Allt du behöver för att analysera mobil- och appdata på egen hand
Certifierad utbildning i SQLite-forensik, hela programmet
advanced level | 24 cpe's | updated 2026
Lär dig SQLite Forensics through a certified, hands-on training course built for professionals investigating mobile app data. Updated for 2026, this course teaches you how to manually analyze and recover data that standard tools often miss, including deleted records, WAL files, and unallocated space.
Utbildningen är utformad kring verkliga scenarier och nya CTF-utmaningar och fokuserar på djupgående kriminalteknisk tolkning, avkodning på sidnivå och praktiska färdigheter för avancerade digitala utredningar.
Certifierad utbildning i SQLite Forensics
Denna avancerade 3-dagarskurs lär yrkesverksamma hur man återställer, avkodar och tolkar SQLite-data från mobilappar och andra digitala källor. Du får lära dig att identifiera och analysera viktiga kriminaltekniska artefakter som raderade poster, WAL/SHM-filer och strukturer på sidnivå - även när standardverktyg misslyckas.
Utbildningen är uppdaterad för 2026 och byggd kring verkliga fall, interaktiva CTF-utmaningar och appar utan toolstöd. Du använder anpassade verktyg och datamängder för att utveckla djup forensisk insikt och praktiska återhämtningstekniker.
Översikt över vad du kommer att lära dig
- Förstå den interna strukturen och beteendet hos SQLite-databaser
- Manuell analys av rubriker, frilistor, överflödiga sidor och poststrukturer
- Analysera WAL/SHM-filer och deras roll i kriminaltekniska tidslinjer
- Återställ raderade data och återskapa hela poster från fragment
- Använd Elusive Datas anpassade SQLite Visualizer för att påskynda ditt arbetsflöde
Är den här kursen något för dig?
Den här kursen är avsedd för kriminaltekniker, utredare, incidenthanterare och analytiker som:
- Behöver du gå längre än vad verktygen visar och avslöja dolda eller raderade SQLite-bevis
- Arbeta med appdata från iOS, Android eller andra plattformar
- Regelbunden validering av verktygets utdata eller stöd för juridisk rapportering och vittnesmål i domstol
- Vill ha en repeterbar, praktisk metod för SQLite-forensik
Varför yrkesverksamma väljer denna kurs
- Certifierad utbildning - inkluderar certifikat och 24 CPE-poäng
- Relevans för den verkliga världen - byggd för moderna mobila undersökningar
- Anpassade verktyg - exklusiv tillgång till ED SQLite Visualizer
- Scenariodrivna labb - arbeta med komplexa fall och appar som inte stöds
- Flexibel leverans - ta det live eller på begäran
Kursformat och prissättning
Live Online: €2,290
Vad du kommer att lära dig
I den här kursen får du lära dig att:
- Förstå hur SQLite lagrar data Få en tydlig bild av hur mobilappar skriver, raderar och strukturerar sina data i databaser.
- Läs databasfiler i råformat med säkerhet Utveckla färdigheter för att utforska SQLite-filer manuellt - du behöver inte förlita dig på verktyg med svarta lådor.
- Återställ raderade eller dolda data Lär dig hur du extraherar frilansinnehåll, överflödiga poster och fragment som andra ofta missar.
- Använd ett beprövat kriminaltekniskt arbetsflöde Tillämpa repeterbara tekniker för att navigera i databaser utan stöd och hitta svar.
- Förklara resultat som håller Presentera vad du har hittat och hur - tydligt och försvarbart, i rapporter eller i domstol.
- Träna på verkliga mobildata Arbeta praktiskt med realistiska dataset från faktiska kriminaltekniska scenarier.
Ingår i din utbildning
- Forensisk design i första hand Speciellt utformad för yrkesverksamma som arbetar med bevisföring för mobilappar.
- Autentiska SQLite-utmaningar Analysera databaser med levande, raderat och fragmenterat innehåll.
- Visuell instruktion utan kod Allt förklaras steg för steg - ingen SQL eller skript krävs.
- Djup insikt i SQLites interna funktioner Bli bekväm med rubriker, sidor, frilistor och överflödskedjor.
- Flexibel leverans Träna i din egen takt på begäran, eller delta i en guidad live-session.
- Intyg om avslutad utbildning Få ett nedladdningsbart certifikat som visar att din utbildning är verifierad.
Kursinnehåll
Expandera alla sektioner- Förstå PLists och XML-filer
- Arbeta med base64-kodade data
- Introduktion till SQLite-databaser
- Översikt över protokollbuffertar
- Utforska B-Tree-formatet
- Quiz + Praktisk ingår
- Databasens rubrik
- Sidhuvud
- Heltal med variabel längd (VarInts)
- Manuell parsning av poster
- Freeblocks och fragmentering
- Freelistsidor och raderade uppgifter
- Överflöd Sidor och stora skivkedjor
- Quiz + Praktisk ingår
- Skapa tabeller och scheman
- Infoga och lägga till poster
- Körning och analys av SQL-satser
- Radering av register: Rättsmedicinska konsekvenser
- Quiz + Praktisk ingår
- Introduktion till fallstudie
- Strukturell analys av SQLite-filer
- Tekniker för återställning av freeblock
- Återuppbyggnad av Freelist Trunk Pages
- Återskapande av interiöra tabellbladssidor
- Slutföra rekonstruktionen
- Quiz + Praktisk ingår
- Varför SQLite använder WAL och SHM
- Dissekering av WAL-filen
- Förstå SHM och Page Frame Mapping
- Visualisering av WAL-tillväxt över tid
- Forensisk tillämpning av WAL/SHM i fall
- Quiz + Praktisk ingår
Vad ingår i övrigt?
- Interaktiva CTF-utmaningar: Arbeta dig igenom verkliga kriminaltekniska pussel med data från mobilappar.
- Verktygslåda för svårfångade data: Innehåller ED SQLite Visualizer som är byggd för manuell spårning av poster.
- Nedladdningsbara labb: Utforska databaser med borttaget, fragmenterat och överfyllt innehåll.
- Instruktörstillgång: Kontakta oss med frågor och få expertutlåtanden.
- Livstids tillgång: Gå tillbaka till materialet efter behov - när som helst.
- Certifikat för slutförande: Användbar för interna register, revisioner och inlagor till domstol.
Vem är den här kursen för?
Den här kursen är utformad för yrkesverksamma inom digital kriminalteknik som behöver gå längre än vad standardverktyg tillhandahåller och tolka SQLite-data med förtroende och precision. Oavsett om du arbetar med brottsbekämpning, incidenthantering eller kriminalteknisk konsultation ger den här kursen dig djupa, praktiska färdigheter med omedelbar effekt.
Det är särskilt värdefullt om du:
- Arbeta med mobilappdata från iOS eller Android i verkliga undersökningar
- Behov av att validera verktygets utdata eller undersöka appar som inte stöds
- Vill du extrahera raderade poster, överflödig data eller oallokerat innehåll
- Hantera kriminalteknisk rapportering, expertutlåtanden eller vittnesmål som rör databasartefakter
- Är på väg in i mobil- eller databasforensik och vill ha strukturerad utbildning ledd av experter
- Ansvarar för att avslöja dolda bevis i fall där verktygen inte räcker till
Kursen är utformad för utredare - inte utvecklare. Alla tekniker är visuella, praktiska och verktygsagnostiska.
Vad gör den här kursen annorlunda?
Den här kursen är utformad för att bygga upp praktisk expertis, inte bara leverera innehåll. Du kommer att arbeta praktiskt med riktiga data, lösa realistiska kriminaltekniska utmaningar och utveckla en djup förståelse för hur SQLite fungerar i faktiska utredningar.
- CTF-liknande utmaningar - lösa kriminaltekniska pussel, avkoda strukturer och avslöja data som är gömda i riktiga mobilappar
- Tillgång till ED SQLite Visualizer - undersöka databasens råa sidor och rubriker visuellt, utan skript
- Steg-för-steg-laborationer för återställning - öva på att extrahera raderade data från frilistsidor, överströmningskedjor och WAL-ramar
- Realistiska dataset - instruktörsskapade exempel baserade på moderna mobilappar och typiska utredningsscenarier
- Fungerar på alla plattformar - använda dina egna verktyg (Magnet, Cellebrite, Oxygen, etc.) eller följa med de verktyg som tillhandahålls
- Byggd kring SQLite-interna funktioner - master B-Tree layouter, VarInts, seriella typer, WAL/SHM parsing och sidåterställning
Varje del av kursen - inklusive OnDemand-versionen - är fördjupande och praktisk. Du kommer att få tekniker som du kan tillämpa direkt i dina nuvarande och framtida fall.
Din instruktör
Kursen hålls av James Eichbaum - en erfaren instruktör och utövare av digital kriminalteknik med djup expertis inom mobil- och databasanalys. Under de senaste 15+ åren har James utbildat tusentals yrkesverksamma i över 30 länder, med ett konsekvent fokus på praktiska färdigheter och utredningsnoggrannhet.
Han har lett avancerade utbildningsprogram inom kriminalteknik för brottsbekämpande myndigheter, försvaret och den privata sektorn över hela världen, inklusive nationella polismyndigheter och kriminaltekniska laboratorier. Med en bakgrund som både instruktör och utredare ger James ett dubbelt perspektiv som gör komplexa ämnen förståeliga och direkt relevanta för verkliga fall.
I den här certifierade kursen guidar James dig steg för steg genom de kriminaltekniska delarna av SQLite - från sidstrukturer och WAL-filer till manuella återställningsmetoder - med hjälp av strukturerade labb, riktiga appdata och realistiska utmaningar i CTF-stil.
Kom i kontakt med James på LinkedIn- Mer än 15 års undervisning i digital och mobil kriminalteknik
- Global Training Manager på MSAB (tidigare)
- Kalifornien P.O.S.T. certifierad instruktör
- Kriminalinspektör, Sacramento Valley High Tech Crimes Task Force
- Special Deputy U.S. Marshal, FBI:s arbetsgrupp för cyberbrottslighet
- Mottagare av HTCIA:s utmärkelse "Årets fall"
Certifiering & CPE-poäng
Vad du får ut av den fullständiga SQLite Forensics-kursen
Det här är en djup, teknisk utbildning som är utformad för yrkesverksamma som regelbundet arbetar med mobila extraktioner, kriminaltekniska verktyg och komplexa databaser. Under tre fullspäckade dagar - eller via vårt självgående format - lär du dig att läsa, tolka och återställa data direkt från råa SQLite-strukturer med precision och tydlighet.
Kursen innehåller omfattande praktisk övning och leder dig genom live-exempel på raderade poster, återställning av frilistsidor, hantering av överflöd, WAL/SHM-tolkning och mycket mer. Du kommer inte bara att förstå teorin, utan du kommer också att tillämpa den i guidade labb och verkliga scenarier i CTF-stil som är byggda specifikt för kriminalteknisk användning.
Oavsett om du ska analysera krypterade appar, validera verktygsresultat eller stödja utredningsarbete inom brottsbekämpning eller privat sektor - den här kursen bygger upp det självförtroende och de färdigheter som krävs för att hantera SQLite-baserad data på djupet.
Den fullständiga kursen omfattar:
- Manuell avkodning av WAL- och SHM-filer
- Återhämtning från frilistkedjor och oallokerade sidor
- Fallbaserade övningar med hjälp av realistiska dataset
- Tillgång till egenutvecklade forensiska verktyg för SQLite
- CTF-liknande utmaningar utformade av erfarna instruktörer
- 24 CPE-poäng och ett verifierbart certifikat
FAQ | VANLIGA FRÅGOR
Expandera allaLive: Levereras under 3 hela dagar med lärarledda sessioner, labb och interaktiva fallstudier.
On-Demand: Samma innehåll, men i egen takt. Du får 90 dagars tillgång till alla videor, labb och dataset.
Ja - allt innehåll återspeglar de senaste SQLite-strukturerna, aktuella kriminaltekniska verktyg och utmaningar från moderna mobilappar och databaser.
Ja, det gör vi. Vi erbjuder grupprabatter och anpassad leverans för team på 5 eller fler, inklusive onboarding och support för labb och åtkomsthantering.
Ingen tidigare databaskunskap krävs. Kursen börjar från grunden och guidar dig genom SQLite-interna funktioner med hjälp av visuella genomgångar, labbar och praktiska övningar - allt med kriminalteknisk tillämpning i åtanke.
Varje avsnitt innehåller praktiska övningar: analys av raderade poster, återuppbyggnad av overflow-kedjor, utforskning av WAL/SHM-filer och lösning av scenariobaserade utmaningar baserade på verkliga dataset.
Kursen hålls av James Eichbaum, en veteraninstruktör i digital kriminalteknik med över 15 års erfarenhet och globalt erkännande inom mobil- och databasforensik. Han har utbildat brottsbekämpande myndigheter, DFIR-konsulter och rättsmedicinska undersökare i över 30 länder.
Perfekt - den här kursen kompletterar dessa verktyg. Du får lära dig hur du validerar deras utdata, undersöker appar som inte stöds och återställer poster som ofta går obemärkta förbi vid automatiserad analys.
Ja, du får ett verifierbart certifikat med unikt ID och instruktörens signatur. Det kvalificerar sig för 24 CPE-poäng och uppfyller dokumentationsbehov för juridisk granskning, revision eller tillsyn.
Ja, det kan jag. Live-deltagare kan ställa frågor under sessionen. On-Demand-deltagare får e-poststöd från instruktören och tillgång till ett kurerat resursbibliotek under hela åtkomstperioden.
Ja, kursen är uppbyggd kring verkliga appdata och typiska fallbeskrivningar - inte teori eller syntetiska exempel. Allt du lär dig är tillämpligt på dina nuvarande och framtida fall.
Ja, du kommer att arbeta med realistiska undersökningar i CTF-stil som är utformade för att förstärka tekniska koncept med verkliga data. Dessa utmaningar baseras på faktiska mobilappsbeteenden och vanliga utredningsscenarier.
Ja - du får tillgång till Elusive Data SQLite Visualizer, ett specialbyggt kriminaltekniskt verktyg för visuell inspektion av databasstrukturer som frilistsidor, B-Trees, WAL-poster och overflow-kedjor.
Ja, det gör vi. Alla livesessioner spelas in och deltagarna får tillgång till materialet på begäran i upp till 90 dagar - inklusive genomgångar och labbdemonstrationer.
Det här är en djupdykning - men den är byggd för att vara tillgänglig. Du kommer att gå in på SQLite-interna på låg nivå (WAL, B-Tree, VarInts, freelist) men allt bryts ner visuellt och förstärks med laboratorier och fallbeskrivningar.
Labben är baserade på verkliga appdatabaser, inklusive meddelandeappar, platsplattformar och sociala medier. Dessa är utformade för att simulera verkliga förhållanden, med gränsfall och återställbara raderade poster.
Ja, det gör jag. Många erfarna examinatorer, verktygsutvecklare och byråutbildare tar den här kursen för att skärpa sina kunskaper om SQLite-interna funktioner. Materialet är nybörjarvänligt, men passar bra för erfarna proffs som vill gå djupare.
Ja, absolut. Du får lära dig att manuellt analysera WAL- och SHM-filer för att identifiera dolda eller raderade data som inte finns i huvuddatabasen - och du får se hur rollback fungerar i flera olika scenarier.
Ja, kursen är verktygsagnostisk och fokuserar på metoder som fungerar oavsett vilken forensisk plattform du använder. Du får lära dig att validera verktygsresultat och gå djupare när verktyg inte stöder en viss app eller artefakt.
Du bör ha viss erfarenhet av digital kriminalteknik, mobilanalys eller DFIR - men du behöver inte veta hur man kodar eller ha tidigare databasutbildning. Den här kursen lär dig vad du behöver, allteftersom du går.
Ja, SQLite används i skrivbordsappar, IoT-enheter, webbläsare och molnsynkroniseringsplattformar. De färdigheter du lär dig här gäller överallt där SQLite förekommer, även i icke-mobila fall.
Vad yrkesverksamma säger om den här kursen
Akira H.
Renata S.
Jeroen V.
SQLite Visualizer.
Visualisera, avkoda, utforska. Allt i ett SQLite Analysis Suite.
SQLite Visualizer was developed to enhance the way forensic professionals interact with SQLite data, both during training and in real investigations. This forensic suite was designed specifically for this course to complement the techniques you’ll learn and make advanced database analysis more accessible and efficient.
Sviten samlar avkodning, visualisering och tolkning i ett och samma gränssnitt. Den förenklar arbetet med WAL-filer, varints, overflow-sidor och strukturerade poster och hjälper dig att få tydligare insikter i komplexa data från mobilappar.
I kursen SQLite Forensics kommer du att använda verktyget under hela kursen i labbar och verkliga scenarier, och du kommer att behålla det efteråt. Det är en resurs som du kan lita på när du undersöker appdata, återställer raderade poster eller validerar resultat med precision.
SQLite Visualizer reflects our belief that effective training should leave you with practical skills, and the tools and methods to apply them right away.
Kriminalteknik för SQLITE
SQLite remains the backbone of mobile app storage in 2026, powering everything from chat histories and location logs to app settings and cached media. While forensic tools handle basic extraction well, they often stop short of revealing what’s stored deeper in database internals: write-ahead logs, overflow chains, or custom schemas unique to each app.
I takt med den snabba utvecklingen av mobila programvaror ställs undersökare allt oftare inför situationer där data bara delvis avkodas eller missas helt och hållet. Att förstå SQLites inre funktioner har blivit avgörande för tillförlitlig mobilanalys.
Den här mikrokursen är byggd med den verkligheten i åtanke. Du får lära dig hur du bryter ner SQLite på strukturell nivå, återställer data manuellt, tolkar hur poster är organiserade och upptäcker mönster eller anomalier som enbart verktyg kanske inte kan förklara. Det är den typ av praktisk expertis som ger dig mer kontroll i komplexa eller tidskritiska fall.
Related content
Denna fokuserade genomgång utrustar utredare med tydliga, praktiska tekniker för att extrahera krypterade Apple Notes från iOS 16.x-enheter. Du kommer att följa en praktisk, steg-för-steg-process som är utformad för att gå utöver standardverktygets utdata, vilket ger dig insikt och självförtroende att hantera komplexa fall effektivt.
Manuell avkodning av VarInts kan leda till flaskhalsar i den kriminaltekniska processen, särskilt när man navigerar i inkonsekventa eller okända databaser. Detta verktyg påskyndar tolkningen och hjälper dig att fokusera på djupare analys. Det är gratis att använda och specialbyggt för utredare som arbetar praktiskt med SQLite-interna funktioner.
SQLiteVisualizer unifies visual exploration, decoding, SQL analysis, and deleted-data recovery into one seamless workflow. No exports, no tool switching, no lost context.
This article shows how protobuf varints differ from SQLite varints and why that distinction matters in mobile forensics. It includes a full hands-on walkthrough of decoding a protobuf blob, extracting fields, and decrypting the final message.
A transformative, certified program designed to take digital forensic professionals from basic experience to confident Python proficiency. Newly updated for 2026, this hands-on training teaches you to build your own scripts to extract, parse, and analyze hidden evidence from app data.
När en enda SQLite-sida inte kan rymma stort innehåll som bilder eller media, spills dessa data ut på överflödessidor. Den här guiden går igenom hur du manuellt återställer fragmenterade poster och avslöjar bevis som typiska carvingverktyg ofta förbiser.
Håll dig uppdaterad
Håll dig uppdaterad. Anmäl dig till vårt månatliga nyhetsbrev.
Bli först med att få information om nya utbildningsmöjligheter, kostnadsfria verktyg, fallbaserade blogginlägg och praktiska insikter. Vårt månatliga nyhetsbrev är utformat för att hjälpa dig att lära dig snabbare, lösa ärenden smartare och hålla jämna steg inom ett område som aldrig står stilla.
Fyll i din e-postadress för att registrera dig.
Begär utbildning
Denna förfrågan är helt icke-bindande. Låt oss veta vilka datum som skulle passa dig och hur många deltagare du vill ha med. Vi återkommer till dig så snart som möjligt så att vi tillsammans kan diskutera de bästa alternativen.
Vanliga frågor och svar
How do I recover deleted database records?
Deleted SQLite records remain in the database until the space is overwritten. This course teaches you to manually parse deleted records from freelist pages, freeblocks, and unallocated space — going beyond what standard forensic tools can recover.
What is the WAL file in SQLite forensics?
The Write-Ahead Log (WAL) is a file SQLite uses to stage recent changes before committing them to the main database. It can contain uncommitted data and deleted records critical for mobile app investigations.
How do I recover records from the WAL file?
WAL files contain frames with a header and page data. This course teaches you to parse WAL frame headers, identify modified pages, and extract both staged and deleted data — including records that exist only in the WAL.
What is a VarInt in SQLite?
A Variable-Length Integer (VarInt) is a compact encoding used throughout SQLite for record lengths, serial types, and row IDs. Decoding VarInts is a core skill for manually parsing SQLite records — covered in depth in this course.
What is a freelist page in SQLite?
Freelist pages are database pages marked for reuse after data deletion. They frequently contain recoverable deleted content — making them a primary target for recovering deleted messages, contacts, and app data.
What is an overflow page in SQLite?
When a record is too large for a single database page, SQLite stores the excess on overflow pages. Forensic investigators must trace overflow chains to recover complete records from large text fields, BLOBs, or long messages.
What is a protocol buffer and why does it matter in forensics?
Protocol buffers (protobuf) are a binary format used by many mobile apps. Some apps store protobuf-encoded data inside SQLite fields — requiring investigators to decode both layers to access the underlying evidence.
What is the SQLite file signature?
Every SQLite database begins with a 100-byte header containing the file signature "SQLite format 3". Understanding this header is fundamental for identifying, validating, and parsing SQLite databases in forensic investigations.
Is SQLite Visualizer included with the course?
Yes — every enrollment includes access to ED SQLite Visualizer. Use it to trace deleted records, visualize WAL files, and analyze app databases alongside your training.
This SQLite forensics training is designed for digital forensics investigators who need to go beyond tool output. You'll learn to manually parse SQLite database structures — including B-tree pages, cell arrays, freelist pages, and overflow chains — and recover deleted records that automated tools miss. Topics include WAL file analysis, SHM index parsing, VarInt decoding, freeblock recovery, and protocol buffer interpretation. Whether you're investigating mobile device data, app databases, or cloud-synced SQLite files, this course gives you the skills to extract, validate, and present SQLite evidence with confidence. ED SQLite Visualizer is included free with every enrollment.