从 sqlite 中提取

Question

我有一个从蜜罐创建的 sqlite 数据库。该数据库包含恶意软件文件。我如何从 sqlite 数据库中提取这些文件。如果有人可以帮忙请

Answer 1

您可以使用以下命令转储整个数据库：

echo .dump | sqlite3 database.sqlite > database.dump

或者仅使用以下命令查看结构：

echo .schema | sqlite3 database.sqlite

要获取文件，您可能需要一个小脚本来将 BLOB 提取到文件中。如果您需要帮助，请发布数据库的架构。

Answer 2

sqlite3 命令可以轻松询问 sqlite3 数据库，.dump 命令将允许您转储给定的表，.output 命令将允许您转储给定的表。让您在转储之前选择输出的文件名。

如果数据来自蜜罐，请非常小心用于检查内容的工具：在终端中发现了允许恶意内容获得系统权限的缺陷。只需使用“cat”检查此类终端上的文件就可以向恶意程序授予您的完整权限集。

因此，至少请使用非特权用户帐户，无法访问系统上的其他数据。使用 AppArmor、SMACK、TOMOYO、SELinux、LIDS 等工具将您的工具限制在一小部分系统资源中也是一个好主意。虚拟化也可以发挥作用，但这些工具也带来了很多“突破”。