La ciencia forense de bases de datos es una rama de la ciencia forense digital relacionada con el estudio forense de bases de datos y sus metadatos relacionados . [1]
La disciplina es similar a la informática forense , sigue el proceso forense normal y aplica técnicas de investigación al contenido y metadatos de bases de datos. La información almacenada en caché también puede existir en la RAM del servidor que requiere técnicas de análisis en vivo .
Un examen forense de una base de datos puede estar relacionado con las marcas de tiempo que se aplican a la hora de actualización de una fila en una tabla relacional que se inspecciona y prueba para verificar su validez para verificar las acciones de un usuario de la base de datos. Alternativamente, un examen forense puede centrarse en identificar transacciones dentro de un sistema o aplicación de base de datos que indiquen evidencia de irregularidades, como fraude.
Se pueden utilizar herramientas de software para manipular y analizar datos. Estas herramientas también brindan capacidades de registro de auditoría que brindan pruebas documentadas de las tareas o análisis que realizó un examinador forense en la base de datos.
A partir de 2008, muchas herramientas de software de bases de datos, en general, no son lo suficientemente confiables y precisas para usarse en trabajos forenses, como se demuestra en el primer artículo publicado sobre ciencia forense de bases de datos. [2] En 2008, solo se había publicado un libro en este campo, [3] aunque están destinados más. [4] Además, hay un libro posterior sobre SQL Server Forensics de Kevvie Fowler que también está bien considerado. [5]
El estudio forense de bases de datos relacionales requiere el conocimiento del estándar utilizado para codificar los datos en el disco de la computadora. Se ha aportado al dominio público una documentación de los estándares utilizados para codificar información en marcas conocidas de bases de datos, como SQL Server y Oracle. [6] [7] Otros incluyen Apex Analytix. [8]
Debido a que el análisis forense de una base de datos no se ejecuta de forma aislada, el marco tecnológico dentro del cual existe una base de datos en cuestión es crucial para comprender y resolver cuestiones de autenticidad e integridad de los datos, especialmente en lo que se refiere a los usuarios de la base de datos.