Utilitaire d'extraction automatique de données

ExportSQLite est un utilitaire d’extraction automatique de toutes les données contenues dans un groupe de bases SQLite afin de les placer dans un seul et même fichier texte.

But de l’outil

Faciliter la recherche d”informations dans plusieurs bases SQLite. Une fois le contenu des bases placé dans un fichier texte, il suffit de faire une simple recherche dans le fichier texte pour savoir si l’information que l’on cherche est présente ou non et surtout de savoir dans quelle table de quelle base elle se trouve.

Si vous êtes utilisateur d’UFED et de physical analyser, vous avez peut être remarquer qu’il n’est pas simple de rechercher un mot clé ou une expression quelconque dans la totalité de l’extraction d’un téléphone.
Dans les smartphones il y a de plus en plus de base de données SQLite dont le contenu n’est pas traité par physical analyser.

La zone de recherche située en haut à droite de l’écran de physical analyser ne permet pas de rechercher dans le contenu des bases SQLites. La seule solution (à ma connaissance) consiste à faire une recherche dans le dump binaire du téléphone grâce à la fonction recherche avancée. Sans compter qu’il ne faut pas oublier lorsque vous faites votre recherche, de choisir le bon mode (unicode, ascii, …).

Bref physical analyser n’est pas toujours la panacée.

Une autre solution consiste à ouvrir une à une les bases SQLite et les parcourir à la main. Au vu du nombre de bases présentes dans un téléphone, ca prend un certain temps. Il existe bien SQLite Forensics Reporter (payant) mais je ne l’ai découvert qu’après.

Ainsi est né « Export SQLite ». Cette première version est gratuite, vous pouvez continuer à lire …

Informations complémentaires

Comment ça marche

  • Cliquez sur le bouton “Démarrer” pour :
    • Sélectionner le dossier racine dans lequel se trouvent vos fichiers de base de données SQLite. Ce dossier sert également de point de départ pour une recherche récursive (cf case à cocher intitulée “Recherche récursive dans tous les sous-dossiers”)
    • Indiquer le lieu et le nom du fichier Texte. Si vous avez coché la case “Copier chaque base dans le même dossier que le fichier résultat” alors un dossier portant le même nom que votre fichier texte sera créé ici et une copie de toutes les bases de données trouvées sera placée dans ce dossier.

Coupure pub !

  • Cette première version étant gratuite, j’en profite pour vous signaler qu’en plus de créer des utilitaires forensic, nous disposons de quelques compétences dans le domaine de l’amélioration des bandes audio (écoutes téléphoniques, débruitage, …). Ecoutez par vous-même.

Installation

  • Téléchargez et décompressez le fichier correspondant à votre système.
  • Ouvrez le dossier ExportSQLite
  • Double-cliquez l’exécutable.
  • Pour obtenir de l’aide, cliquez sur le bouton « Aide ? » (fallait y penser !)

Structure du fichier résultat

  • Chaque ligne du fichier texte contient un enregistrement issu des tables de chaque base. La structure d’une ligne est :
    • Nom de la base SQLite
    • Nom de la table
    • Rowid de l’enregistrement
    • Le contenu de l’enregistrement lui-même

Le contenu de ce fichier peut être ouvert dans Excel pour un traitement simplifié par colonne.

Paramètres

  • Inclure les tables vides : Les tables ne contenant aucune information sont quand même inscrites dans le fichier texte
  • Ne pas inclure les noms des rubriques : Par défaut le contenu de chaque table est précédé par la liste des rubriques. Si on coche cette case, le nom des rubriques n’est pas inscrit.
  • Afficher les infos pendant la conversion : Affiche le détail des db et tables ainsi que le nb d’enregistrements traités.
  • Recherche récursive dans tous les sous-dossiers : Effectue un traitement récursif dans tous les sous-dossiers.
  • Copier chaque base dans le même dossier que le fichier résultat : Chaque base lue est dupliquée dans un dossier créé au même niveau que le fichier texte. Ce dossier porte le même nom que le fichier texte auquel est ajouté la date et l’heure.

Téléchargement

NB : Il s’agit d’une version préliminaire qui n’effectue pas de traitement sur les données extraites (donc pas de conversion de dates – peut être plus tard !).