Menü
This targeted micro-course reveals the untapped forensic value of SQLite’s Write-Ahead Log (WAL) and Shared Memory (SHM) files, internal mechanisms that preserve the timeline of database activity. While the main SQLite file only shows what’s current, WAL and SHM files tell you what changed, when, and how, often surfacing deleted records that forensic tools miss.
Go beyond static snapshots. This course teaches you how to examine WAL frames as a time machine, uncovering everything from erased messages and overwritten records to precise transaction timing. Using real-world case data and hands-on labs, you’ll learn to extract critical evidence from these often-ignored files before they’re flushed away forever.
The course is approximately 2 hours long and available on demand for self-paced learning or live online in scheduled sessions.
Autor des Kurses: James Eichbaum
In this 2-hour micro-course, you’ll learn how to examine SQLite’s Write-Ahead Log (WAL) and Shared Memory (SHM) files to uncover deleted, modified, or overwritten data, often invisible to standard forensic tools. Topics include WAL frame structure, SHM indexing, uncommitted transactions, and timeline reconstruction, using real-world forensic scenarios and datasets.
This course is ideal for digital forensic professionals who need to extract evidence from SQLite’s volatile change-tracking system and understand what happened before the current state of the database.
Nach dem Kurs werden Sie wissen, wie man:
Interpret the structure of WAL files and what each frame represents
Use SHM index pages to efficiently navigate WAL contents
Recover deleted records from uncheckpointed WAL segments
Analyze overwritten values and transaction history
Reconstruct timelines of database modifications
Detect tampering by correlating changes across WAL and SHM
Validate forensic tools by verifying changes at the frame level
Am Ende dieses Mikrokurses werden die Teilnehmer über folgende Kenntnisse verfügen
Gained a clear understanding of how WAL and SHM files track database changes over time
Developed the ability to interpret individual WAL frames and identify uncommitted or deleted data
Learned how to navigate and leverage SHM index structures to locate and reconstruct specific page versions
Practiced extracting evidence from real-world WAL and SHM files, including deleted messages and overwritten records
Strengthened their ability to correlate changes with timestamps and reconstruct database modification timelines
Gained confidence in validating or challenging tool output by analyzing volatile change logs directly
Built hands-on skills for identifying and recovering critical evidence that may be absent from the main SQLite database file
This micro-course is designed for forensic analysts, investigators, and technical professionals who need to look beyond the static contents of SQLite databases and understand how changes unfold over time.
It’s especially valuable if you:
Work with mobile app data where critical changes may not be visible in the main database
Need to recover deleted or modified content from volatile SQLite journal files
Are tasked with timeline reconstruction or verifying evidence tampering in legal or internal cases
Frequently validate or challenge automated tool results in court or reporting contexts
Want to master WAL and SHM analysis to uncover what happened before data was committed or removed
You don’t need to be a developer or SQL expert — this course is made for digital forensic professionals who prefer learning by doing, and who want clear, practical techniques for uncovering what tools might miss.
Am Ende dieses Kurses werden die Teilnehmer in der Lage sein:
Explain the role of Write-Ahead Logs (WAL) and Shared Memory (SHM) files in SQLite’s change-tracking mechanism
Decode and interpret individual WAL frames to identify database modifications over time
Navigate SHM index structures to locate specific frames and track data version history
Recover deleted or modified content from WAL files — even when missing from the main database
Reconstruct chronological timelines of database activity for investigative or legal reporting
Identify signs of tampering or incomplete deletions by comparing frame data with final database states
Validate tool output by examining raw WAL and SHM contents manually
Document findings clearly, with technical explanations and visual evidence suitable for court or incident reports
Dieser Kurs wurde von James Eichbaum entwickelt, einem ehemaligen Prüfer für digitale Forensik in der Strafverfolgung und einem der erfahrensten Ausbilder für mobile Forensik.
Mit mehr als zehn Jahren weltweiter Schulungserfahrung, unter anderem als Global Training Manager bei MSAB, hat er Tausende von Fachleuten in über 30 Ländern geschult, von lokalen Polizeieinheiten bis hin zu nationalen Labors.
James hat echte Ermittlungen geleitet und vor Gericht ausgesagt. Sein Training spiegelt diese Erfahrung wider: praktisch, strukturiert und auf das konzentriert, was tatsächlich funktioniert. Jede Lektion ist darauf ausgelegt, Ihnen dabei zu helfen, Daten von mobilen Apps manuell wiederherzustellen, sie zu verstehen und klar zu erklären. Ganz gleich, ob Sie einen Bericht schreiben, eine QS-Prüfung beantworten oder im Zeugenstand aussagen müssen.
Lernen Sie in Ihrem eigenen Tempo mit 5 Stunden von Experten geleiteten Inhalten. Flexibles, selbstgesteuertes Lernen.
Preis pro Teilnehmer
Nehmen Sie aus der Ferne an von Dozenten geleiteten Sitzungen teil. Wählen Sie einen unserer geplanten Kurse oder passen Sie ihn für Ihr Team an.
Preis pro Teilnehmer
Wir haben Tausende von Fachleuten geschult, und dies sind die häufigsten Fragen, die wir vor der Anmeldung hören, von den Inhalten des Kurses bis hin zu der Frage, wie der Kurs in die Arbeitsabläufe passt.
On-Demand (erscheint im Juni): Sie können alle 5 Stunden Inhalt in Ihrem eigenen Tempo abrufen. Ideal für Berufstätige, die zwischen aktiven Fällen flexibel trainieren möchten.
Live Online: Von einem Ausbilder geleitete Sitzungen, die aus der Ferne durchgeführt werden. Der Zeitplan kann für Ihr Team angepasst werden.
You should be comfortable navigating forensic tools and working with mobile artifacts, but you don’t need to be a developer. We’ll guide you through low-level concepts like freeblock parsing, varints, and freelist recovery with clear explanations and hands-on labs.
Ja. Der Kurs ist zertifikatsbasiert und von einem ehemaligen Strafverfolgungsbeamten mit Erfahrung in der Zeugenaussage entwickelt. Die gelehrten Arbeitsabläufe sind gerichtstauglich und so aufgebaut, dass sie einer Überprüfung standhalten.
Ja. Der Kurs basiert auf realen Anwendungsdaten, nicht auf allgemeinen Beispielen. Sie lernen praktische Arbeitsabläufe kennen, die Sie sofort anwenden können - selbst wenn Ihre Tools nicht ausreichen.
Großartig - dieser Kurs ist darauf ausgelegt, mit ihnen zu arbeiten. Sie lernen, wie Sie die Ausgabe von Tools überprüfen, nicht unterstützte Anwendungen untersuchen und Beweise wiederherstellen, die diese Tools oft übersehen. Es geht darum, über das hinauszugehen, was sichtbar ist, und zu verstehen, was wirklich in der Datenbank passiert.
Dieser Mikrokurs wurde entwickelt, um eine entscheidende Lücke in der forensischen Ausbildung zu schließen: zu verstehen, wie SQLite-Datenbanken tatsächlich Daten speichern, strukturieren und aufbewahren.
In nur wenigen Stunden lernen Sie, wie Datensätze auf Seiten mit fester Größe angeordnet sind, wie gelöschte Daten in Freelists bestehen bleiben können und wie große Einträge über Überlaufketten verteilt werden. Sie werden die Fähigkeit entwickeln, das zu lesen, was unter der Oberfläche liegt, und damit das zu vertiefen, was Ihre forensischen Werkzeuge Ihnen bereits zeigen.
Anhand von realistischen Beispielen und nicht unterstützten Anwendungen werden Sie praktisch arbeiten, um Header zu dekodieren, VarInts zu interpretieren und Datensätze mit Präzision zu verfolgen. Ganz gleich, ob Sie Ergebnisse validieren oder aufdecken, was andere übersehen, dieser Kurs gibt Ihnen den strukturellen Einblick, um Ihre SQLite-Untersuchungen voranzutreiben.
Dieser Kurs, der ständig aktualisiert wird und für Berufstätige entwickelt wurde, bietet eine schnelle, konzentrierte und praktische Schulung, ohne Abstriche zu machen.
SQLite ist auch im Jahr 2025 noch das Rückgrat der mobilen App-Speicherung, die alles von Chatverläufen und Standortprotokollen bis hin zu App-Einstellungen und zwischengespeicherten Medien speichert. Während forensische Tools die grundlegende Extraktion gut bewältigen, bleiben sie oft hinter dem zurück, was tiefer in den Datenbankinterna gespeichert ist: Write-Ahead-Protokolle, Überlaufketten oder benutzerdefinierte Schemata, die für jede App einzigartig sind.
Mit der rasanten Entwicklung mobiler Software sehen sich die Prüfer immer häufiger mit Situationen konfrontiert, in denen Daten nur teilweise oder gar nicht entschlüsselt werden. Das Verständnis der inneren Funktionsweise von SQLite ist für eine zuverlässige mobile Analyse unerlässlich geworden.
Dieser Mikrokurs wurde unter Berücksichtigung dieser Realität entwickelt. Sie lernen, SQLite auf struktureller Ebene zu zerlegen, Daten manuell wiederherzustellen, die Organisation von Datensätzen zu interpretieren und Muster oder Anomalien zu erkennen, die sich mit Tools allein nicht erklären lassen. Es ist die Art von praktischem Fachwissen, die Ihnen mehr Kontrolle in komplexen oder zeitkritischen Fällen gibt.
Diese praktische Anleitung gibt Ermittlern die Werkzeuge und Methoden an die Hand, um verschlüsselte Apple Notes von iOS 16.x-Geräten zu extrahieren. Sie lernen Schritt für Schritt Techniken, die über die Standardwerkzeuge hinausgehen und Ihnen helfen, reale Fälle mit Klarheit und Kontrolle anzugehen.
Die manuelle Dekodierung von VarInts kann forensische Arbeitsabläufe verlangsamen - vor allem, wenn Sie mit unbekannten oder unübersichtlichen Datenbanken arbeiten. Dieses Tool hilft Ihnen, diese Werte schnell zu interpretieren, damit Sie sich auf die Analyse konzentrieren können. Die Anwendung ist kostenlos und wurde für Ermittler entwickelt, die direkt mit SQLite-Interna arbeiten.
Auf Überlaufseiten werden große Daten, wie Bilder oder Medien, gespeichert, wenn eine einzelne SQLite-Seite nicht ausreicht. Dieser Artikel zeigt, wie fragmentierte Datensätze manuell wiederhergestellt werden können, damit Sie Beweise extrahieren können, die bei den meisten automatisierten Carving-Methoden fehlen.
Seien Sie der Erste, der von neuen Schulungsmöglichkeiten, kostenlosen Tools, fallbezogenen Blogbeiträgen und praktischen Erkenntnissen erfährt. Unser monatlicher Newsletter soll Ihnen helfen, schneller zu lernen, Fälle intelligenter zu lösen und in einem Bereich, der nie stillsteht, auf dem Laufenden zu bleiben.
Geben Sie Ihre E-Mail-Adresse ein, um sich anzumelden.
In der Lage zu sein, Rohseiten anzusehen und zu sagen: "Ja, das waren gelöschte Daten", ohne zu raten. Das ist es, was mir das gegeben hat.