Récupérer l'historique récent depuis les fichiers WAL SQLite

Chrome et Firefox ouvrent leurs bases SQLite en mode WAL (write-ahead logging). Les nouvelles transactions sont d'abord ajoutées à un fichier annexe <base>-wal, puis seulement plus tard reportées dans le fichier principal .db/.sqlite.

Pourquoi c'est important

Si vous copiez et analysez uniquement History (ou places.sqlite) en ignorant History-wal, vous pouvez manquer silencieusement les visites, téléchargements et cookies les plus récents — souvent précisément l'activité qui intéresse une enquête.

À faire

• Toujours collecter les annexes -wal (et -shm) avec le fichier principal.
• Les conserver ensemble, avec le même nom de base.
• Fusionner les trames WAL validées dans la base avant d'interroger.

Comment cet outil le gère

Téléversez tout le dossier de profil (ou les deux fichiers ensemble) et l'analyseur associe automatiquement History à History-wal, fusionne les pages validées en un instantané cohérent, puis l'interroge — les enregistrements récents apparaissent sans report manuel. Idem pour le places.sqlite-wal de Firefox.