Menu
This targeted micro-course reveals the untapped forensic value of SQLite’s Write-Ahead Log (WAL) and Shared Memory (SHM) files, internal mechanisms that preserve the timeline of database activity. While the main SQLite file only shows what’s current, WAL and SHM files tell you what changed, when, and how, often surfacing deleted records that forensic tools miss.
Go beyond static snapshots. This course teaches you how to examine WAL frames as a time machine, uncovering everything from erased messages and overwritten records to precise transaction timing. Using real-world case data and hands-on labs, you’ll learn to extract critical evidence from these often-ignored files before they’re flushed away forever.
The course is approximately 2 hours long and available on demand for self-paced learning or live online in scheduled sessions.
Auteur du cours : James Eichbaum
In this 2-hour micro-course, you’ll learn how to examine SQLite’s Write-Ahead Log (WAL) and Shared Memory (SHM) files to uncover deleted, modified, or overwritten data, often invisible to standard forensic tools. Topics include WAL frame structure, SHM indexing, uncommitted transactions, and timeline reconstruction, using real-world forensic scenarios and datasets.
This course is ideal for digital forensic professionals who need to extract evidence from SQLite’s volatile change-tracking system and understand what happened before the current state of the database.
À l'issue de la formation, vous saurez comment.. :
Interpret the structure of WAL files and what each frame represents
Use SHM index pages to efficiently navigate WAL contents
Recover deleted records from uncheckpointed WAL segments
Analyze overwritten values and transaction history
Reconstruct timelines of database modifications
Detect tampering by correlating changes across WAL and SHM
Validate forensic tools by verifying changes at the frame level
À la fin de ce microcours, les participants auront :
Gained a clear understanding of how WAL and SHM files track database changes over time
Developed the ability to interpret individual WAL frames and identify uncommitted or deleted data
Learned how to navigate and leverage SHM index structures to locate and reconstruct specific page versions
Practiced extracting evidence from real-world WAL and SHM files, including deleted messages and overwritten records
Strengthened their ability to correlate changes with timestamps and reconstruct database modification timelines
Gained confidence in validating or challenging tool output by analyzing volatile change logs directly
Built hands-on skills for identifying and recovering critical evidence that may be absent from the main SQLite database file
This micro-course is designed for forensic analysts, investigators, and technical professionals who need to look beyond the static contents of SQLite databases and understand how changes unfold over time.
It’s especially valuable if you:
Work with mobile app data where critical changes may not be visible in the main database
Need to recover deleted or modified content from volatile SQLite journal files
Are tasked with timeline reconstruction or verifying evidence tampering in legal or internal cases
Frequently validate or challenge automated tool results in court or reporting contexts
Want to master WAL and SHM analysis to uncover what happened before data was committed or removed
You don’t need to be a developer or SQL expert — this course is made for digital forensic professionals who prefer learning by doing, and who want clear, practical techniques for uncovering what tools might miss.
A l'issue de ce cours, les participants seront capables de :
Explain the role of Write-Ahead Logs (WAL) and Shared Memory (SHM) files in SQLite’s change-tracking mechanism
Decode and interpret individual WAL frames to identify database modifications over time
Navigate SHM index structures to locate specific frames and track data version history
Recover deleted or modified content from WAL files — even when missing from the main database
Reconstruct chronological timelines of database activity for investigative or legal reporting
Identify signs of tampering or incomplete deletions by comparing frame data with final database states
Validate tool output by examining raw WAL and SHM contents manually
Document findings clearly, with technical explanations and visual evidence suitable for court or incident reports
Ce cours a été créé par James Eichbaum, un ancien expert en criminalistique numérique des forces de l'ordre et l'un des formateurs les plus expérimentés dans le domaine de la criminalistique mobile.
Avec plus d'une décennie d'expérience en matière de formation internationale, notamment en tant que responsable mondial de la formation chez MSAB, il a formé des milliers de professionnels dans plus de 30 pays, depuis les unités de police locales jusqu'aux laboratoires nationaux.
James a mené des enquêtes réelles et a témoigné devant les tribunaux. Sa formation reflète cette expérience : elle est pratique, structurée et axée sur ce qui fonctionne réellement. Chaque leçon est conçue pour vous aider à récupérer manuellement des données d'applications mobiles, à les comprendre et à les expliquer clairement. Qu'il s'agisse de rédiger un rapport, de répondre à un examen d'assurance qualité ou de témoigner à la barre.
Apprenez à votre rythme avec 5 heures de contenu dirigé par des experts. Apprentissage flexible et autoguidé.
Prix par participant
Participez à distance à des sessions dirigées par un instructeur. Choisissez l'un de nos cours programmés ou personnalisez-les pour votre équipe.
Prix par participant
Nous avons formé des milliers de professionnels et voici les questions les plus fréquentes que nous entendons avant leur inscription, qu'il s'agisse du contenu du cours ou de la manière dont il s'intègre dans des dossiers très chargés.
A la demande (à venir en juin): Accédez aux 5 heures de contenu à votre propre rythme. Idéal pour les professionnels en activité qui souhaitent bénéficier d'une certaine flexibilité pour se former entre deux dossiers actifs.
Vivre en ligne: Sessions dirigées par un instructeur et menées à distance. Les horaires peuvent être adaptés à votre équipe.
You should be comfortable navigating forensic tools and working with mobile artifacts, but you don’t need to be a developer. We’ll guide you through low-level concepts like freeblock parsing, varints, and freelist recovery with clear explanations and hands-on labs.
Oui, le cours est sur la base d'un certificat et conçu par un ancien examinateur des forces de l'ordre ayant l'expérience de témoignages réels. Les flux de travail enseignés sont adaptés aux salles d'audience et conçus pour résister à l'examen.
Oui. Le cours s'appuie sur des données d'applications réelles, et non sur des exemples génériques. Vous apprendrez des flux de travail pratiques que vous pourrez appliquer immédiatement, même lorsque vos outils ne suffisent pas.
Ce cours est conçu pour les accompagner. Vous apprendrez à vérifier les résultats des outils, à enquêter sur les applications non prises en charge et à récupérer les preuves que les outils négligent souvent. Il s'agit d'aller au-delà de ce qui est visible et de comprendre ce qui se passe réellement dans la base de données.
Ce microcours a été conçu pour combler une lacune cruciale dans la formation en criminalistique : comprendre comment les bases de données SQLite stockent, structurent et conservent les données.
En quelques heures seulement, vous apprendrez comment les enregistrements sont disposés sur des pages de taille fixe, comment les données supprimées peuvent persister dans des listes libres et comment les entrées volumineuses sont réparties sur des chaînes de débordement. Vous développerez votre capacité à lire ce qui se cache sous la surface, en ajoutant de la profondeur à ce que vos outils d'investigation vous montrent déjà.
A travers des exemples réalistes et des applications non supportées, vous travaillerez de manière pratique pour décoder les en-têtes, interpréter les VarInts et tracer les enregistrements avec précision. Que vous validiez des résultats ou que vous découvriez ce que d'autres ont négligé, ce cours vous donne la vision structurelle nécessaire pour aller plus loin dans vos recherches sur SQLite.
Continuellement mis à jour et conçu pour les professionnels, ce cours offre une formation rapide, ciblée et pratique sans compromis.
SQLite reste l'épine dorsale du stockage des applications mobiles en 2025, alimentant tout, depuis les historiques de chat et les journaux de localisation jusqu'aux paramètres des applications et aux médias mis en cache. Si les outils de forensic gèrent bien l'extraction de base, ils sont souvent incapables de révéler ce qui est stocké plus profondément dans les bases de données internes : les journaux d'écriture, les chaînes de débordement ou les schémas personnalisés propres à chaque application.
Les logiciels mobiles évoluant rapidement, les examinateurs sont de plus en plus souvent confrontés à des situations où les données ne sont que partiellement décodées, voire pas du tout. Comprendre le fonctionnement interne de SQLite est devenu essentiel pour une analyse mobile fiable.
Ce micro-cours a été conçu en tenant compte de cette réalité. Vous apprendrez à décomposer SQLite au niveau structurel, à récupérer les données manuellement, à interpréter la façon dont les enregistrements sont organisés et à repérer des modèles ou des anomalies que les outils seuls ne peuvent pas expliquer. C'est le genre d'expertise pratique qui vous donne plus de contrôle dans les cas complexes ou où le temps est compté.
Ce guide pratique fournit aux enquêteurs les outils et méthodes nécessaires pour extraire les Apple Notes chiffrées des appareils iOS 16.x. Vous apprendrez des techniques étape par étape qui vont au-delà des outils standard et vous aideront à aborder des cas réels avec clarté et maîtrise.
Le décodage manuel des VarInts peut ralentir les processus d'analyse, en particulier lorsque vous travaillez avec des bases de données peu familières ou désordonnées. Cet outil vous aide à interpréter ces valeurs rapidement, afin que vous puissiez vous concentrer sur l'analyse. Il est gratuit et conçu pour les enquêteurs qui travaillent directement avec les éléments internes de SQLite.
Les pages de débordement sont l'endroit où les données volumineuses, comme les images ou les médias, sont stockées lorsqu'une seule page SQLite ne suffit pas. Cet article montre comment les enregistrements fragmentés peuvent être récupérés manuellement, ce qui vous permet d'extraire des preuves que la plupart des méthodes de découpage automatisées ne parviennent pas à extraire.
Soyez le premier à être informé des nouvelles opportunités de formation, des outils gratuits, des articles de blog basés sur des cas concrets et des idées pratiques. Notre lettre d'information mensuelle est conçue pour vous aider à apprendre plus rapidement, à résoudre des cas plus intelligemment et à rester à jour dans un domaine qui n'est jamais figé.
Remplissez votre email pour vous inscrire.
Pouvoir regarder des pages brutes et dire "oui, il s'agit de données supprimées" sans avoir à deviner. C'est ce que cela m'a apporté.