Menu
This targeted micro-course reveals the untapped forensic value of SQLite’s Write-Ahead Log (WAL) and Shared Memory (SHM) files, internal mechanisms that preserve the timeline of database activity. While the main SQLite file only shows what’s current, WAL and SHM files tell you what changed, when, and how, often surfacing deleted records that forensic tools miss.
Go beyond static snapshots. This course teaches you how to examine WAL frames as a time machine, uncovering everything from erased messages and overwritten records to precise transaction timing. Using real-world case data and hands-on labs, you’ll learn to extract critical evidence from these often-ignored files before they’re flushed away forever.
The course is approximately 2 hours long and available on demand for self-paced learning or live online in scheduled sessions.
Autore del corso: James Eichbaum
In this 2-hour micro-course, you’ll learn how to examine SQLite’s Write-Ahead Log (WAL) and Shared Memory (SHM) files to uncover deleted, modified, or overwritten data, often invisible to standard forensic tools. Topics include WAL frame structure, SHM indexing, uncommitted transactions, and timeline reconstruction, using real-world forensic scenarios and datasets.
This course is ideal for digital forensic professionals who need to extract evidence from SQLite’s volatile change-tracking system and understand what happened before the current state of the database.
Al termine del corso, saprete come:
Interpret the structure of WAL files and what each frame represents
Use SHM index pages to efficiently navigate WAL contents
Recover deleted records from uncheckpointed WAL segments
Analyze overwritten values and transaction history
Reconstruct timelines of database modifications
Detect tampering by correlating changes across WAL and SHM
Validate forensic tools by verifying changes at the frame level
Al termine di questo microcorso, i partecipanti avranno:
Gained a clear understanding of how WAL and SHM files track database changes over time
Developed the ability to interpret individual WAL frames and identify uncommitted or deleted data
Learned how to navigate and leverage SHM index structures to locate and reconstruct specific page versions
Practiced extracting evidence from real-world WAL and SHM files, including deleted messages and overwritten records
Strengthened their ability to correlate changes with timestamps and reconstruct database modification timelines
Gained confidence in validating or challenging tool output by analyzing volatile change logs directly
Built hands-on skills for identifying and recovering critical evidence that may be absent from the main SQLite database file
This micro-course is designed for forensic analysts, investigators, and technical professionals who need to look beyond the static contents of SQLite databases and understand how changes unfold over time.
It’s especially valuable if you:
Work with mobile app data where critical changes may not be visible in the main database
Need to recover deleted or modified content from volatile SQLite journal files
Are tasked with timeline reconstruction or verifying evidence tampering in legal or internal cases
Frequently validate or challenge automated tool results in court or reporting contexts
Want to master WAL and SHM analysis to uncover what happened before data was committed or removed
You don’t need to be a developer or SQL expert — this course is made for digital forensic professionals who prefer learning by doing, and who want clear, practical techniques for uncovering what tools might miss.
Al termine di questo corso, i partecipanti saranno in grado di:
Explain the role of Write-Ahead Logs (WAL) and Shared Memory (SHM) files in SQLite’s change-tracking mechanism
Decode and interpret individual WAL frames to identify database modifications over time
Navigate SHM index structures to locate specific frames and track data version history
Recover deleted or modified content from WAL files — even when missing from the main database
Reconstruct chronological timelines of database activity for investigative or legal reporting
Identify signs of tampering or incomplete deletions by comparing frame data with final database states
Validate tool output by examining raw WAL and SHM contents manually
Document findings clearly, with technical explanations and visual evidence suitable for court or incident reports
Questo corso è stato creato da James Eichbaum, ex esaminatore forense digitale delle forze dell'ordine e uno degli istruttori più esperti di mobile forensics.
Con oltre un decennio di esperienza nella formazione a livello mondiale, tra cui quella di Global Training Manager presso MSAB, ha formato migliaia di professionisti in oltre 30 paesi, dalle unità di polizia locale ai laboratori nazionali.
James ha condotto indagini reali e testimoniato in tribunale. La sua formazione riflette questa esperienza: pratica, strutturata e incentrata su ciò che funziona davvero. Ogni lezione è progettata per aiutarvi a recuperare manualmente i dati delle app mobili, a comprenderli e a spiegarli chiaramente. Non importa se dovete scrivere un rapporto, rispondere a una revisione QA o testimoniare alla sbarra.
Imparate al vostro ritmo con 5 ore di contenuti guidati da esperti. Apprendimento flessibile e autoguidato.
Prezzo per partecipante
Partecipate alle sessioni con istruttore in remoto. Scegliete una delle nostre lezioni programmate o personalizzate per il vostro team.
Prezzo per partecipante
Abbiamo formato migliaia di professionisti, e queste sono le domande più comuni che sentiamo prima dell'iscrizione, da cosa c'è nel corso a come si inserisce nei casi più impegnativi.
On-Demand (in arrivo a giugno): Accesso a tutte le 5 ore di contenuti al proprio ritmo. Ideale per i professionisti che lavorano e che vogliono avere la flessibilità di formarsi tra un caso e l'altro.
In diretta online: Sessioni guidate da un istruttore e condotte in remoto. La tempistica può essere personalizzata per il vostro team.
You should be comfortable navigating forensic tools and working with mobile artifacts, but you don’t need to be a developer. We’ll guide you through low-level concepts like freeblock parsing, varints, and freelist recovery with clear explanations and hands-on labs.
Sì. Il corso è basato sul certificato e progettato da un ex esaminatore delle forze dell'ordine con esperienza di testimonianza reale. I flussi di lavoro insegnati sono pronti per l'aula di tribunale e sono costruiti per resistere alle verifiche.
Sì. Il corso si basa su dati di applicazioni reali, non su esempi generici. Imparerete flussi di lavoro pratici che potrete applicare immediatamente, anche quando i vostri strumenti sono insufficienti.
Ottimo: questo corso è stato progettato per lavorare insieme a loro. Imparerete a verificare i risultati degli strumenti, a indagare sulle applicazioni non supportate e a recuperare le prove che gli strumenti spesso trascurano. Si tratta di andare oltre ciò che è visibile e di capire cosa sta realmente accadendo nel database.
Questo microcorso è stato progettato per colmare una lacuna cruciale nella formazione forense: la comprensione del modo in cui i database SQLite memorizzano, strutturano e conservano i dati.
In poche ore, imparerete come i record sono disposti su pagine di dimensioni fisse, come i dati cancellati possono persistere nelle liste libere e come le voci di grandi dimensioni sono distribuite su catene di overflow. Svilupperete la capacità di leggere ciò che c'è sotto la superficie, aggiungendo profondità a ciò che i vostri strumenti forensi già vi mostrano.
Attraverso esempi realistici e applicazioni non supportate, lavorerete in prima persona per decodificare le intestazioni, interpretare i VarInts e tracciare i record con precisione. Sia che si tratti di convalidare risultati o di scoprire ciò che gli altri trascurano, questo corso fornisce le conoscenze strutturali necessarie per approfondire le indagini su SQLite.
Continuamente aggiornato e pensato per i professionisti del settore, questo corso offre una formazione veloce, mirata e pratica, senza tagli.
SQLite rimane la spina dorsale dell'archiviazione delle app mobili nel 2025, alimentando qualsiasi cosa, dalle cronologie delle chat e dai registri di posizione alle impostazioni delle app e ai file multimediali memorizzati nella cache. Sebbene gli strumenti forensi gestiscano bene l'estrazione di base, spesso non sono in grado di rivelare ciò che è memorizzato più in profondità negli interni del database: registri write-ahead, catene di overflow o schemi personalizzati unici per ogni app.
Con la rapida evoluzione del software mobile, gli esaminatori si trovano sempre più spesso di fronte a situazioni in cui i dati vengono decodificati solo parzialmente o non vengono affatto decifrati. La comprensione del funzionamento interno di SQLite è diventata essenziale per un'analisi mobile affidabile.
Questo microcorso è stato realizzato tenendo conto di questa realtà. Imparerete a scomporre SQLite a livello strutturale, a recuperare manualmente i dati, a interpretare l'organizzazione dei record e a individuare schemi o anomalie che gli strumenti da soli non possono spiegare. È il tipo di esperienza pratica che vi permette di avere un maggiore controllo in casi complessi o critici dal punto di vista del tempo.
Questa guida pratica fornisce agli investigatori gli strumenti e i metodi per estrarre le Apple Notes crittografate dai dispositivi iOS 16.x. Imparerete tecniche passo-passo che vanno oltre gli strumenti standard e vi aiuteranno ad affrontare casi reali con chiarezza e controllo.
La decodifica manuale dei VarInts può rallentare i flussi di lavoro forensi, soprattutto quando si lavora con database non familiari o disordinati. Questo strumento vi aiuta a interpretare rapidamente questi valori, in modo che possiate concentrarvi sull'analisi. È gratuito e pensato per gli investigatori che lavorano direttamente con gli interni di SQLite.
Le pagine di overflow sono il luogo in cui vengono memorizzati dati di grandi dimensioni, come immagini o media, quando una singola pagina SQLite non è sufficiente. Questo articolo mostra come sia possibile recuperare manualmente i record frammentati, aiutandovi a estrarre le prove che la maggior parte dei metodi di incisione automatici non riescono a individuare.
Siate i primi a conoscere nuove opportunità di formazione, strumenti gratuiti, post sul blog basati su casi e approfondimenti pratici. La nostra newsletter mensile è stata creata per aiutarvi a imparare più velocemente, a risolvere i casi in modo più intelligente e a tenere il passo in un settore che non si ferma mai.
Inserite la vostra e-mail per iscrivervi.
Essere in grado di guardare le pagine grezze e dire "sì, questi sono dati cancellati" senza tirare a indovinare. Questo è ciò che mi ha dato.