Adli Bilişim, SQL ve Veritabanı Yöneticiliği: “Ne Alakası Var?” Demeyin

1994’te Hughes miniSQL ile başlayan veritabanı yöneticiliği ve programcılık “otodidaktizmime” MariaDB ve PHP’de karar kılarak son vermiştim.

PostgreSQL ile de uğraşmışlığım vardır.

Bir “INNER JOIN” yapmayı, bir alt sorgu yazmayı iyi bilirim yani 🙂

Fakat zaman içerisinde dev veri kavramının çıkmasıyla bu konuyu ve araçları da kendi kendime öğretirken bambaşka bir sorunla karşılaştım: mobil cihaz inceleme yazılımlarının pahalılığı ve zor bulunması.

“Ne alakası var?” demeyin

iOS ve Android işletim sistemlerinde artık neredeyse tüm uygulamaların kayıtları belirli bir standart ve özellikle C++, diğer C türevleri ve Java için halihazırda bulunan kütüphanelerin varlığı sebebiyle SQLite veritabanlarında tutuluyor.

Bu sebeple binlerce x para birimi verilerek alınan bir yazılımla “yarı otomatik” olarak yapılan adli bilişim incelemesi işlerini SQL bilen ve veritabanı yöneticiliği yapmış bir uzmanın yapabilmesi aslında çok daha kolay ve daha fazla bulguyu elde edecek sonuçla yapılabiliyor.

Elle incelemek, gözle görmek

Üstelik bu yazılımların arka planda ne yaptıklarını ve verdikleri sonucun tamlığından emin olamıyoruz değil mi?

Oysa silinmiş alan taraması ile dosya sisteminde offset bulmak, bu offsete karşılık gelen partisyonu bulmak, bu partisyondaki dosyayı kurtarmak, dosya tipini tespit etmek ve içeriğinden veri temin etmek gibi elle yapılan aşamalarda herşeyi görerek ve emin olarak yapabiliyoruz.

Sonrasında sık yaptığımız işleri otomatikleştirmek için bazı betikler de geliştirmek mümkün.

Sonuç

Ufak bir deneyimimden kaynaklı bir yazıydı bu.

Esas konu şu: LG’nin MLT adlı bir uygulaması var. Android telefonunuzda ne yaptıysanız kendi belirlediği kadarını farklı SQLİte veritabanlarında tutuyor.

Bu veritabanları 32 MB civarı MPT adı verilen bir EXT4 ile formatlanmış partisyonda tutuluyor.

Tabloların adları t305, t306 gibi ve sütunarın adları ise f001,f002,f003 gibi adlandırılmış. Bunun için uygulama apk’sından kaynak kod temin etmek ve hangi tablonun neyi depoladığını ve hangi sütunun veri tipinin ne olduğunu bulmak gerek.

Sonuçta bu veritabanları arasında sorgu yapabilmek yaklaşık 2 günlük işimi kolaylaştırdı, toplam 10 saatte yapılabildi.

“Çok Büyük Bir Firma”nın “Çok İyi Bir Ürün”ü ise bu tablolardan haberdar bile değil!

Yorumlar

comments

Yorum Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Yorum onaylama sistemi etkin; yorumunuzun yayınlanması biraz zaman alabilir.

Translate »

T. Koray Peksayar Blog is Stephen Fry proof thanks to caching by WP Super Cache