Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari2025:nb53918 [2026/01/20 22:11]
Nikola Botić [Literatura]
+++ racfor_wiki:seminari2025:nb53918 [2026/01/20 23:30] (trenutno)
Nikola Botić [Izazovi i ograničenja SQLite forenzike]
@@ Redak 68: / Redak 68: @@
   * Offset 44–47:  Prva freelist stranica (FORENZIČKI VAŽNO)
   * Offset 48–51:  Ukupan broj freelist stranica
+{{:racfor_wiki:seminari2025:sqliteheader.png?400|}}
 Forenzičar može ručno provjeriti je li datoteka valjana SQLite baza pregledom prvih 16 bajtova u hex editoru, gdje se mora pojaviti ASCII niz "SQLite format 3" s null-terminatorom (00).
@@ Redak 167: / Redak 169: @@
   - Checkpoint – sadržaj WAL-a se zapisuje u glavnu bazu
   - Truncate – nakon checkpointa, WAL se resetira
+{{:racfor_wiki:seminari2025:walsqlite.png?400|}}
 Zašto je to važno u forenzici:
@@ Redak 275: / Redak 279: @@
   * izdvajanje ključa iz sigurnosnih kopija ili konfiguracijskih datoteka
   * reverse engineering aplikacije radi pronalaska ključeva ili algoritama
+{{:racfor_wiki:seminari2025:sqlcipherencryption.png?400|}}
 **2. Anti-forenzičke tehnike**
@@ Redak 283: / Redak 289: @@
   * Secure delete - Kada je omogućeno, SQLite odmah prepisuje obrisane zapise nulama umjesto da ih ostavi u freelistu, čime se onemogućuje oporavak obrisanih podataka.
   * VACUUM operacija - VACUUM reorganizira bazu i trajno uklanja sav slobodni (freelist) prostor. Nakon izvođenja ove operacije, oporavak obrisanih zapisa postaje iznimno težak ili nemoguć.
+{{:racfor_wiki:seminari2025:sqlite-vacuum.jpg?400|}}
 **Protumjere**:

racfor_wiki/seminari2025/nb53918.1768947100.txt.gz · Zadnja izmjena: 2026/01/20 22:11 od Nikola Botić