「王老师实操课」数据库分析实战思路及实操步骤详解

课前须知

近年来，随着网络传销、网络赌博、网络诈骗案件的频发，数据库取证在办案工作中也愈发重要。数据库内储存着大量证据，通过对数据库进行取证分析，可以帮助办案人员快速提取精确的涉案数据（如：参与网络赌博的会员情况表、代理抽成渔利表、人员组织架构表、网络平台资金流水表等），精准打击网络违法犯罪。

上一期，王老师为大家讲解了数据库取证分析的必备步骤——数据库的固定及本地还原的实操过程。点击下方文章标题即可回顾课程内容：

【王老师实操课】6个步骤学会数据库的本地还原方法

本期，将继续为大家介绍数据库本地还原后的数据分析。（第三期课后题答案和第四期的案例实操题都附在文末啦~）

PS：两期结合学习效果更佳！

下面，王老师就来为大家详细讲解数据库分析的思路和操作方法。

一、方法介绍

1、分析流程及关键点

●明确数据库相关内容的作用

方法1：从系统建设人员或维护人员处得知，或者获取系统的建设方案书等资料。

方法2：从与数据库对应系统的代码文件中分析获取，或者从数据库的相关结构文件说明及备注中分析获取，难度系数相对方法1较大。

●关联分析生成有效数据表

关键点1：弄清楚表与表的关联，数据库中寻找数据库设计文件或根据表结构手动分析，如：会员表可能需要找到记录会员ID、姓名、联系方式、邮箱、身份证号码、银行卡号、注册时间、推荐ID等等相关联的表。

关键点2：熟悉常见的SQL语句（关联查询）或配备可视化查询工具。

2、常见查询语句

通过基本查询语句实现对数据库、表内容、表记录、特定内容等的查询。

●查看数据库名：show databases

●使用数据库：use 数据库名

●查看数据库中表信息：show tables

●查看表结构：desc 表名

●查看表中所有数据：select * from 表名

●查看表中id为1：Select 字段名 from 表名 where id=‘1’

3、连接查询

实际案件中需要获取的表数据往往需要通过多表之间的关联分析，才能获得对案件有帮助的表，所以我们可以了解一下连接查询的意义。

●left join(左联接) 返回包括左表中的所有记录和右表中联结字段相等的记录

●right join(右联接) 返回包括右表中的所有记录和左表中联结字段相等的记录

●inner join(等值连接) 只返回两个表中联结字段相等的行

比如：现有一学校教师资料的数据库，需要查询出学校所有教师的院系、职称、课程名称、学分、学时相关信息的表。

（1）加载数据库文件，可以发现所需的数据在教师表、课程表、授课表3张表中。

教师表

课程表

授课表

（2）将教师表、课程表、授课表3张表勾选并通过对表结构的分析，发现了3张表的关联字段，使用DBF6300数据库取证分析系统的关联字段连线，对表建立关联，选择需要分析的字段，执行查询即可得到所需的表格。

◇建立连接关系，勾选展示字段

◇执行查询语句，查看多表关联查询结果

4、其它分析方法

●日志分析

通过对数据库日志进行分析，了解其日志记录中对数据库发生增删查改的操作，以获得关键涉案信息。

●层级关系分析

对于网络传销、网络赌博等案件，通过分析涉案团伙层级图谱，可以快速梳理出涉案组织架构、人员规模等信息。

二、案例分析

现有一涉案网站数据库（MySQL数据库data文件），需要按以下要求分析获取相关涉案数据：

涉案检材：data.7z

分析工具：DBF6300数据库取证分析系统

解压检材文件易语言mysql数据库视频教程，获得涉案MySQL数据库data文件。

1、找到涉案人“汪驰”信息

（1）打开DBF6300数据库取证分析系统，选择文件模式，选择文件夹，选择DATA文件夹。

（2）选择需要分析的涉案数据库，勾选跳过数据预览直接进入数据库分析界面。

（3）通过关键词查询，查询与涉案人相关的所有信息。

2、导出平台涉案人员信息表（包含会员ID、推荐人ID、姓名、手机号、证件号、投资积分、推荐人用户名）

（1）通过对表信息的查看，发现m_userinfo表包含所有信息。

（2）选择m_userinfo表，直接导出即可，可以根据实际需求选择导出选项。

3、分析该平台人员组织架构，以用户名为节点展示层级图谱

首先需要分析出包含上下级关系字段和用户名字段的表，此处需要对m_userinfo表和m_userdata表进行关联查询，得到需要的表，再根据得到的表进行层级分析。

（1）选择高级查询，添加m_userinfo表和m_userdata表，选择相同含义字段关联。

（2）选择需要包含的字段，执行查询。

（3）保存查询结果，用于层级分析。

（4）选择层级关系，选择高级查询，选择前面保存的查询结果，点击下一步。

（5）设置节点字段为会员ID，设置上级节点字段为推荐人ID，勾选节点替换字段并设置为user_name，选择开始分析。

（6）通过对图谱分析，即可得到组织层级及人员规模信息。

4、分析该数据库可能的访问密码

添加数据库日志分析，查看日志中是否会有设置密码的语句，可通过关键词“password”查询。

（1）回到主界面，选择文件模式，选择涉案数据库解析，进入数据预览界面，选择涉案数据并添加日志文件。

（2）选择日志，选择分析勾选数据。

（3）通过关键词查询快速定位相关信息，再根据时间信息确认最近更改的数据。

至此即可按要求完成对涉案数据库分析，可以从分析步骤看出，共涉及到数据查询、连接查询、日志分析、层级分析等分析手段。

三、注意事项

1.数据库分析前需要弄清楚数据库的含义、表的含义、字段的含义易语言mysql数据库视频教程，否则数据库分析就是空谈。

2.日志除了案例中记录增删查改的日志，还有数据库访问、管理等相关日志，必要情况也需要进行分析。

3.对于一些云平台的云数据库备份文件，由于其格式比较特殊，可能需要提前进行格式转换。

4.某些时候，还需要在分析前提前沟通好案件定性的数据类型，以便能直接呈现分析结果。

5. 数据库分析不只是局限于数据库本身，很多案件还需要进行数据库与网络系统的本地还原，所以对数据库的分析需要大家了解更多的信息，本文只是基于效率源DBF6300数据库取证分析系统进行的数据库分析实操。有任何问题欢迎大家通过以下方式联系我们：

拨打电话：028-85211099

（编辑：92站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!