資料庫取證

資料庫是信息系統中不可或缺的部分。隨著大數據時代的到來,資料庫已經成為犯罪分子的目標,大量資料庫被"拖庫"用於網路盜竊和網路詐欺等活動。資料庫具備完善的日誌,因此案件現場的資料庫蘊含了大量證據,可以根據這些證據回溯犯罪過程、固定證據並確定入侵者。

資料庫存儲結構有兩個維度，-個是它的物理存儲結構，另一個是它的邏輯存儲結構。物理存儲結構是從作業系統角度來看資料庫的構成要素，通常包括數據檔案和日誌檔案。邏輯存儲結構是從資料庫內部觀看其構成要素，表示資料庫系統如何組織和管理數據。

每個資料庫都包含數目不等的數據檔案，用來記錄具體的數據內容。多數資料庫中的數據對象(表、索引等)被存儲在這些可通過作業系統訪問的數據檔案中。另外，一些資料庫系統也支持在沒有檔案系統的裸設備上存儲數據，例如Onade 10g系統。SQL Server的數據檔案在物理存儲結構上又分為主數據檔案和次要數據檔案。主數據檔案是資料庫的起點，每個資料庫都有一一個主數據檔案，其推薦檔案擴展名是.mdf"。

除主數據檔案以外的所有其他數據檔案都是次要數據檔案，其推薦檔案擴展名是“ndf"。 另一方面，SQL Server的數據檔案在邏輯存儲結構上由若千個檔案組組成。SQL Server的檔案組包括主檔案組和用戶定義檔案組兩種類型。主檔案組包含主數據檔案和任何沒有明確分配給其他檔案組的檔案。

Once數據檔案在物理存儲結構，上表現為一系列".dbf"檔案，在邏輯存儲結構上由若千個表空間組成。一個表空間由一一個或多個物理的數據檔案組成。不同的表空間存放不同形態的數據和資料庫對象。例如，Oracle10g資料庫系統至少需要以下3個表空間。- -是System表空間，存放關於表空間的名稱、控制檔案、數據字典等管理信息。二是SysAUX表空間，屬於輔助系統表空間，用於減少系統表空間的負荷，提高系統的作業效率。三是temp表空間，存放臨時表和臨時數據，用於排序。Oracle通常還會創建User表空間存放套用系統數據。

資料庫的日誌檔案用於記錄已經被作用在資料庫上的所有變動操作。具體包括系統存儲過程或數據定義語言對系統表所做的更改，每次分配或釋放的擴展盤區，對表或者索引的刪除操作等內容。但不包括對表的查詢操作。儘管對於類似access, foxpro這樣的桌面資料庫並沒有日誌這樣的概念，這些資料庫中僅僅包括數據而已。但在Ondle、SQL Server之類的大型資料庫系統中均包含數據檔案和日誌檔案兩個必要的部分。例如，sQLServer日誌檔案的推薦擴展名為“.ldf"，Oracle日誌檔案的推薦擴展名是"log"。

一些資料庫的日誌檔案根據記錄的時期，又分為事務日誌檔案和歸檔日誌檔案兩類。事務日誌檔案用於記錄資料庫執行的任何交易，例如數據的新增、修改、刪除等動作。歸檔日誌檔案可以認為是事務日誌的複本。例如，Orace用於記錄線上事務處理的事務B志檔案稱為重置日誌檔案。

調查人員進行資料庫的證據收集之前，首先要請楚的掌握計算機中可能存放資料庫相關證據數據的位置，確定證據收集的範圍。另外，作業系統作為資料庫系統下層載體，資料庫系統所在的作業系統也記錄了許多資料庫的相關信息。