SQL server數(shù)據(jù)庫(kù)數(shù)據(jù)故障：
SQL server數(shù)據(jù)庫(kù)被加密，無(wú)法使用。
數(shù)據(jù)庫(kù)MDF、LDF、log日志文件名字被篡改。

北亞企安數(shù)據(jù)恢復(fù)—sql server數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)

數(shù)據(jù)庫(kù)備份被加密，文件名字被篡改。

北亞企安數(shù)據(jù)恢復(fù)—sql server數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)

SQL server數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)過(guò)程：
1、將所有數(shù)據(jù)庫(kù)做完整只讀備份。后續(xù)所有數(shù)據(jù)恢復(fù)操作都在備份數(shù)據(jù)庫(kù)上進(jìn)行, 避免對(duì)原始數(shù)據(jù)造成二次破壞。
2、使用工具打開(kāi)故障SQL server數(shù)據(jù)庫(kù)，發(fā)現(xiàn)數(shù)據(jù)庫(kù)的頭部已被破壞。

北亞企安數(shù)據(jù)恢復(fù)—sql server數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)

3、本案例中的sql server數(shù)據(jù)庫(kù)頁(yè)大小8K。按8K大小切塊向下查找分析。發(fā)現(xiàn)每128K進(jìn)行一次加密，加密大小為128字節(jié)。

北亞企安數(shù)據(jù)恢復(fù)—sql server數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)

4、打開(kāi)數(shù)據(jù)庫(kù)備份進(jìn)行分析，發(fā)現(xiàn)也是每128K進(jìn)行一次加密，加密大小為128字節(jié)。

北亞企安數(shù)據(jù)恢復(fù)—sql server數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)

向下搜索數(shù)據(jù)庫(kù)頁(yè)起始標(biāo)志01 0F， 發(fā)現(xiàn)此處沒(méi)有被加密。
通過(guò)上面的分析，數(shù)據(jù)庫(kù)與數(shù)據(jù)庫(kù)備份加密方式一樣，每128K進(jìn)行一次加密，加密大小為128字節(jié)。
由于數(shù)據(jù)庫(kù)備份頭部記錄了備份信息，所以數(shù)據(jù)庫(kù)頁(yè)起始向下偏移。因此數(shù)據(jù)庫(kù)中加密的頁(yè)與數(shù)據(jù)庫(kù)備份中加密的頁(yè)正好錯(cuò)開(kāi)。

北亞企安數(shù)據(jù)恢復(fù)—sql server數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)

5、結(jié)合SQL server數(shù)據(jù)庫(kù)備份修復(fù)SQL server數(shù)據(jù)庫(kù)中加密的頁(yè)。通過(guò)數(shù)據(jù)庫(kù)管理工具附加修復(fù)好的數(shù)據(jù)庫(kù)，并進(jìn)行查詢驗(yàn)證。經(jīng)過(guò)用戶方的仔細(xì)驗(yàn)證，確認(rèn)數(shù)據(jù)庫(kù)數(shù)據(jù)完整恢復(fù)。

北亞企安數(shù)據(jù)恢復(fù)—sql server數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù) 北亞企安數(shù)據(jù)恢復(fù)—sql server數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)

審核編輯 黃宇