行解密,以获取目标数据。
7、在本技术一个可能的实现方式中,所述方法还包括定义sqlite3数据库中的特征值,具体包括:
8、分析sqlite3数据库在内存中的数据结构以确定特征值类型,具体分析预设标签,所述预设标签包括状态标签、页类型标识符、页头偏移量、b树节点指针以及记录格式和记录数据,其中,
9、基于所述状态标签确定数据库状态特征值,其中,数据库状态包括打开状态、关闭状态和使用状态;
10、基于所述页类型标识符确定标签类型特征值,所述页类型标识符表明页面类型,所述页面类型包括表数据页、索引页以及空闲页;
11、基于所述页头偏移量、所述b树节点指针以及所述记录格式和记录数量确定数据类型特征值。
12、在本技术一个可能的实现方式中,所述扫描目标进程的内存以识别得到当前sqlite3数据库中的目标特征值,并基于所述目标特征值定位得到内存地址,具体包括:
13、基于预设的内存扫描工具对所述目标进程的整个内存进行逐字节的扫描;
14、在扫描的过程中,将与所述特征值类型匹配的数据块进行提取以得到所述目标特征值,并同步基于所述目标特征值定位得到所述内存地址,其中,
15、与所述特征值类型进行匹配时采用预设的模式匹配机制进行匹配。
16、在本技术一个可能的实现方式中,所述基于所述内存地址解析sqlite3数据库的数据结构以获取第一变量和第二变量,具体包括:
17、利用预设的调试工具结合所述内存地址进行内存映射与解析以得到内存映射;
18、在所述内存映射中,根据sqlite3数据库的内存布局识别得到所述第一变量和第二变量,其中,所述第一变量包括pcodec变量,所述第二变量包括xcodec变量。
19、在本技术一个可能的实现方式中,所述基于所述第一变量进行密钥定位与提取以得到目标密钥,具体包括:
20、基于预设的内存编辑工具读取所述第一变量的地址进行密钥定位以得到初始密钥;
21、基于所述初始密钥进行验证,其中,利用所述初始密钥对解密数据库中的加密数据进行解密,提取解密成功的所述初始密钥作为所述目标密钥。
22、在本技术一个可能的实现方式中,所述基于所述第二变量进行地址分析与函数定位以得到加解密算法,具体包括:
23、基于所述调试工具查看所述第二变量的指针地址以得到加解密函数地址;
24、基于所述加解密函数地址进行断点操作以识别函数调用信息进行函数定位;
25、并在确定函数调用信息后,基于反汇编工具对所述加解密函数地址进行反汇编得到加解密函数汇编代码;
26、基于所述加解密函数汇编代码进行算法逻辑分析与验证以获取所述加解密算法,其中,验证时利用已知数据与所述目标密钥进行验证。
27、在本技术一个可能的实现方式中,所述基于所述目标密钥和所述加解密算法对目标进程内存中的sqlite3数据库进行解密,以获取目标数据,具体包括:
28、在安全的解密环境下加载所述加解密算法和配置所述目标密钥;
29、基于所述加解密算法以及所述目标密钥对sqlite3数据库中的加密数据块进行解密以得到解密数据;
30、基于所述解密数据进行验证与关键信息提取得到所述目标数据,其中,所述关键信息至少包括账户信息以及交易记录。
31、第二方面,本发明提供一种基于sqlite3特征值的内存检索数据库的数据提取系统,所述系统包括:
32、识别模块,用于扫描目标进程的内存以识别得到当前sqlite3数据库中的目标特征值,并基于所述目标特征值定位得到内存地址;
33、解析模块,用于基于所述内存地址解析sqlite3数据库的数据结构以获取第一变量和第二变量,其中,第一变量包括pcodec变量,第二变量包括xcodec变量;
34、获取模块,用于基于所述第一变量进行密钥定位与提取以得到目标密钥,以及基于所述第二变量进行地址分析与函数定位以得到加解密算法;
35、解密模块,用于基于所述目标密钥和所述加解密算法对目标进程内存中的sqlite3数据库进行解密,以获取目标数据。
36、第三方面,本发明提供一种电子设备,所述电子设备包括:处理器和存储器;
37、所述存储器用于存储计算机程序;
38、所述处理器用于执行所述存储器存储的计算机程序,以使所述电子设备执行上述的基于sqlite3特征值的内存检索数据库的数据提取方法。
39、第四方面,本发明提供一种计算机可读存储介质,其上存储有计算机程序,该程序被电子设备执行时实现上述的基于sqlite3特征值的内存检索数据库的数据提取方法。
40、如上所述,本发明所述的基于sqlite3特征值的内存检索数据库的数据提取方法与系统,具有以下有益效果:
41、(1)、提高解密效率,本方面基于sqlite3数据结构的特征值进行内存检索,可以快速准确地定位到密钥和加解密函数,大大提高了解密效率。
42、(2)、增强取证能力,本发明提供了一种可靠的技术手段,能够帮助电子数据取证人员获取关键的聊天记录等数据,为案件分析提供有力支持。
43、(3)、减少资源消耗,本发明相比传统的暴力破解方法,通过特征匹配和内存解析,能够减少了资源消耗和时间成本。
1.一种基于sqlite3特征值的内存检索数据库的数据提取方法,其特征在于,包括:
2.根据权利要求1所述的基于sqlite3特征值的内存检索数据库的数据提取方法,其特征在于,所述方法还包括定义sqlite3数据库中的特征值,具体包括:
3.根据权利要求2所述的基于sqlite3特征值的内存检索数据库的数据提取方法,其特征在于,所述扫描目标进程的内存以识别得到当前sqlite3数据库中的目标特征值,并基于所述目标特征值定位得到内存地址,具体包括:
4.根据权利要求3所述的基于sqlite3特征值的内存检索数据库的数据提取方法,其特征在于,所述基于所述内存地址解析sqlite3数据库的数据结构以获取第一变量和第二变量,具体包括:
5.根据权利要求4所述的基于sqlite3特征值的内存检索数据库的数据提取方法,其特征在于,所述基于所述第一变量进行密钥定位与提取以得到目标密钥,具体包括:
6.根据权利要求5所述的基于sqlite3特征值的内存检索数据库的数据提取方法,其特征在于,所述基于所述第二变量进行地址分析与函数定位以得到加解密算法,具体包括:
7.根据权利要求6所述的基于sqlite3特征值的内存检索数据库的数据提取方法,其特征在于,所述基于所述目标密钥和所述加解密算法对目标进程内存中的sqlite3数据库进行解密,以获取目标数据,具体包括:
8.一种基于sqlite3特征值的内存检索数据库的数据提取系统,其特征在于,包括:
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至7任一项所述基于sqlite3特征值的内存检索数据库的数据提取方法。
10.一种电子设备,其特征在于,所述电子设备包括:处理器及存储器;其中,所述存储器用于存储计算机程序,所述处理器用于执行所述存储器存储的计算机程序,以使所述电子设备执行如权利要求1至7中任一项所述基于sqlite3特征值的内存检索数据库的数据提取方法。
