共计 578 个字符,预计需要花费 2 分钟才能阅读完成。
故障:
2 个 SQL server 数据库被加密,无奈应用。
数据库 MDF、LDF、log 日志文件名字被批改,如下图:
数据库备份被加密,文件名字被批改。管理员分割北亚数据恢复核心进行数据修复。
数据恢复过程:
1、备份数据库。为避免数据恢复过程中对原始数据库造成二次毁坏,北亚数据恢复工程师为每个库做了备份。所有复原数据的操作都在备份上进行, 防止了对原始数据造成损坏的可能。
2、应用北亚自研的数据恢复软件关上中病毒的 SQL server 数据库,发现数据库的头部已被毁坏。
3、通过查看,北亚数据恢复工程师确定 sqlserver 数据库页大小 8K,按 8K 大小切块,向下查找。最终剖析得出,病毒对数据库文件每 128K 进行一次加密,加密大小为 128 字节。
4、北亚数据恢复工程师关上数据库备份,发现也是每 128K 进行一次加密,加密大小为 128 字节。
5、向下搜寻数据库页起始标记 01 0F,北亚数据恢复工程师发现此处没有被加密。通过剖析发现数据库与数据库备份加密形式一样,每 128K 进行一次加密,加密大小为 128 字节。因为数据库备份头部记录备份信息,数据库页起始向下偏移,因而数据库中加密的页与数据库备份中加密的页正好错开。
6、修复加密数据库。北亚数据恢复工程师联合数据库备份对数据库中加密的页进行修复,通过数据库管理工具附加批改好的数据库,并进行查问验证,后经管理员验证,数据没有问题。
正文完