【北亞資料恢復】sqlserver資料庫被加密的資料恢復案例分享

北亞資料恢復發表於2022-02-22

故障:

2個SQL server資料庫被加密,無法使用。

資料庫MDF、LDF、log日誌檔名字被修改,如下圖:

資料庫備份被加密,檔名字被修改。管理員聯絡北亞資料恢復中心進行資料修復。



資料恢復過程:


1、備份資料庫。為防止資料恢復過程中對原始資料庫造成二次破壞,北亞資料恢復工程師為每個庫做了備份。所有恢復

資料的操作都在備份上進行, 避免了對原始資料造成損壞的可能。


2、使用北亞自研的資料恢復軟體開啟中病毒的SQL server資料庫,發現資料庫的頭部已被破壞。



3、經過檢查,北亞資料恢復工程師確定sqlserver資料庫頁大小8K,按8K大小切塊,向下查詢。最終分析得出,病毒對

資料庫檔案每128K進行一次加密,加密大小為128位元組。



4、北亞資料恢復工程師開啟資料庫備份,發現也是每128K進行一次加密,加密大小為128位元組。



5、向下搜尋資料庫頁起始標誌01 0F, 北亞資料恢復工程師發現此處沒有被加密。經過分析發現資料庫與資料庫備份

加密方式一樣,每128K進行一次加密,加密大小為128位元組。由於資料庫備份頭部記錄備份資訊,資料庫頁起始向下

偏移,因此資料庫中加密的頁與資料庫備份中加密的頁正好錯開。



6、修復加密資料庫。北亞資料恢復工程師結合資料庫備份對資料庫中加密的頁進行修復,通過資料庫管理工具附加修改

好的資料庫,並進行查詢驗證,後經管理員驗證,資料沒有問題。




來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31380569/viewspace-2856926/,如需轉載,請註明出處,否則將追究法律責任。

相關文章