Meny
This targeted micro-course reveals the untapped forensic value of SQLite’s Write-Ahead Log (WAL) and Shared Memory (SHM) files, internal mechanisms that preserve the timeline of database activity. While the main SQLite file only shows what’s current, WAL and SHM files tell you what changed, when, and how, often surfacing deleted records that forensic tools miss.
Go beyond static snapshots. This course teaches you how to examine WAL frames as a time machine, uncovering everything from erased messages and overwritten records to precise transaction timing. Using real-world case data and hands-on labs, you’ll learn to extract critical evidence from these often-ignored files before they’re flushed away forever.
The course is approximately 2 hours long and available on demand for self-paced learning or live online in scheduled sessions.
Kursförfattare: James Eichbaum
In this 2-hour micro-course, you’ll learn how to examine SQLite’s Write-Ahead Log (WAL) and Shared Memory (SHM) files to uncover deleted, modified, or overwritten data, often invisible to standard forensic tools. Topics include WAL frame structure, SHM indexing, uncommitted transactions, and timeline reconstruction, using real-world forensic scenarios and datasets.
This course is ideal for digital forensic professionals who need to extract evidence from SQLite’s volatile change-tracking system and understand what happened before the current state of the database.
Efter kursen kommer du att veta hur du:
Interpret the structure of WAL files and what each frame represents
Use SHM index pages to efficiently navigate WAL contents
Recover deleted records from uncheckpointed WAL segments
Analyze overwritten values and transaction history
Reconstruct timelines of database modifications
Detect tampering by correlating changes across WAL and SHM
Validate forensic tools by verifying changes at the frame level
I slutet av denna mikrokurs kommer deltagarna att ha:
Gained a clear understanding of how WAL and SHM files track database changes over time
Developed the ability to interpret individual WAL frames and identify uncommitted or deleted data
Learned how to navigate and leverage SHM index structures to locate and reconstruct specific page versions
Practiced extracting evidence from real-world WAL and SHM files, including deleted messages and overwritten records
Strengthened their ability to correlate changes with timestamps and reconstruct database modification timelines
Gained confidence in validating or challenging tool output by analyzing volatile change logs directly
Built hands-on skills for identifying and recovering critical evidence that may be absent from the main SQLite database file
This micro-course is designed for forensic analysts, investigators, and technical professionals who need to look beyond the static contents of SQLite databases and understand how changes unfold over time.
It’s especially valuable if you:
Work with mobile app data where critical changes may not be visible in the main database
Need to recover deleted or modified content from volatile SQLite journal files
Are tasked with timeline reconstruction or verifying evidence tampering in legal or internal cases
Frequently validate or challenge automated tool results in court or reporting contexts
Want to master WAL and SHM analysis to uncover what happened before data was committed or removed
You don’t need to be a developer or SQL expert — this course is made for digital forensic professionals who prefer learning by doing, and who want clear, practical techniques for uncovering what tools might miss.
I slutet av denna kurs kommer deltagarna att kunna:
Explain the role of Write-Ahead Logs (WAL) and Shared Memory (SHM) files in SQLite’s change-tracking mechanism
Decode and interpret individual WAL frames to identify database modifications over time
Navigate SHM index structures to locate specific frames and track data version history
Recover deleted or modified content from WAL files — even when missing from the main database
Reconstruct chronological timelines of database activity for investigative or legal reporting
Identify signs of tampering or incomplete deletions by comparing frame data with final database states
Validate tool output by examining raw WAL and SHM contents manually
Document findings clearly, with technical explanations and visual evidence suitable for court or incident reports
Kursen är skapad av James Eichbaum, en före detta digital kriminalteknisk undersökare inom polisen och en av de mest erfarna instruktörerna inom mobil kriminalteknik.
Med över tio års erfarenhet av global utbildning, bland annat som Global Training Manager på MSAB, har han utbildat tusentals yrkesverksamma i över 30 länder, från lokala polisenheter till nationella laboratorier.
James har lett verkliga utredningar och vittnat i domstol. Hans utbildning återspeglar denna erfarenhet: praktisk, strukturerad och fokuserad på vad som faktiskt fungerar. Varje lektion är utformad för att hjälpa dig att återställa mobilappdata manuellt, förstå dem och förklara dem tydligt. Det spelar ingen roll om du skriver en rapport, svarar på en QA-granskning eller vittnar i rätten.
Lär dig i din egen takt med 5 timmars expertlett innehåll. Flexibel, självstyrd inlärning.
Pris per deltagare
Delta i lärarledda sessioner på distans. Välj en av våra schemalagda klasser eller skräddarsy för ditt team.
Pris per deltagare
Vi har utbildat tusentals yrkesverksamma, och det här är de vanligaste frågorna vi får innan de anmäler sig, från vad som ingår i kursen till hur den passar in i en hektisk arbetsbörda.
On-Demand (kommer i juni): Få tillgång till alla 5 timmars innehåll i din egen takt. Perfekt för yrkesverksamma som vill ha flexibilitet att utbilda sig mellan aktiva fall.
Live online: Instruktörsledda sessioner som genomförs på distans. Tidpunkten kan anpassas till ditt team.
You should be comfortable navigating forensic tools and working with mobile artifacts, but you don’t need to be a developer. We’ll guide you through low-level concepts like freeblock parsing, varints, and freelist recovery with clear explanations and hands-on labs.
Ja. Kursen är certifikatbaserad och utformad av en tidigare brottsbekämpande undersökare med verklig vittnesmålserfarenhet. De arbetsflöden som lärs ut är redo för rättssalen och byggda för att hålla upp under granskning.
Ja, kursen är uppbyggd kring verkliga appdata, inte generiska exempel. Du får lära dig praktiska arbetsflöden som du kan tillämpa omedelbart - även när dina verktyg inte räcker till.
Bra - den här kursen är utformad för att fungera tillsammans med dem. Du får lära dig hur du verifierar verktygens utdata, undersöker appar som inte stöds och återställer bevis som verktygen ofta förbiser. Det handlar om att gå bortom det som är synligt och förstå vad som verkligen händer i databasen.
Den här mikrokursen har utformats för att fylla en viktig lucka i utbildningen för kriminaltekniker: att förstå hur SQLite-databaser faktiskt lagrar, strukturerar och bevarar data.
På bara några få fokuserade timmar lär du dig hur poster läggs ut över sidor med fast storlek, hur raderade data kan finnas kvar i frilistor och hur stora poster sprids över överflödeskedjor. Du kommer att utveckla förmågan att läsa vad som finns under ytan och lägga till djup till det som dina kriminaltekniska verktyg redan visar dig.
Genom realistiska exempel och appar som inte stöds får du arbeta praktiskt med att avkoda rubriker, tolka VarInts och spåra poster med precision. Oavsett om du validerar resultat eller upptäcker vad andra förbiser, ger den här kursen dig den strukturella insikten för att ta dina SQLite-undersökningar vidare.
Den här kursen uppdateras kontinuerligt och är utformad för yrkesverksamma och ger snabb, fokuserad och praktisk utbildning utan att ta några genvägar.
SQLite är fortfarande ryggraden i lagring av mobilappar 2025 och driver allt från chathistorik och platsloggar till appinställningar och cachad media. Medan kriminaltekniska verktyg hanterar grundläggande extraktion bra, slutar de ofta med att avslöja vad som lagras djupare i databasens interna delar: write-ahead-loggar, överflödeskedjor eller anpassade scheman som är unika för varje app.
I takt med den snabba utvecklingen av mobila programvaror ställs undersökare allt oftare inför situationer där data bara delvis avkodas eller missas helt och hållet. Att förstå SQLites inre funktioner har blivit avgörande för tillförlitlig mobilanalys.
Den här mikrokursen är byggd med den verkligheten i åtanke. Du får lära dig hur du bryter ner SQLite på strukturell nivå, återställer data manuellt, tolkar hur poster är organiserade och upptäcker mönster eller anomalier som enbart verktyg kanske inte kan förklara. Det är den typ av praktisk expertis som ger dig mer kontroll i komplexa eller tidskritiska fall.
Denna praktiska genomgång ger utredare verktygen och metoderna för att extrahera krypterade Apple Notes från iOS 16.x-enheter. Du lär dig steg-för-steg-tekniker som går utöver standardverktyg och hjälper dig att ta itu med verkliga fall med tydlighet och kontroll.
Att avkoda VarInts manuellt kan sakta ner arbetsflödena för kriminaltekniker - särskilt när man arbetar med okända eller röriga databaser. Det här verktyget hjälper dig att tolka dessa värden snabbt, så att du kan fokusera på analysen. Verktyget är gratis att använda och utvecklat för utredare som arbetar direkt med SQLite-interna funktioner.
Överflödessidor är där stora data, som bilder eller media, lagras när en enda SQLite-sida inte räcker till. Den här artikeln visar hur fragmenterade poster kan återställas manuellt, vilket hjälper dig att extrahera bevis som de flesta automatiserade carving-metoder missar.
Bli först med att få information om nya utbildningsmöjligheter, kostnadsfria verktyg, fallbaserade blogginlägg och praktiska insikter. Vårt månatliga nyhetsbrev är utformat för att hjälpa dig att lära dig snabbare, lösa ärenden smartare och hålla jämna steg inom ett område som aldrig står stilla.
Fyll i din e-postadress för att registrera dig.
Att kunna titta på råa sidor och säga "ja, det här var raderade data" utan att gissa. Det är vad det här gav mig.