对于应用系统来说,数据库就如同电脑的硬盘一样,存储了应用系统内的重要数据。比如:针对某个网络赌博案进行电子数据取证,除了赌博网站页面的相关数据,还需要参赌人员信息、参赌资金流水信息、代理抽成信息等数据,这些数据都储存在数据库中。
本期,王老师将以MySQL数据库为例,为大家介绍数据库取证分析的必备流程——数据库固定后的本地还原方法。(这里插播一则预告:下一期将接着本期内容,为大家讲解数据库本地还原后该如何取证分析?)
MySQL数据库的本地还原需要根据数据库固定的方式确定还原方式,通过不同固定方式下的数据类型进行本地还原分析,通常会有以下几种固定方式及还原方法:
1、对具备访问权限的MySQL数据库data目录或其上级目录进行文件拷贝固定
●还原分析思路1——data目录迁移:
通过data目录迁移的方式进行本地还原,需配置本地环境,注意对数据库访问密码的修改;
●还原分析思路2——软件自动分析:
利用DBF6300数据库取证分析系统直接解析,无需配置本地环境,直接绕过数据库访问密码,方便快捷。
2、对MySQL所在的磁盘或分区进行镜像固定
●还原分析思路1——仿真分析:
如果镜像中包含操作系统,可以通过仿真镜像运行,启动MySQL数据库进行仿真还原。
●还原分析思路2——data目录迁移:
如果只是MySQL数据库存储的分区镜像无法仿真的情况,可以进入分区去固定MySQL数据库的data目录或其上级目录文件,然后参考第1种情况进行还原分析。
3、通过MySQL语句生成备份SQL文件固定
●还原分析思路——SQL备份还原:
通过mysqldump命令进行数据库备份,命令格式参考:“mysqldump -h主机IP -P端口 -u用户名 -p密码 --database 数据库名 > 文件名.sql ”。
4、第三方数据库管理工具固定,如:效率源DBF6300数据库取证分析系统在线固定、Navicat在线连接固定等。
通过以上固定方法,获得的数据库文件类型为MySQL的数据文件所在磁盘或分区的镜像文件、MySQL的数据文件(即data目录文件)、备份sql文件、第三方备份格式文件等,本次将主要给大家介绍MySQL的数据文件的本地还原步骤。
方法一:data目录迁移
①分析固定数据库的版本,可通过固定data目录的文件路径或相关文件确定版本;
②在本地电脑安装相同版本的MySQL软件,安装后停止MySQL服务;
③将本地MySQL的data目录剪切到其他路径(或修改my.ini配置data目录的文件路径),将固定的data目录拷贝到本地MySQL数据库的data目录所在文件夹;
④参考固定数据库的my.ini配置文件相关设置适配并进行其他设置;
⑤绕过并修改MySQL数据库的管理密码;
⑥通过新密码进入还原后的数据库。
具体步骤可参考以下文章内的方法:
【技术实战】如何对有访问密码的MySQL数据库进行取证?
方法二:软件自动分析
①解压获取的MySQL数据库的data目录;
②打开DBF6300数据库取证分析系统选择文件模式加载data目录文件夹;
③选择需要解析的数据库执行解析操作;
④查看解析后数据库中表的数据,包含正常数据和删除数据,以及数据库相关的数据;
⑤根据案件选择所需要的数据可以导出表格;
⑥如需分析,可自行选择相关数据进行分析,数据库取证分析将在下一篇文章中讲到。
1、如果是备份的SQL文件,添加文件时需在文件模式下选择文件;
2、数据库取证分析时,应最大可能固定数据库的数据文件或数据文件所在的磁盘分区镜像,然后进行本地还原分析,因为可以提取恢复到更多的数据;
3、数据库备份文件可以设置成很多格式,取证分析时应开拓思路综合分析,如123数据库备份文件格式可以为:
123.sql/123.csv/123.db/123.bak … 。
现有已固定的MySQL数据库的data目录文件,请按题目给出的要求操作。
检材下载链接:
https://pan.baidu.com/s/1HwkAMlfZrmtKLCwJdQWoDQ
提取码:hmz2
题目:
1. 请给出表“m_userdata”删除的记录数量;
2. 请将“m_userdata”导出为CSV表格,给出其SHA256校验值;
3. 尝试通过data目录迁移方式还原分析。