来源:效率源科技
随着数据库系统在各个领域中的应用日益广泛,受到的威胁也越来越多,数据库俨然成为犯罪分子的目标之一。由于电子数据容易修改,为了有效地利用电子数据来确定案情,标准电子数据取证流程的第一环节便是固定数据。
在数据库相关案件中,如何有效的对数据库的数据进行快速固定?本文我们将从数据库的存储逻辑,以及结合电子数据取证标准流程及相关规定章程等做相关分享,希望为大家提供一些参考思路和意见。
本文我们将从以下四个方面来做相关分享。
一、 数据库存储逻辑
在对数据库进行数据固定前,我们首先肯定得了解数据在哪儿。
通过深入分析多种数据后发现,数据库中数据存储主要分布在设备的内存和物理磁盘中,其中物理磁盘占比远大于内存。
物理磁盘
在物理磁盘中数据存储主要包含三大类文件:数据文件、日志文件和控制文件,每类文件的格式和作用大相径庭,具体信息如下图所示。
其中主要包含数据库中数据记录的是数据文件,而日志文件中也含有一定量的数据库的数据记录。
内存
在内存中数据存储的方式是按照数据页或数据记录的结构,该结构和物理磁盘中数据文件中的数据页或数据记录的结构一致。
二、 数据库文件格式
不同的数据库类型,对应的数据库文件都有所差异。下面我们就常见的数据库中数据文件存储的格式和默认的存储路径进行整理汇总,供大家参考!
不同数据库中数据文件存储格式
不同数据库的默认存储路径
不同类型的数据库,默认安装的数据文件保存路径的信息整理如下,仅供参考!
(PS:上表中红色部分内容为数据库的版本或实例名或服务名等信息。)
三、 数据库数据固定方法
根据数据库中数据存储分布情况,在对数据库进行固定的时候主要分为两个场景:内存中数据库数据的固定、磁盘中数据库数据的固定。
对于在内存中的数据库数据,最为便捷有效的是直接对当前操作系统的全部内存数据进行固定即可。
对于磁盘中的数据库数据,数据固定的方式较为灵活多变,可根据不同的目的和情景合理选择数据固定的方式。
下表总结了磁盘中数据库数据固定的常见方式及其特点。
在每一种提取方式中,涉及到一些具体的数据操作方法,下面简要列举,仅供参考。
01物理磁盘固定
在对物理磁盘固定时,大致流程可以简化为:
确定磁盘接口类型和数量;
若为磁盘数据大于1,则需要设备中时候存在磁盘冗余阵列,若有则需要继续确认阵列类别及相关配置信息;
固定磁盘数据。
注意事项:该方案在操作时需要注意是否存在磁盘或文件加密;若当前设备处于开机状态,确认是否需要获取易失数据(内存)的镜像。
02
物理文件固定
在对物理文件固定时,大致流程可以简化为以下步骤:
确认数据库的类型;
确认数据库中用户数据文件存储路径;
关闭数据库进程或服务;
固定数据库中用户数据文件或文件夹。
注意事项:在此方案中固定的数据不仅仅是数据文件,还应包括日志文件、配置文件、系统控制文件等(一般是数据文件/夹所在的文件夹路径)。
03
数据记录固定
在对数据记录固定时,通常有2种方式:
借助DBMS(数据库管理系统)进行数据导出或备份提取;
使用命令行工具进行数据导出或备份提取
上述2种方式的操作流程可归纳为:
使用已授权的账号信息登录数据库;
查询数据库的表/表空间/实例等;
通过DBMS(数据库管理系统)功能菜单或者命令行指令进行数据导出;
固定导出的备份文件。
注意事项:该方案需要了解的数据库DBMS(数据库管理系统)操作和数据库中常用的数据备份指令。(需要了解的可在微信后台留言)
四、 快速进行数据固定的场景
在实际的数据库固定场景中,数据库的状态复杂多变,如何快速结合实际情况和数据提取的方案呢?
本文从数据库设备状态简单整理出目前可进行数据库数据固定的情况,供大家参考。
数据库具体场景剖析
在上图中,绿色框中对应的场景是可以固定数据库中的数据。当然不同的场景具体选用的数据固定的方式,需要结合实际的需求来进一步确定。
(PS:在电子数据取证的固定过程中,需要对操作环境和步骤进行录像,数据库的固定也不例外哟!!!)