先週の続きです。

OSの日付を6月25日へ変更し、レコード削除を発生させます。

OSを再起動し、-wal ファイルがActivitiesCache.dbへ反映された状態にします。

ActivitiesCache.dbファイルをHEXで参照し、ファイル名を検索してみます。

DeleteSample.jpgを発見できます。

 更に古い情報もまだ残っていますね。

 さて、これらの削除レコードを復元するにはどうするのが良いでしょうか？

削除レコードを復元できるツールは幾つかありますので、今後色々と試してみたいと思います。

参考URL:

SQLite database format - ForensicsWiki

github.com

sandersonforensics.com