在日前美國拉斯維加斯舉行的2011黑帽大會上，數據庫安全專家David Litchfield表示，即使是在這個海量數據庫泄漏和數據庫攻擊的時代，數據庫取證仍然處于明顯落后的狀況。Litchfield因數據庫安全漏洞檢測方面的工作而聞名，他在黑帽大會上展示了一套新的Oracle數據庫取證工具測試版，現在正在向整個安全社區免費發放。

在Litchfield的演講中，他向觀眾展示了Oracle數據庫攻擊，從獲取到數據庫的訪問權限，到提升權限，再到修改數據，并展示了這些攻擊所留下的各種類型的證據以及他的工具將如何收集這些證據以用于數據取證。

他還說道，并沒有人真正承擔起數據庫取證和事故響應的責任，因為數據庫和取證的結合讓這兩個領域的專家都無所適從。

“似乎這成了‘無人認領的領域’，因為取證和IR人員都非常清楚他們自己的技術，而對于數據庫他們必須理解像SQL這些東西，你必須理解架構，所以他們將問題交給數據庫人員去處理，”Litchfield表示，“而數據庫人員可能會想，‘哇，我懂數據庫，但是整個取證的工作完全不明白，所以我要把它交給別人來處理’。”

此外，他表示，目前市面上并沒有有效的工具來有效地進行數據庫取證。

Litchfield表示，取證方面存在的巨大差距是吸引他從研究漏洞轉移到研究數據庫和開發相關工具的主要因素。

根據Litchfield，很多取證數據都是圍繞數據庫基礎設施來進行適當的調查，特別是針對Oracle。Litchfield表示，雖然從安全態勢的角度來看，Oracle要趕上SQL服務器還有很長的路要走(從關鍵補丁更新的數量進行對比)，但是他認為Oracle提供了最多的必要的取證信息來幫助分析事故。

“在Oracle中，證據無處不在，這也是它的優點之一。存在很多內置冗余，具有很豐富的信息來分析發生了什么事情，”他表示，“這些信息非常有利于取證調查員的工作。”

事故響應團隊還應該看看其他地方，包括系統元數據、數據庫文件、重做日志、交易日志、還原段以及內存和跟蹤文件。日志文件也不錯，但是要十分謹慎，因為黑客可能可以操縱日志文件。

關鍵在于在不改變任何系統狀況的前提下提取出去，使數據可以以人類可理解的格式來讀取。Litchfield表示，他的新工具目前支持Oracle 版本8.他鼓勵取證人員與他討論這個免費工具的問題。