Wszystko, czego potrzebujesz, aby samodzielnie analizować dane mobilne i dane aplikacji
Certyfikowane szkolenie z zakresu analizy śledczej SQLite, pełny program
advanced level | 24 cpe's | updated 2026
Nauka SQLite Forensics through a certified, hands-on training course built for professionals investigating mobile app data. Updated for 2026, this course teaches you how to manually analyze and recover data that standard tools often miss, including deleted records, WAL files, and unallocated space.
Zaprojektowane w oparciu o rzeczywiste scenariusze i nowe wyzwania CTF, szkolenie koncentruje się na dogłębnej interpretacji kryminalistycznej, dekodowaniu na poziomie strony i praktycznych umiejętnościach w zakresie zaawansowanych dochodzeń cyfrowych.
Certyfikowane szkolenie SQLite Forensics
Ten zaawansowany, 3-dniowy kurs uczy profesjonalistów, jak odzyskiwać, dekodować i interpretować dane SQLite z aplikacji mobilnych i innych źródeł cyfrowych. Nauczysz się identyfikować i analizować kluczowe artefakty kryminalistyczne, takie jak usunięte rekordy, pliki WAL/SHM i struktury na poziomie strony - nawet gdy standardowe narzędzia zawodzą.
Szkolenie jest zaktualizowane na 2026 rok i zbudowane wokół prawdziwych spraw, interaktywnych wyzwań CTF i nieobsługiwanych aplikacji. Używasz niestandardowych narzędzi i zbiorów danych, aby rozwinąć głęboki wgląd kryminalistyczny i praktyczne techniki odzyskiwania.
Przegląd tego, czego się nauczysz
- Zrozumienie wewnętrznej struktury i zachowania baz danych SQLite
- Ręczne analizowanie nagłówków, wolnych list, stron przepełnienia i struktur rekordów
- Analiza plików WAL/SHM i ich roli w śledztwach sądowych
- Odzyskiwanie usuniętych danych i odbudowywanie pełnych rekordów z fragmentów
- Użyj niestandardowego wizualizatora SQLite firmy Elusive Data, aby przyspieszyć przepływ pracy
Czy ten kurs jest dla Ciebie?
Ten kurs jest przeznaczony dla biegłych sądowych, śledczych, osób reagujących na incydenty i analityków, którzy:
- Trzeba wyjść poza to, co pokazują narzędzia i odkryć ukryte lub usunięte dowody SQLite
- Praca z danymi aplikacji z systemów iOS, Android lub innych platform
- Regularna walidacja danych wyjściowych narzędzia lub wsparcie sprawozdawczości prawnej i zeznań sądowych.
- Potrzebujesz powtarzalnego, praktycznego podejścia do analizy śledczej SQLite?
Dlaczego profesjonaliści wybierają ten kurs
- Certyfikowane szkolenie - Zawiera certyfikat i 24 punkty CPE
- Znaczenie w świecie rzeczywistym - Zbudowany dla nowoczesnych badań mobilnych
- Niestandardowe oprzyrządowanie - wyłączny dostęp do ED SQLite Visualizer
- Laboratoria oparte na scenariuszach - praca ze złożonymi przypadkami i nieobsługiwanymi aplikacjami
- Elastyczna dostawa - na żywo lub na żądanie
Format kursu i ceny
Live Online: €2,290
Czego się nauczysz
W tym kursie nauczysz się:
- Zrozumienie, w jaki sposób SQLite przechowuje dane Uzyskaj jasny obraz tego, jak aplikacje mobilne zapisują, usuwają i strukturyzują swoje dane w bazach danych.
- Pewne odczytywanie nieprzetworzonych plików baz danych Rozwijaj umiejętności ręcznego eksplorowania plików SQLite - nie musisz polegać na narzędziach typu black-box.
- Odzyskiwanie usuniętych lub ukrytych danych Dowiedz się, jak wyodrębnić zawartość freelist, przepełnione rekordy i fragmenty, które inni często pomijają.
- Korzystanie ze sprawdzonego kryminalistycznego przepływu pracy Zastosuj powtarzalne techniki, aby poruszać się po nieobsługiwanych bazach danych i odkrywać odpowiedzi.
- Wyjaśnij ustalenia, które się utrzymują Przedstaw to, co znalazłeś i w jaki sposób - jasno i w sposób możliwy do obrony, w raportach lub w sądzie.
- Trenuj na rzeczywistych danych mobilnych Praktyczna praca z realistycznymi zestawami danych z rzeczywistych scenariuszy kryminalistycznych.
Zawarte w szkoleniu
- Projektowanie oparte na informatyce śledczej Stworzony specjalnie dla profesjonalistów pracujących z dowodami aplikacji mobilnych.
- Autentyczne wyzwania SQLite Analizuj bazy danych z aktywną, usuniętą i pofragmentowaną zawartością.
- Wizualna instrukcja bez kodu Wszystko jest wyjaśnione krok po kroku - nie jest wymagany SQL ani skrypty.
- Dogłębny wgląd w wewnętrzne elementy SQLite Poczuj się komfortowo z nagłówkami, stronami, freelistami i łańcuchami przepełnień.
- Elastyczna dostawa Trenuj we własnym tempie na żądanie lub dołącz do sesji na żywo z przewodnikiem.
- Certyfikat ukończenia Zdobądź certyfikat do pobrania, aby pokazać, że Twoje szkolenie zostało zweryfikowane.
Treść kursu
Rozwiń wszystkie sekcje- Zrozumienie list PL i plików XML
- Praca z danymi zakodowanymi w base64
- Wprowadzenie do baz danych SQLite
- Przegląd buforów protokołów
- Eksploracja formatu B-Tree
- W zestawie quiz + praktyka
- Nagłówek bazy danych
- Nagłówki stron
- Liczby całkowite o zmiennej długości (VarInts)
- Ręczne analizowanie rekordów
- Freeblocki i fragmentacja
- Strony Freelist i usunięte dane
- Overflow Pages i duże łańcuchy rekordów
- W zestawie quiz + praktyka
- Tworzenie tabel i schematów
- Wstawianie i dodawanie rekordów
- Uruchamianie i analizowanie instrukcji SQL
- Usuwanie rekordów: Implikacje kryminalistyczne
- W zestawie quiz + praktyka
- Wprowadzenie do studium przypadku
- Analiza strukturalna plików SQLite
- Techniki odzyskiwania Freeblock
- Przebudowa stron Freelist Trunk
- Odtwarzanie wewnętrznych stron liści tabeli
- Finalizacja przebudowy
- W zestawie quiz + praktyka
- Dlaczego SQLite używa WAL i SHM
- Analiza pliku WAL
- Zrozumienie SHM i mapowania ramek stron
- Wizualizacja wzrostu WAL w czasie
- Kryminalistyczne zastosowanie WAL/SHM w sprawach
- W zestawie quiz + praktyka
Co jeszcze jest wliczone w cenę
- Interaktywne wyzwania CTF: Rozwiąż rzeczywiste zagadki kryminalistyczne z danymi aplikacji mobilnych.
- Elusive Data Toolkit: Zawiera ED SQLite Visualizer stworzony do ręcznego śledzenia rekordów.
- Laboratoria do pobrania: Przeglądaj bazy danych z usuniętą, pofragmentowaną i przepełnioną zawartością.
- Dostęp dla instruktorów: Zadawaj pytania i korzystaj z pomocy ekspertów.
- Dożywotni dostęp: Wróć do tego materiału w dowolnym momencie.
- Certyfikat ukończenia: Przydatne w przypadku dokumentacji wewnętrznej, audytów i wniosków sądowych.
Dla kogo przeznaczony jest ten kurs?
Ten kurs jest przeznaczony dla profesjonalistów zajmujących się kryminalistyką cyfrową, którzy muszą wyjść poza standardowe narzędzia i interpretować dane SQLite z pewnością i precyzją. Niezależnie od tego, czy zajmujesz się egzekwowaniem prawa, reagowaniem na incydenty czy doradztwem kryminalistycznym, ten kurs zapewnia głębokie, praktyczne umiejętności o natychmiastowym wpływie.
Jest to szczególnie cenne, jeśli
- Praca z danymi aplikacji mobilnych z systemu iOS lub Android w czasie rzeczywistym
- Potrzeba sprawdzenia poprawności danych wyjściowych narzędzia lub zbadania nieobsługiwanych aplikacji
- Chcesz wyodrębnić usunięte rekordy, przepełnione dane lub nieprzydzieloną zawartość?
- Obsługa raportów kryminalistycznych, ekspertyz lub zeznań dotyczących artefaktów baz danych
- Przechodzą na kryminalistykę mobilną lub bazodanową i potrzebują ustrukturyzowanego szkolenia prowadzonego przez ekspertów
- Są odpowiedzialni za odkrywanie ukrytych dowodów w przypadkach, gdy narzędzia zawodzą.
Kurs jest przeznaczony dla badaczy, a nie programistów. Wszystkie techniki są wizualne, praktyczne i niezależne od narzędzi.
Co wyróżnia ten kurs?
Ten kurs ma na celu budowanie praktycznej wiedzy, a nie tylko dostarczanie treści. Będziesz pracować z prawdziwymi danymi, rozwiązywać realistyczne wyzwania kryminalistyczne i dogłębnie rozumieć, jak SQLite działa w rzeczywistych dochodzeniach.
- Wyzwania w stylu CTF - Rozwiązuj zagadki kryminalistyczne, dekoduj struktury i odkrywaj dane ukryte w prawdziwych aplikacjach mobilnych.
- Dostęp do ED SQLite Visualizer - wizualne sprawdzanie surowych stron bazy danych i nagłówków, bez użycia skryptów
- Laboratoria odzyskiwania danych krok po kroku - ćwiczenie wyodrębniania usuniętych danych ze stron freelist, łańcuchów przepełnienia i ramek WAL
- Realistyczne zestawy danych - przykłady stworzone przez instruktora w oparciu o nowoczesne aplikacje mobilne i typowe scenariusze dochodzeniowe
- Działa na wszystkich platformach - używać własnych narzędzi (Magnet, Cellebrite, Oxygen itp.) lub postępować zgodnie z dostarczonymi narzędziami
- Zbudowany wokół wewnętrznych elementów SQLite - główne układy B-Tree, VarInts, typy szeregowe, parsowanie WAL/SHM i odzyskiwanie stron
Każda część kursu - w tym wersja OnDemand - jest wciągająca i praktyczna. Poznasz techniki, które możesz zastosować bezpośrednio w swoich obecnych i przyszłych sprawach.
Instruktor
Kurs jest prowadzony przez Jamesa Eichbauma - doświadczonego instruktora kryminalistyki cyfrowej i praktyka z głęboką wiedzą specjalistyczną w zakresie analizy urządzeń mobilnych i baz danych. W ciągu ostatnich ponad 15 lat James przeszkolił tysiące profesjonalistów w ponad 30 krajach, konsekwentnie koncentrując się na praktycznych umiejętnościach i dokładności dochodzeniowej.
Prowadził zaawansowane programy szkoleniowe z zakresu kryminalistyki dla organów ścigania, obrony i zespołów z sektora prywatnego na całym świecie, w tym krajowych agencji policyjnych i laboratoriów kryminalistycznych. Dzięki doświadczeniu zarówno jako instruktor, jak i śledczy, James wnosi podwójną perspektywę, która sprawia, że złożone tematy są zrozumiałe i bezpośrednio związane z rzeczywistymi sprawami.
W tym pełnowymiarowym certyfikowanym kursie James prowadzi Cię krok po kroku przez wewnętrzne elementy SQLite - od struktur stron i plików WAL po ręczne metody odzyskiwania - przy użyciu ustrukturyzowanych laboratoriów, prawdziwych danych aplikacji i realistycznych wyzwań w stylu CTF.
Połącz się z Jamesem na LinkedIn- Ponad 15 lat nauczania kryminalistyki cyfrowej i mobilnej
- Globalny kierownik ds. szkoleń w MSAB (poprzednio)
- Certyfikowany instruktor P.O.S.T. w Kalifornii
- Detektyw, Grupa Zadaniowa ds. Przestępstw Zaawansowanych Technologicznie w Dolinie Sacramento
- Specjalny zastępca marszałka USA, FBI Cyber Crimes Task Force
- Odbiorca nagrody HTCIA "Przypadek roku"
Certyfikacja i punkty CPE
Co zyskasz dzięki pełnemu kursowi SQLite Forensics
Jest to dogłębne, techniczne szkolenie przeznaczone dla profesjonalistów, którzy regularnie pracują z mobilnymi ekstrakcjami, narzędziami kryminalistycznymi i złożonymi bazami danych. W ciągu trzech pełnych dni - lub za pośrednictwem naszego formatu samodzielnego - dowiesz się, jak czytać, interpretować i odzyskiwać dane bezpośrednio z surowych struktur SQLite z precyzją i przejrzystością.
Kurs obejmuje obszerną praktykę praktyczną i prowadzi przez przykłady na żywo dotyczące usuwania rekordów, odzyskiwania stron freelist, obsługi przepełnienia, interpretacji WAL/SHM i wielu innych. Nie tylko zrozumiesz teorię, ale także zastosujesz ją w laboratoriach z przewodnikiem i rzeczywistych scenariuszach w stylu CTF, stworzonych specjalnie do użytku kryminalistycznego.
Niezależnie od tego, czy analizujesz zaszyfrowane aplikacje, sprawdzasz poprawność danych wyjściowych narzędzia, czy też wspierasz pracę w dochodzeniach organów ścigania lub sektora prywatnego - ten kurs buduje pewność siebie i zestaw umiejętności potrzebnych do dogłębnej obsługi danych opartych na SQLite.
Pełny kurs obejmuje:
- Ręczne dekodowanie plików WAL i SHM
- Odzyskiwanie z łańcuchów freelist i nieprzydzielonych stron
- Ćwiczenia oparte na przypadkach z wykorzystaniem realistycznych zestawów danych
- Dostęp do zastrzeżonych narzędzi kryminalistycznych SQLite
- Wyzwania w stylu CTF zaprojektowane przez doświadczonych instruktorów
- 24 punkty CPE i weryfikowalny certyfikat
FAQ
Rozwiń wszystkoNa żywo: Dostarczane przez 3 pełne dni z sesjami prowadzonymi przez instruktorów, laboratoriami i interaktywnymi studiami przypadków.
Na żądanie: Ta sama zawartość, ale w trybie samodzielnym. Otrzymujesz 90-dniowy dostęp do wszystkich filmów, laboratoriów i zestawów danych.
Tak - cała zawartość odzwierciedla najnowsze struktury SQLite, aktualne narzędzia kryminalistyczne i wyzwania związane z nowoczesnymi aplikacjami mobilnymi i bazami danych.
Tak. Oferujemy ceny grupowe i niestandardowe dostawy dla zespołów liczących co najmniej 5 osób, w tym wdrożenie i wsparcie w zakresie laboratoriów i zarządzania dostępem.
Nie jest wymagana wcześniejsza wiedza z zakresu baz danych. Kurs rozpoczyna się od podstaw, prowadząc przez wewnętrzne elementy SQLite za pomocą wizualnych instrukcji, laboratoriów i praktycznych ćwiczeń - wszystko z myślą o zastosowaniach kryminalistycznych.
Każda sekcja zawiera praktyczne ćwiczenia: analizowanie usuniętych rekordów, odbudowywanie łańcuchów przepełnienia, eksplorowanie plików WAL/SHM i rozwiązywanie wyzwań opartych na scenariuszach w oparciu o rzeczywiste zestawy danych.
Kurs jest prowadzony przez Jamesa Eichbauma, weterana kryminalistyki cyfrowej z ponad 15-letnim doświadczeniem i globalnym uznaniem w dziedzinie kryminalistyki mobilnej i baz danych. Szkolił organy ścigania, konsultantów DFIR i ekspertów kryminalistycznych w ponad 30 krajach.
Doskonale - ten kurs uzupełnia te narzędzia. Dowiesz się, jak zweryfikować ich dane wyjściowe, zbadać nieobsługiwane aplikacje i odzyskać rekordy, które często pozostają niezauważone przez automatyczne analizowanie.
Tak. Otrzymasz weryfikowalny certyfikat z unikalnym identyfikatorem i podpisem instruktora. Kwalifikuje się on do 24 punkty CPE i spełnia wymagania dotyczące dokumentacji na potrzeby prawne, audytowe lub regulacyjne.
Tak. Uczestnicy na żywo mogą zadawać pytania podczas sesji. Uczestnicy szkoleń na żądanie otrzymują wsparcie instruktora za pośrednictwem poczty elektronicznej i dostęp do wyselekcjonowanej biblioteki zasobów przez cały okres dostępu.
Tak. Kurs opiera się na rzeczywistych danych aplikacji i typowych scenariuszach przypadków - nie na teorii ani syntetycznych przykładach. Wszystko, czego się nauczysz, ma zastosowanie do twoich obecnych i przyszłych przypadków.
Tak. Będziesz pracować nad realistycznymi badaniami w stylu CTF, zaprojektowanymi w celu wzmocnienia koncepcji technicznych za pomocą rzeczywistych danych. Wyzwania te opierają się na rzeczywistym zachowaniu aplikacji mobilnych i typowych scenariuszach dochodzeniowych.
Tak - otrzymasz dostęp do Elusive Data SQLite Visualizer, niestandardowego narzędzia kryminalistycznego do wizualnej inspekcji struktur baz danych, takich jak strony freelist, B-Trees, rekordy WAL i łańcuchy przepełnienia.
Tak. Wszystkie sesje na żywo są nagrywane, a uczestnicy otrzymują dostęp na żądanie, aby ponownie obejrzeć materiał przez okres do 90 dni - w tym instrukcje i demonstracje laboratoryjne.
To jest głębokie nurkowanie - ale zbudowane tak, aby było przystępne. Zagłębisz się w niskopoziomowe elementy wewnętrzne SQLite (WAL, B-Tree, VarInts, freelist), ale wszystko jest podzielone wizualnie i wzmocnione przykładami laboratoryjnymi i przykładowymi.
Laboratoria opierają się na rzeczywistych bazach danych aplikacji, w tym aplikacjach do przesyłania wiadomości, platformach lokalizacyjnych i mediach społecznościowych. Są one wyselekcjonowane tak, aby symulować warunki rzeczywistego przypadku, z przypadkami skrajnymi i możliwymi do odzyskania usuniętymi rekordami.
Tak. Wielu doświadczonych egzaminatorów, twórców narzędzi i trenerów agencyjnych bierze udział w tym kursie, aby pogłębić swoją wiedzę na temat wewnętrznych elementów SQLite. Materiał jest przyjazny dla początkujących, ale dobrze nadaje się dla doświadczonych profesjonalistów, którzy chcą pogłębić swoją wiedzę.
Absolutnie. Nauczysz się ręcznie analizować pliki WAL i SHM, aby zidentyfikować ukryte lub usunięte dane, których nie ma w głównej bazie danych - i zobaczysz, jak działa wycofywanie w wielu scenariuszach.
Tak. Kurs jest niezależny od narzędzi i koncentruje się na metodach, które działają niezależnie od używanej platformy kryminalistycznej. Nauczysz się weryfikować dane wyjściowe narzędzi i zagłębiać się, gdy narzędzia nie obsługują określonej aplikacji lub artefaktu.
Powinieneś mieć pewne doświadczenie w kryminalistyce cyfrowej, analizie mobilnej lub DFIR - ale nie musisz umieć kodować ani mieć wcześniejszego szkolenia z baz danych. Ten kurs uczy tego, czego potrzebujesz.
Tak, SQLite jest używany w aplikacjach desktopowych, urządzeniach IoT, przeglądarkach i platformach synchronizacji w chmurze. Umiejętności, których się tutaj nauczysz, mają zastosowanie wszędzie tam, gdzie pojawia się SQLite, w tym w przypadkach innych niż mobilne.
Co profesjonaliści mówią o tym kursie
Akira H.
Renata S.
Jeroen V.
SQLite Visualizer.
Wizualizuj, dekoduj, eksploruj. Wszystko w jednym pakiecie SQLite Analysis Suite.
SQLite Visualizer was developed to enhance the way forensic professionals interact with SQLite data, both during training and in real investigations. This forensic suite was designed specifically for this course to complement the techniques you’ll learn and make advanced database analysis more accessible and efficient.
Pakiet łączy dekodowanie, wizualizację i interpretację w jednym interfejsie. Upraszcza proces pracy z plikami WAL, zmiennymi, stronami przepełnienia i ustrukturyzowanymi rekordami, pomagając uzyskać jaśniejszy wgląd w złożone dane aplikacji mobilnych.
W kursie SQLite Forensics będziesz korzystać z tego narzędzia w trakcie całego kursu w laboratoriach i rzeczywistych scenariuszach, a następnie zachowasz je. Jest to zasób, na którym można polegać podczas badania danych aplikacji, odzyskiwania usuniętych rekordów lub precyzyjnego sprawdzania poprawności ustaleń.
SQLite Visualizer reflects our belief that effective training should leave you with practical skills, and the tools and methods to apply them right away.
Kryminalistyka SQLITE
SQLite remains the backbone of mobile app storage in 2026, powering everything from chat histories and location logs to app settings and cached media. While forensic tools handle basic extraction well, they often stop short of revealing what’s stored deeper in database internals: write-ahead logs, overflow chains, or custom schemas unique to each app.
Ponieważ oprogramowanie mobilne szybko ewoluuje, egzaminatorzy coraz częściej spotykają się z sytuacjami, w których dane są tylko częściowo dekodowane lub całkowicie pomijane. Zrozumienie wewnętrznego działania SQLite stało się niezbędne do niezawodnej analizy mobilnej.
Ten mikrokurs został stworzony z myślą o tej rzeczywistości. Nauczysz się, jak rozkładać SQLite na poziomie strukturalnym, ręcznie odzyskiwać dane, interpretować sposób organizacji rekordów i dostrzegać wzorce lub anomalie, których same narzędzia mogą nie wyjaśnić. Jest to rodzaj praktycznej wiedzy, która zapewnia większą kontrolę w złożonych lub krytycznych czasowo przypadkach.
Related content
Ten szczegółowy przewodnik wyposaża śledczych w jasne, praktyczne techniki wyodrębniania zaszyfrowanych notatek Apple Notes z urządzeń z systemem iOS 16.x. Będziesz postępować zgodnie z praktycznym procesem krok po kroku, zaprojektowanym tak, aby wykraczać poza domyślne dane wyjściowe narzędzia, dając ci wgląd i pewność siebie, aby skutecznie radzić sobie ze złożonymi sprawami.
Ręczne dekodowanie VarInts może utrudniać proces kryminalistyczny, zwłaszcza podczas nawigacji po niespójnych lub nieznanych bazach danych. To narzędzie przyspiesza interpretację, pomagając skupić się na głębszej analizie. Jest bezpłatne i stworzone specjalnie dla śledczych pracujących z wewnętrznymi elementami SQLite.
SQLiteVisualizer unifies visual exploration, decoding, SQL analysis, and deleted-data recovery into one seamless workflow. No exports, no tool switching, no lost context.
This article shows how protobuf varints differ from SQLite varints and why that distinction matters in mobile forensics. It includes a full hands-on walkthrough of decoding a protobuf blob, extracting fields, and decrypting the final message.
A transformative, certified program designed to take digital forensic professionals from basic experience to confident Python proficiency. Newly updated for 2026, this hands-on training teaches you to build your own scripts to extract, parse, and analyze hidden evidence from app data.
Gdy pojedyncza strona SQLite nie może pomieścić dużej zawartości, takiej jak obrazy lub multimedia, dane te rozlewają się na strony przepełnienia. W tym przewodniku opisano, jak ręcznie odzyskać pofragmentowane rekordy, ujawniając dowody, które typowe narzędzia do rzeźbienia często pomijają.
Bądź na bieżąco
Bądź na bieżąco. Zapisz się do naszego comiesięcznego newslettera.
Dowiedz się jako pierwszy o nowych możliwościach szkoleniowych, bezpłatnych narzędziach, wpisach na blogu opartych na przypadkach i praktycznych spostrzeżeniach. Nasz comiesięczny biuletyn został stworzony, aby pomóc Ci szybciej się uczyć, mądrzej rozwiązywać sprawy i nadążać za dziedziną, która nigdy nie stoi w miejscu.
Wpisz swój adres e-mail, aby się zarejestrować.
Request Training
Ta prośba jest całkowicie niewiążąca. Daj nam znać, jakie daty mogą być dla Ciebie odpowiednie i ilu uczestników chciałbyś uwzględnić. Skontaktujemy się z Tobą niezwłocznie, aby wspólnie omówić najlepsze opcje.
Często zadawane pytania
How do I recover deleted database records?
Deleted SQLite records remain in the database until the space is overwritten. This course teaches you to manually parse deleted records from freelist pages, freeblocks, and unallocated space — going beyond what standard forensic tools can recover.
What is the WAL file in SQLite forensics?
The Write-Ahead Log (WAL) is a file SQLite uses to stage recent changes before committing them to the main database. It can contain uncommitted data and deleted records critical for mobile app investigations.
How do I recover records from the WAL file?
WAL files contain frames with a header and page data. This course teaches you to parse WAL frame headers, identify modified pages, and extract both staged and deleted data — including records that exist only in the WAL.
What is a VarInt in SQLite?
A Variable-Length Integer (VarInt) is a compact encoding used throughout SQLite for record lengths, serial types, and row IDs. Decoding VarInts is a core skill for manually parsing SQLite records — covered in depth in this course.
What is a freelist page in SQLite?
Freelist pages are database pages marked for reuse after data deletion. They frequently contain recoverable deleted content — making them a primary target for recovering deleted messages, contacts, and app data.
What is an overflow page in SQLite?
When a record is too large for a single database page, SQLite stores the excess on overflow pages. Forensic investigators must trace overflow chains to recover complete records from large text fields, BLOBs, or long messages.
What is a protocol buffer and why does it matter in forensics?
Protocol buffers (protobuf) are a binary format used by many mobile apps. Some apps store protobuf-encoded data inside SQLite fields — requiring investigators to decode both layers to access the underlying evidence.
What is the SQLite file signature?
Every SQLite database begins with a 100-byte header containing the file signature "SQLite format 3". Understanding this header is fundamental for identifying, validating, and parsing SQLite databases in forensic investigations.
Is SQLite Visualizer included with the course?
Yes — every enrollment includes access to ED SQLite Visualizer. Use it to trace deleted records, visualize WAL files, and analyze app databases alongside your training.
This SQLite forensics training is designed for digital forensics investigators who need to go beyond tool output. You'll learn to manually parse SQLite database structures — including B-tree pages, cell arrays, freelist pages, and overflow chains — and recover deleted records that automated tools miss. Topics include WAL file analysis, SHM index parsing, VarInt decoding, freeblock recovery, and protocol buffer interpretation. Whether you're investigating mobile device data, app databases, or cloud-synced SQLite files, this course gives you the skills to extract, validate, and present SQLite evidence with confidence. ED SQLite Visualizer is included free with every enrollment.