數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)—SQLserver數(shù)據(jù)庫(kù)被加密如何恢復(fù)數(shù)據(jù)?
SQLserver數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)環(huán)境&故障:
北亞企安數(shù)據(jù)恢復(fù)——SQLserver數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)
一臺(tái)服務(wù)器上的SQLserver數(shù)據(jù)庫(kù)被勒索病毒加密,無法正常使用。該服務(wù)器上部署有多個(gè)SQLserver數(shù)據(jù)庫(kù),其中有2個(gè)數(shù)據(jù)庫(kù)及備份文件被加密,文件名被篡改,數(shù)據(jù)庫(kù)無法使用。
SQL server數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)過程:
1、將故障服務(wù)器上所有磁盤編號(hào)后取出,經(jīng)過硬件工程師檢測(cè)沒有發(fā)現(xiàn)有硬盤存在物理故障。將所有磁盤以只讀方式進(jìn)行扇區(qū)級(jí)的全盤鏡像備份,備份完成后將所有磁盤按照編號(hào)還原到原服務(wù)器中,后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作都基于鏡像文件進(jìn)行,避免對(duì)原始磁盤數(shù)據(jù)造成二次破壞。
2、在鏡像文件中使用工具打開SQLserver數(shù)據(jù)庫(kù),經(jīng)過檢查發(fā)現(xiàn)SQLserver數(shù)據(jù)庫(kù)底層數(shù)據(jù)中的頭部信息被破壞。
北亞企安數(shù)據(jù)恢復(fù)——SQLserver數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)
3、北亞企安數(shù)據(jù)恢復(fù)工程師根據(jù)SQLserver數(shù)據(jù)庫(kù)底層數(shù)據(jù)分布規(guī)律分析病毒的加密方式。經(jīng)過分析發(fā)現(xiàn)該SQLserver數(shù)據(jù)庫(kù)頁(yè)為8K,將底層數(shù)據(jù)按8K切塊并向下查找分析加密方式。經(jīng)過分析發(fā)現(xiàn)病毒采用加密方式是每隔128k進(jìn)行一次大小為125字節(jié)的加密。
北亞企安數(shù)據(jù)恢復(fù)——SQLserver數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)
4、繼續(xù)分析SQLserver數(shù)據(jù)庫(kù)備份文件底層數(shù)據(jù),發(fā)現(xiàn)備份文件的加密規(guī)律和SQLserver數(shù)據(jù)庫(kù)的加密規(guī)律完全相同。
北亞企安數(shù)據(jù)恢復(fù)——SQLserver數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)
SqlServer數(shù)據(jù)庫(kù)起始頁(yè)標(biāo)志為01 0F,北亞企安數(shù)據(jù)恢復(fù)工程師在底層檢索SqlServer數(shù)據(jù)庫(kù)頁(yè)的起始標(biāo)志,經(jīng)過檢索發(fā)現(xiàn)SqlServer數(shù)據(jù)庫(kù)備份的頭部記錄沒有被破壞,SqlServer數(shù)據(jù)庫(kù)備份的頭部記錄了SqlServer數(shù)據(jù)庫(kù)的備份信息。由于SqlServer數(shù)據(jù)庫(kù)頁(yè)的起始位置發(fā)生了向下的偏移,
導(dǎo)致SqlServer數(shù)據(jù)庫(kù)中的加密位置和SqlServer數(shù)據(jù)庫(kù)備份數(shù)據(jù)中的加密位置剛好錯(cuò)開,因此SqlServer數(shù)據(jù)庫(kù)備份中的起始標(biāo)志未被破壞。
北亞企安數(shù)據(jù)恢復(fù)——SQLserver數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)
5、由于SqlServer數(shù)據(jù)庫(kù)加密位置與SqlServer數(shù)據(jù)庫(kù)備份文件加密位置剛好錯(cuò)開,北亞企安數(shù)據(jù)恢復(fù)工程師結(jié)合SqlServer數(shù)據(jù)庫(kù)備份文件來修復(fù)SqlServer數(shù)據(jù)庫(kù)中的加密頁(yè)。修復(fù)完成后通過SqlServer數(shù)據(jù)庫(kù)管理工具將修復(fù)好的SqlServer數(shù)據(jù)庫(kù)進(jìn)行附加&檢查,經(jīng)過檢查驗(yàn)證,SqlServer數(shù)據(jù)庫(kù)可以正常使用。
交由用戶方工程師對(duì)恢復(fù)出來的SqlServer數(shù)據(jù)庫(kù)數(shù)據(jù)進(jìn)行驗(yàn)證,經(jīng)過反復(fù)的驗(yàn)證確認(rèn)SqlServer數(shù)據(jù)庫(kù)內(nèi)的所有數(shù)據(jù)完整有效。本次數(shù)據(jù)恢復(fù)工作完成。
北亞企安數(shù)據(jù)恢復(fù)——SQLserver數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)
-
數(shù)據(jù)恢復(fù)
+關(guān)注
關(guān)注
10文章
712瀏覽量
18983 -
數(shù)據(jù)庫(kù)
+關(guān)注
關(guān)注
7文章
4019瀏覽量
68329 -
SQLserver
+關(guān)注
關(guān)注
0文章
21瀏覽量
7362
發(fā)布評(píng)論請(qǐng)先 登錄
MySQL數(shù)據(jù)庫(kù)備份恢復(fù)方式對(duì)比
Oracle數(shù)據(jù)庫(kù)ASM實(shí)例無法掛載的數(shù)據(jù)恢復(fù)案例
深度解讀MySQL數(shù)據(jù)庫(kù)備份恢復(fù)策略
國(guó)產(chǎn)數(shù)據(jù)庫(kù)的AI戰(zhàn)事
mysql數(shù)據(jù)恢復(fù)—mysql數(shù)據(jù)庫(kù)表被truncate的數(shù)據(jù)恢復(fù)案例
數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)—服務(wù)器異常斷電導(dǎo)致Oracle數(shù)據(jù)庫(kù)故障的數(shù)據(jù)恢復(fù)案例
Oracle數(shù)據(jù)恢復(fù)—格式化分區(qū)導(dǎo)致Oracle數(shù)據(jù)庫(kù)報(bào)錯(cuò)的數(shù)據(jù)恢復(fù)案例
數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)—MongoDB數(shù)據(jù)庫(kù)文件丟失的數(shù)據(jù)恢復(fù)案例
數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)—SQL Server數(shù)據(jù)庫(kù)被加密如何恢復(fù)數(shù)據(jù)?
oracle數(shù)據(jù)恢復(fù)—oracle數(shù)據(jù)庫(kù)誤執(zhí)行錯(cuò)誤truncate命令如何恢復(fù)數(shù)據(jù)?
SQLSERVER數(shù)據(jù)庫(kù)是什么
MySQL數(shù)據(jù)庫(kù)是什么
數(shù)據(jù)采集到MYSQL和SQLSERVER數(shù)據(jù)庫(kù)可以實(shí)現(xiàn)哪些功能
分布式存儲(chǔ)數(shù)據(jù)恢復(fù)—虛擬機(jī)上hbase和hive數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)案例
數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)——MongoDB數(shù)據(jù)庫(kù)文件拷貝后服務(wù)無法啟動(dòng)的數(shù)據(jù)恢復(fù)
工商網(wǎng)監(jiān)
評(píng)論