Menú
This targeted micro-course reveals the untapped forensic value of SQLite’s Write-Ahead Log (WAL) and Shared Memory (SHM) files, internal mechanisms that preserve the timeline of database activity. While the main SQLite file only shows what’s current, WAL and SHM files tell you what changed, when, and how, often surfacing deleted records that forensic tools miss.
Go beyond static snapshots. This course teaches you how to examine WAL frames as a time machine, uncovering everything from erased messages and overwritten records to precise transaction timing. Using real-world case data and hands-on labs, you’ll learn to extract critical evidence from these often-ignored files before they’re flushed away forever.
The course is approximately 2 hours long and available on demand for self-paced learning or live online in scheduled sessions.
Autor del curso: James Eichbaum
In this 2-hour micro-course, you’ll learn how to examine SQLite’s Write-Ahead Log (WAL) and Shared Memory (SHM) files to uncover deleted, modified, or overwritten data, often invisible to standard forensic tools. Topics include WAL frame structure, SHM indexing, uncommitted transactions, and timeline reconstruction, using real-world forensic scenarios and datasets.
This course is ideal for digital forensic professionals who need to extract evidence from SQLite’s volatile change-tracking system and understand what happened before the current state of the database.
Después del curso, sabrás cómo:
Interpret the structure of WAL files and what each frame represents
Use SHM index pages to efficiently navigate WAL contents
Recover deleted records from uncheckpointed WAL segments
Analyze overwritten values and transaction history
Reconstruct timelines of database modifications
Detect tampering by correlating changes across WAL and SHM
Validate forensic tools by verifying changes at the frame level
Al final de este microcurso, los participantes tendrán:
Gained a clear understanding of how WAL and SHM files track database changes over time
Developed the ability to interpret individual WAL frames and identify uncommitted or deleted data
Learned how to navigate and leverage SHM index structures to locate and reconstruct specific page versions
Practiced extracting evidence from real-world WAL and SHM files, including deleted messages and overwritten records
Strengthened their ability to correlate changes with timestamps and reconstruct database modification timelines
Gained confidence in validating or challenging tool output by analyzing volatile change logs directly
Built hands-on skills for identifying and recovering critical evidence that may be absent from the main SQLite database file
This micro-course is designed for forensic analysts, investigators, and technical professionals who need to look beyond the static contents of SQLite databases and understand how changes unfold over time.
It’s especially valuable if you:
Work with mobile app data where critical changes may not be visible in the main database
Need to recover deleted or modified content from volatile SQLite journal files
Are tasked with timeline reconstruction or verifying evidence tampering in legal or internal cases
Frequently validate or challenge automated tool results in court or reporting contexts
Want to master WAL and SHM analysis to uncover what happened before data was committed or removed
You don’t need to be a developer or SQL expert — this course is made for digital forensic professionals who prefer learning by doing, and who want clear, practical techniques for uncovering what tools might miss.
Al finalizar este curso, los participantes serán capaces de:
Explain the role of Write-Ahead Logs (WAL) and Shared Memory (SHM) files in SQLite’s change-tracking mechanism
Decode and interpret individual WAL frames to identify database modifications over time
Navigate SHM index structures to locate specific frames and track data version history
Recover deleted or modified content from WAL files — even when missing from the main database
Reconstruct chronological timelines of database activity for investigative or legal reporting
Identify signs of tampering or incomplete deletions by comparing frame data with final database states
Validate tool output by examining raw WAL and SHM contents manually
Document findings clearly, with technical explanations and visual evidence suitable for court or incident reports
Este curso ha sido creado por James Eichbaum, antiguo examinador forense digital de las fuerzas de seguridad y uno de los instructores con más experiencia en investigación forense móvil.
Con más de una década de experiencia en formación global, incluida la de Director de Formación Global en MSAB, ha formado a miles de profesionales en más de 30 países, desde unidades de policía local hasta laboratorios nacionales.
James ha dirigido investigaciones reales y ha testificado ante los tribunales. Su formación refleja esa experiencia: práctica, estructurada y centrada en lo que realmente funciona. Cada lección está diseñada para ayudarte a recuperar datos de aplicaciones móviles manualmente, entenderlos y explicarlos con claridad. No importa si estás escribiendo un informe, respondiendo a una revisión de control de calidad o testificando en el estrado.
Aprenda a su propio ritmo con 5 horas de contenido dirigido por expertos. Aprendizaje flexible y autoguiado.
Precio por participante
Participe a distancia en sesiones dirigidas por un instructor. Elige una de nuestras clases programadas o personalízala para tu equipo.
Precio por participante
Hemos formado a miles de profesionales, y éstas son las preguntas más frecuentes que nos hacen antes de matricularse, desde el contenido del curso hasta cómo encajarlo en la ajetreada carga de trabajo.
A la carta (en junio): Acceda a las 5 horas de contenido a su propio ritmo. Ideal para profesionales en activo que desean flexibilidad para formarse entre casos activos.
En directo en línea: Sesiones impartidas a distancia por un instructor. El horario puede adaptarse a su equipo.
You should be comfortable navigating forensic tools and working with mobile artifacts, but you don’t need to be a developer. We’ll guide you through low-level concepts like freeblock parsing, varints, and freelist recovery with clear explanations and hands-on labs.
Sí. El curso es basado en certificados y diseñado por un antiguo examinador de las fuerzas de seguridad con experiencia en testimonios reales. Los flujos de trabajo que se enseñan están preparados para la sala del tribunal y están diseñados para resistir la revisión.
Sí. El curso se basa en datos de aplicaciones del mundo real, no en ejemplos genéricos. Aprenderás flujos de trabajo prácticos que podrás aplicar inmediatamente, incluso cuando tus herramientas se queden cortas.
Este curso está diseñado para trabajar con ellas. Aprenderá a verificar los resultados de las herramientas, a investigar aplicaciones no compatibles y a recuperar pruebas que las herramientas suelen pasar por alto. Se trata de ir más allá de lo que es visible y entender lo que realmente está sucediendo en la base de datos.
Este microcurso se diseñó para llenar un vacío crucial en la formación forense: comprender cómo las bases de datos SQLite almacenan, estructuran y retienen realmente los datos.
En unas pocas horas, aprenderá cómo se distribuyen los registros en páginas de tamaño fijo, cómo pueden persistir los datos borrados en listas independientes y cómo se distribuyen las entradas de gran tamaño en cadenas de desbordamiento. Desarrollará la capacidad de leer lo que hay bajo la superficie, añadiendo profundidad a lo que ya le muestran sus herramientas forenses.
A través de ejemplos realistas y aplicaciones sin soporte, trabajarás de forma práctica para decodificar cabeceras, interpretar VarInts y rastrear registros con precisión. Ya sea que esté validando hallazgos o descubriendo lo que otros pasan por alto, este curso le da la visión estructural para llevar sus investigaciones SQLite más allá.
Continuamente actualizado y diseñado para profesionales en activo, este curso ofrece una formación rápida, centrada y práctica sin escatimar esfuerzos.
SQLite sigue siendo la espina dorsal del almacenamiento de las aplicaciones móviles en 2025, ya que lo alimenta todo, desde los historiales de chat y los registros de ubicación hasta la configuración de las aplicaciones y los archivos multimedia almacenados en caché. Aunque las herramientas forenses realizan bien la extracción básica, a menudo se quedan cortas a la hora de revelar lo que se almacena en el interior de las bases de datos: registros de escritura anticipada, cadenas de desbordamiento o esquemas personalizados exclusivos de cada aplicación.
A medida que el software móvil evoluciona con rapidez, los examinadores se enfrentan cada vez más a situaciones en las que los datos sólo se descodifican parcialmente o se pierden por completo. Comprender el funcionamiento interno de SQLite se ha convertido en algo esencial para un análisis móvil fiable.
Este microcurso se ha creado teniendo en cuenta esta realidad. Aprenderás a descomponer SQLite a nivel estructural, recuperando datos manualmente, interpretando cómo se organizan los registros y detectando patrones o anomalías que las herramientas por sí solas no pueden explicar. Es el tipo de experiencia práctica que le da más control en casos complejos o en los que el tiempo es un factor crítico.
Este práctico tutorial ofrece a los investigadores las herramientas y métodos para extraer notas de Apple cifradas de dispositivos iOS 16.x. Aprenderá técnicas paso a paso que van más allá de las herramientas estándar y le ayudarán a abordar casos del mundo real con claridad y control.
La descodificación manual de VarInts puede ralentizar los flujos de trabajo forenses, especialmente cuando se trabaja con bases de datos desconocidas o desordenadas. Esta herramienta le ayuda a interpretar esos valores rápidamente, para que pueda centrarse en el análisis. Es gratuita y está pensada para investigadores que trabajan directamente con los componentes internos de SQLite.
Las páginas de desbordamiento son donde se almacenan los datos de gran tamaño, como imágenes o archivos multimedia, cuando una sola página SQLite no es suficiente. Este artículo muestra cómo se pueden recuperar manualmente los registros fragmentados, ayudándote a extraer pruebas que la mayoría de los métodos de despiece automatizados pasan por alto.
Sea el primero en enterarse de nuevas oportunidades de formación, herramientas gratuitas, entradas de blog basadas en casos y conocimientos prácticos. Nuestro boletín mensual está pensado para ayudarte a aprender más rápido, resolver casos de forma más inteligente y mantenerte al día en un sector que nunca se detiene.
Introduce tu correo electrónico para inscribirte.
Poder ver páginas sin procesar y decir "sí, son datos borrados" sin tener que adivinar. Eso es lo que me ha dado.