Alt du trenger for å analysere mobil- og appdata på egen hånd
Sertifisert opplæring i SQLite-etterforskning, komplett program
advanced level | 24 cpe's | updated 2026
Lær SQLite Forensics through a certified, hands-on training course built for professionals investigating mobile app data. Updated for 2026, this course teaches you how to manually analyze and recover data that standard tools often miss, including deleted records, WAL files, and unallocated space.
Opplæringen er utformet rundt virkelige scenarier og nye CTF-utfordringer, og fokuserer på dyptgående kriminalteknisk tolkning, dekoding på sidenivå og praktiske ferdigheter for avansert digital etterforskning.
Sertifisert opplæring i SQLite Forensics
Dette avanserte 3-dagers kurset lærer fagfolk hvordan de kan gjenopprette, dekode og tolke SQLite-data fra mobilapper og andre digitale kilder. Du lærer å identifisere og analysere viktige rettsmedisinske artefakter som slettede poster, WAL/SHM-filer og strukturer på sidenivå - selv når standardverktøy mislykkes.
Opplæringen er oppdatert for 2026 og bygget rundt virkelige saker, interaktive CTF-utfordringer og apper uten støtte. Du bruker tilpassede verktøy og datasett for å utvikle dyp forensisk innsikt og praktiske gjenopprettingsteknikker.
Oversikt over hva du vil lære
- Forstå den interne strukturen og virkemåten til SQLite-databaser
- Manuell analyse av overskrifter, frilister, overflow-sider og record-strukturer
- Analysere WAL/SHM-filer og deres rolle i kriminaltekniske tidslinjer
- Gjenopprett slettede data og gjenoppbygg fullstendige poster fra fragmenter
- Bruk Elusive Datas tilpassede SQLite Visualizer for å gjøre arbeidsflyten raskere
Er dette kurset noe for deg?
Dette kurset er for kriminalteknikere, etterforskere, hendelseshåndterere og analytikere som:
- Behov for å gå lenger enn det verktøyene viser, og avdekke skjulte eller slettede SQLite-bevis
- Arbeid med appdata fra iOS, Android eller andre plattformer
- Validerer regelmessig verktøyets utdata eller støtter juridisk rapportering og vitnemål i retten
- Ønsker du en repeterbar, praktisk tilnærming til SQLite-etterforskning
Hvorfor fagfolk velger dette kurset
- Sertifisert opplæring - inkluderer sertifikat og 24 CPE-poeng
- Relevans for den virkelige verden - bygget for moderne mobile undersøkelser
- Tilpasset verktøy - eksklusiv tilgang til ED SQLite Visualizer
- Scenario-drevne laboratorier - jobbe med komplekse saker og apper som ikke støttes
- Fleksibel levering - ta det live eller på forespørsel
Kursformat og priser
Live Online: €2,290
Hva du vil lære
I dette kurset lærer du å:
- Forstå hvordan SQLite lagrer data Få et klart bilde av hvordan mobilapper skriver, sletter og strukturerer data i databaser.
- Les rå databasefiler med tillit Utvikle ferdigheter i å utforske SQLite-filer manuelt - du trenger ikke å stole på black-box-verktøy.
- Gjenopprett slettede eller skjulte data Lær hvordan du henter ut innhold fra frilister, overflow-poster og fragmenter som andre ofte overser.
- Bruk en velprøvd kriminalteknisk arbeidsflyt Bruk repeterbare teknikker for å navigere i databaser uten støtte og finne svar.
- Forklar funn som holder vann Presenter hva du har funnet og hvordan - klart og tydelig, i rapporter eller i retten.
- Tren på virkelige mobildata Arbeid praktisk med realistiske datasett fra faktiske kriminaltekniske scenarier.
Inkludert i opplæringen din
- Kriminalteknisk design først Utviklet spesielt for fagpersoner som jobber med bevis for mobilapper.
- Autentiske SQLite-utfordringer Analyser databaser med levende, slettet og fragmentert innhold.
- Visuell instruksjon uten kode Alt forklares trinn for trinn - ingen SQL eller skript er nødvendig.
- Dyp innsikt i SQLites interne funksjoner Bli fortrolig med overskrifter, sider, frilister og overflow-kjeder.
- Fleksibel levering Tren i ditt eget tempo på forespørsel, eller bli med på en veiledet live-økt.
- Sertifikat for fullføring Få et nedlastbart sertifikat som viser at opplæringen din er verifisert.
Kursets innhold
Utvid alle seksjoner- Forstå PLists og XML-filer
- Arbeide med base64-kodede data
- Introduksjon til SQLite-databaser
- Oversikt over protokollbuffere
- Utforske B-Tree-formatet
- Quiz + Praktisk inkludert
- Databaseoverskriften
- Sideoverskrifter
- Heltall med variabel lengde (VarInts)
- Manuell analyse av poster
- Frilåsing og fragmentering
- Freelist-sider og slettede data
- Overløpssider og store postkjeder
- Quiz + Praktisk inkludert
- Opprette tabeller og skjemaer
- Sette inn og legge til poster
- Kjøre og analysere SQL-setninger
- Sletting av arkiver: Rettsmedisinske konsekvenser
- Quiz + Praktisk inkludert
- Introduksjon til casestudie
- Strukturell analyse av SQLite-filer
- Teknikker for gjenoppretting av friblokker
- Gjenoppbygging av Freelist-stamsider
- Gjenskape innvendige bordbladsider
- Fullfører rekonstruksjonen
- Quiz + Praktisk inkludert
- Hvorfor SQLite bruker WAL og SHM
- Dissekering av WAL-filen
- Forstå SHM og tilordning av siderammer
- Visualisering av WAL-vekst over tid
- Rettsmedisinsk anvendelse av WAL/SHM i saker
- Quiz + Praktisk inkludert
Hva annet er inkludert
- Interaktive CTF-utfordringer: Jobb deg gjennom virkelige kriminaltekniske gåter med data fra mobilapper.
- Verktøykasse for unnvikende data: Inkluderer ED SQLite Visualizer, som er bygd for manuell sporing av poster.
- Nedlastbare laboratorier: Utforsk databaser med slettet, fragmentert og overfylt innhold.
- Instruktørtilgang: Ta kontakt med oss med spørsmål og få innspill fra eksperter.
- Lifetime Access: Gå tilbake til materialet etter behov - når som helst.
- Sertifikat for fullført utdannelse: Nyttig for interne arkiver, revisjoner og innsending til retten.
Hvem er dette kurset for?
Dette kurset er utviklet for profesjonelle innen digital etterforskning som trenger å gå lenger enn standardverktøyene og tolke SQLite-data med selvtillit og presisjon. Enten du jobber i politiet, med hendelsesrespons eller som kriminalteknisk konsulent, gir dette kurset deg dype, praktiske ferdigheter med umiddelbar effekt.
Det er spesielt verdifullt hvis du:
- Arbeid med mobilappdata fra iOS eller Android i reelle undersøkelser
- Behov for å validere verktøyets utdata eller undersøke apper som ikke støttes
- Ønsker du å hente ut slettede poster, overflødige data eller uallokert innhold
- Håndtere rettsmedisinsk rapportering, ekspertuttalelser eller vitnemål som involverer databaseartefakter
- Er på vei inn i mobil- eller databasekriminalitet og ønsker ekspertledet, strukturert opplæring
- Er ansvarlig for å avdekke skjulte bevis i tilfeller der verktøyene ikke strekker til
Kurset er utformet for etterforskere - ikke utviklere. Alle teknikkene er visuelle, praktiske og verktøyuavhengige.
Hva gjør dette kurset annerledes?
Dette kurset er utformet for å bygge praktisk kompetanse, ikke bare levere innhold. Du får jobbe praktisk med ekte data, løse realistiske kriminaltekniske utfordringer og utvikle en dyp forståelse av hvordan SQLite fungerer i faktiske etterforskninger.
- CTF-lignende utfordringer - løse kriminaltekniske gåter, avkode strukturer og avdekke data som er skjult i ekte mobilapper
- Tilgang til ED SQLite Visualizer - undersøke rå databasesider og overskrifter visuelt, uten skripting
- Steg-for-steg-laboratorier for gjenoppretting - øve på å hente ut slettede data fra frilistsider, overflow-kjeder og WAL-rammer
- Realistiske datasett - instruktørskapte eksempler basert på moderne mobilapper og typiske etterforskningsscenarioer
- Fungerer på tvers av alle plattformer - Bruk dine egne verktøy (Magnet, Cellebrite, Oxygen osv.) eller følg med medfølgende verktøy
- Bygget rundt SQLites interne funksjoner - master B-Tree-oppsett, VarInts, serielle typer, WAL/SHM-parsing og gjenoppretting av sider
Hver del av kurset - inkludert OnDemand-versjonen - er fordypende og praktisk. Du får teknikker du kan bruke direkte i dine nåværende og fremtidige saker.
Instruktøren din
Kurset undervises av James Eichbaum - en erfaren instruktør og utøver innen digital kriminalteknikk med dyp ekspertise innen mobil- og databaseanalyse. I løpet av de siste 15 årene har James undervist tusenvis av fagfolk i over 30 land, med et konsekvent fokus på praktiske ferdigheter og nøyaktighet i etterforskningen.
Han har ledet avanserte opplæringsprogrammer i kriminalteknikk for politi, forsvar og privat sektor over hele verden, inkludert nasjonale politibyråer og kriminaltekniske laboratorier. Med bakgrunn som både instruktør og etterforsker har James et dobbelt perspektiv som gjør komplekse emner forståelige og direkte relevante for den virkelige saksbehandlingen.
I dette sertifiserte kurset i full lengde veileder James deg trinn for trinn gjennom de tekniske detaljene i SQLite - fra sidestrukturer og WAL-filer til manuelle gjenopprettingsmetoder - ved hjelp av strukturerte laboratorier, ekte appdata og realistiske CTF-lignende utfordringer.
Kom i kontakt med James på LinkedIn- Mer enn 15 års undervisning i digital og mobil kriminalteknikk
- Global Training Manager hos MSAB (tidligere)
- California P.O.S.T.-sertifisert instruktør
- Etterforsker, Sacramento Valley High Tech Crimes Task Force
- Spesialfullmektig, FBIs spesialgruppe for cyberkriminalitet
- Mottaker av HTCIAs pris for "Årets case"
Sertifisering og CPE-poeng
Hva du får ut av det komplette SQLite Forensics-kurset
Dette er et dyptgående, teknisk kurs som er utviklet for fagfolk som regelmessig jobber med mobiluttrekk, rettsmedisinske verktøy og komplekse databaser. I løpet av tre fullspekkede dager - eller via vårt selvstyrte format - lærer du hvordan du leser, tolker og gjenoppretter data direkte fra rå SQLite-strukturer med presisjon og klarhet.
Kurset inneholder omfattende praktisk øvelse og tar deg gjennom live-eksempler på slettede poster, gjenoppretting av frilistsider, overflow-håndtering, WAL/SHM-tolkning og mye mer. Du vil ikke bare forstå teorien, men du vil også anvende den i veiledede laboratorier og virkelige CTF-lignende scenarier som er bygget spesielt for rettsmedisinsk bruk.
Enten du analyserer krypterte apper, validerer utdata fra verktøy eller støtter saksarbeid i politimyndigheter eller etterforskning i privat sektor - dette kurset gir deg selvtilliten og ferdighetene du trenger for å håndtere SQLite-baserte data på en grundig måte.
Hele kurset inkluderer:
- Manuell avkoding av WAL- og SHM-filer
- Gjenoppretting fra frilistkjeder og uallokerte sider
- Case-baserte øvelser med realistiske datasett
- Tilgang til proprietære SQLite-forensiske verktøy
- CTF-lignende utfordringer utformet av erfarne instruktører
- 24 CPE-poeng og et verifiserbart sertifikat
VANLIGE SPØRSMÅL
Utvid alleLive: Kurset går over tre hele dager med instruktørledede økter, laboratorier og interaktive casestudier.
On-Demand: Samme innhold, men i eget tempo. Du får 90 dagers tilgang til alle videoer, laboratorier og datasett.
Ja - alt innhold gjenspeiler de nyeste SQLite-strukturene, aktuelle kriminaltekniske verktøy og utfordringer hentet fra moderne mobilapper og databaser.
Ja. Vi tilbyr gruppepriser og tilpasset levering for team på 5 eller flere, inkludert oppstart og støtte for laboratorier og tilgangsstyring.
Det kreves ingen tidligere databaseekspertise. Kurset starter fra grunnen av og veileder deg gjennom SQLites interne funksjoner ved hjelp av visuelle gjennomganger, laboratorier og praktiske øvelser - alt med tanke på rettsmedisinsk anvendelse.
Hver del inneholder praktiske øvelser: analysering av slettede poster, gjenoppbygging av overflow-kjeder, utforsking av WAL/SHM-filer og løsning av scenariobaserte utfordringer basert på virkelige datasett.
Kurset undervises av James Eichbaum, en erfaren instruktør i digital kriminalteknikk med over 15 års erfaring og global anerkjennelse innen mobil- og databasekriminalteknikk. Han har undervist politimyndigheter, DFIR-konsulenter og kriminalteknikere i over 30 land.
Perfekt - dette kurset er et supplement til disse verktøyene. Du lærer hvordan du validerer utdataene, undersøker apper som ikke støttes, og gjenoppretter poster som ofte ikke blir lagt merke til ved automatisk parsing.
Ja, du får et verifiserbart sertifikat med unik ID og instruktørsignatur. Det kvalifiserer for 24 CPE-poeng og oppfyller dokumentasjonsbehov i forbindelse med juridisk, revisjonsmessig eller regulatorisk gjennomgang.
Ja. Live-deltakere kan stille spørsmål i sesjonen. On-demand-deltakere får e-poststøtte fra instruktøren og tilgang til et kuratert ressursbibliotek i hele perioden de har tilgang til kurset.
Ja, kurset er bygget opp rundt ekte appdata og typiske case-scenarier - ikke teori eller syntetiske eksempler. Alt du lærer, kan brukes på dine nåværende og fremtidige caser.
Ja, du vil jobbe deg gjennom realistiske CTF-lignende undersøkelser som er utformet for å forsterke tekniske konsepter med data fra den virkelige verden. Utfordringene er basert på faktisk atferd i mobilapper og vanlige undersøkelsesscenarioer.
Ja - du får tilgang til Elusive Data SQLite Visualizer, et spesialutviklet kriminalteknisk verktøy for visuell inspeksjon av databasestrukturer som frilistsider, B-Trees, WAL-poster og overflow-kjeder.
Ja. Alle direktesendinger tas opp, og deltakerne får tilgang til å se materialet på nytt i opptil 90 dager - inkludert gjennomganger og laboratoriedemonstrasjoner.
Dette er et dypdykk - men det er bygget for å være tilgjengelig. Du vil gå inn i SQLite-internalia på lavt nivå (WAL, B-Tree, VarInts, freelist), men alt er visuelt oppdelt og forsterket med laboratorier og case-eksempler.
Laboratoriene er basert på virkelige appdatabaser, inkludert meldingsapper, lokasjonsplattformer og sosiale medier. Disse er kuratert for å simulere faktiske forhold, med grensetilfeller og slettede poster som kan gjenopprettes.
Ja, det er det. Mange erfarne sensorer, verktøyutviklere og kursholdere i byråer tar dette kurset for å forbedre sine kunnskaper om SQLites interne funksjoner. Kurset er nybegynnervennlig, men passer også godt for erfarne fagfolk som ønsker å gå dypere.
Absolutt. Du lærer å analysere WAL- og SHM-filer manuelt for å identifisere skjulte eller slettede data som ikke finnes i hoved-DB-en - og du får se hvordan tilbakeføring fungerer i flere scenarier.
Kurset er verktøyuavhengig og fokuserer på metoder som fungerer uavhengig av hvilken kriminalteknisk plattform du bruker. Du lærer å validere verktøyresultatene og gå dypere når verktøyene ikke støtter en bestemt app eller artefakt.
Du bør ha noe erfaring med digital etterforskning, mobilanalyse eller DFIR - men du trenger ikke å kunne kode eller ha tidligere databaseopplæring. Dette kurset lærer deg det du trenger, mens du går.
Ja, SQLite brukes i skrivebordsapper, IoT-enheter, nettlesere og synkroniseringsplattformer i skyen. Ferdighetene du lærer her, kan brukes overalt der SQLite dukker opp, også i ikke-mobile tilfeller.
Hva fagfolk sier om dette kurset
Akira H.
Renata S.
Jeroen V.
SQLite Visualizer.
Visualiser, avkod, utforsk. Alt i én SQLite Analysis Suite.
SQLite Visualizer was developed to enhance the way forensic professionals interact with SQLite data, both during training and in real investigations. This forensic suite was designed specifically for this course to complement the techniques you’ll learn and make advanced database analysis more accessible and efficient.
Suiten samler avkoding, visualisering og tolkning i ett og samme grensesnitt. Den forenkler arbeidet med WAL-filer, varints, overflow-sider og strukturerte poster, og hjelper deg med å få bedre innsikt i komplekse mobilappdata.
I SQLite Forensics-kurset bruker du verktøyet gjennom hele kurset i laboratorier og virkelige scenarier, og du beholder det etterpå. Det er en ressurs du kan stole på når du undersøker appdata, gjenoppretter slettede poster eller validerer funn med presisjon.
SQLite Visualizer reflects our belief that effective training should leave you with practical skills, and the tools and methods to apply them right away.
SQLITE kriminalteknikk
SQLite remains the backbone of mobile app storage in 2026, powering everything from chat histories and location logs to app settings and cached media. While forensic tools handle basic extraction well, they often stop short of revealing what’s stored deeper in database internals: write-ahead logs, overflow chains, or custom schemas unique to each app.
Etter hvert som mobilprogramvaren utvikler seg raskt, står granskerne stadig oftere overfor situasjoner der data bare delvis blir dekodet eller ikke blir dekodet i det hele tatt. Å forstå hvordan SQLite fungerer innvendig har blitt avgjørende for pålitelig mobilanalyse.
Dette mikrokurset er utviklet med tanke på denne virkeligheten. Du lærer hvordan du bryter ned SQLite på strukturelt nivå, gjenoppretter data manuelt, tolker hvordan poster er organisert og oppdager mønstre eller avvik som verktøyene alene kanskje ikke kan forklare. Dette er den typen praktisk ekspertise som gir deg mer kontroll i komplekse eller tidskritiske tilfeller.
Related content
Denne fokuserte gjennomgangen gir etterforskere klare, praktiske teknikker for å hente ut krypterte Apple Notes fra iOS 16.x-enheter. Du følger en praktisk, trinnvis prosess som er utformet for å gå lenger enn standardverktøyet, og som gir deg innsikt og selvtillit til å håndtere komplekse saker på en effektiv måte.
Manuell dekoding av VarInts kan være en flaskehals i den kriminaltekniske prosessen, spesielt når du navigerer i inkonsistente eller ukjente databaser. Dette verktøyet gjør tolkningen raskere, slik at du kan fokusere på dypere analyser. Det er gratis å bruke og er spesialutviklet for etterforskere som jobber praktisk med SQLite-interna.
SQLiteVisualizer unifies visual exploration, decoding, SQL analysis, and deleted-data recovery into one seamless workflow. No exports, no tool switching, no lost context.
This article shows how protobuf varints differ from SQLite varints and why that distinction matters in mobile forensics. It includes a full hands-on walkthrough of decoding a protobuf blob, extracting fields, and decrypting the final message.
A transformative, certified program designed to take digital forensic professionals from basic experience to confident Python proficiency. Newly updated for 2026, this hands-on training teaches you to build your own scripts to extract, parse, and analyze hidden evidence from app data.
Når en enkelt SQLite-side ikke kan romme stort innhold som bilder eller media, sprer dataene seg til overflow-sider. Denne veiledningen viser deg hvordan du manuelt kan gjenopprette fragmenterte poster, og avslører bevis som typiske utskjæringsverktøy ofte overser.
hold deg oppdatert
Hold deg oppdatert. Meld deg på vårt månedlige nyhetsbrev.
Bli den første til å høre om nye opplæringsmuligheter, gratis verktøy, casebaserte blogginnlegg og praktisk innsikt. Vårt månedlige nyhetsbrev er laget for å hjelpe deg med å lære raskere, løse saker smartere og holde deg oppdatert i et felt som aldri står stille.
Fyll inn e-postadressen din for å registrere deg.
Be om opplæring
Denne forespørselen er helt uforpliktende. Gi oss beskjed om hvilke datoer som passer for deg, og hvor mange deltakere du ønsker å inkludere. Vi tar kontakt med deg så snart som mulig for å diskutere de beste alternativene sammen.
Ofte stilte spørsmål
How do I recover deleted database records?
Deleted SQLite records remain in the database until the space is overwritten. This course teaches you to manually parse deleted records from freelist pages, freeblocks, and unallocated space — going beyond what standard forensic tools can recover.
What is the WAL file in SQLite forensics?
The Write-Ahead Log (WAL) is a file SQLite uses to stage recent changes before committing them to the main database. It can contain uncommitted data and deleted records critical for mobile app investigations.
How do I recover records from the WAL file?
WAL files contain frames with a header and page data. This course teaches you to parse WAL frame headers, identify modified pages, and extract both staged and deleted data — including records that exist only in the WAL.
What is a VarInt in SQLite?
A Variable-Length Integer (VarInt) is a compact encoding used throughout SQLite for record lengths, serial types, and row IDs. Decoding VarInts is a core skill for manually parsing SQLite records — covered in depth in this course.
What is a freelist page in SQLite?
Freelist pages are database pages marked for reuse after data deletion. They frequently contain recoverable deleted content — making them a primary target for recovering deleted messages, contacts, and app data.
What is an overflow page in SQLite?
When a record is too large for a single database page, SQLite stores the excess on overflow pages. Forensic investigators must trace overflow chains to recover complete records from large text fields, BLOBs, or long messages.
What is a protocol buffer and why does it matter in forensics?
Protocol buffers (protobuf) are a binary format used by many mobile apps. Some apps store protobuf-encoded data inside SQLite fields — requiring investigators to decode both layers to access the underlying evidence.
What is the SQLite file signature?
Every SQLite database begins with a 100-byte header containing the file signature "SQLite format 3". Understanding this header is fundamental for identifying, validating, and parsing SQLite databases in forensic investigations.
Is SQLite Visualizer included with the course?
Yes — every enrollment includes access to ED SQLite Visualizer. Use it to trace deleted records, visualize WAL files, and analyze app databases alongside your training.
This SQLite forensics training is designed for digital forensics investigators who need to go beyond tool output. You'll learn to manually parse SQLite database structures — including B-tree pages, cell arrays, freelist pages, and overflow chains — and recover deleted records that automated tools miss. Topics include WAL file analysis, SHM index parsing, VarInt decoding, freeblock recovery, and protocol buffer interpretation. Whether you're investigating mobile device data, app databases, or cloud-synced SQLite files, this course gives you the skills to extract, validate, and present SQLite evidence with confidence. ED SQLite Visualizer is included free with every enrollment.