SQLServer数据库故障:
某公司服务器上的SQLServer数据库被加密,无法使用。被加密的数据库有2个,数据库的MDF、LDF、log文件名字被篡改。
数据库被加密截图:
数据库备份被加密,文件名字被篡改:
SQLServer数据库数据恢复过程:
1、将故障数据库内的数据备份至北亚企安数据恢复中心的专用存储池中。后续的数据分析和数据恢复操作都基于备份文件进行,避免对原始数据造成二次破坏。
2、基于备份文件分析SQLServer数据库底层数据,发现数据库的头部已被破坏。
3、SQLServer数据库页大小8K,按8K大小切块向下查找,北亚企安数据恢复工程师经过分析,发现数据库加密规律:每128K进行一次加密,加密大小为128字节。
数据库底层数据:
4、打开SQLServer数据库备份,经过分析发现加密规律也是每128K进行一次加密,加密大小为128字节。
数据库加密方式截图:
向下搜索SQLServer数据库页起始标志, 发现这个位置没有被加密。由于SQLServer数据库备份头部记录备份信息,SQLServer数据库页起始向下偏移,因此SQLServer数据库中加密的页与SQLServer数据库备份中加密的页正好错开。
数据库加密方式截图:
5、结合SQLServer数据库备份修复SQLServer数据库中加密的页。修复完成后通过SQLServer数据库管理工具附加修改好的SQLServer数据库,进行查询验证没有发现问题。交由用户方进行验证,没有发现任何问题。本次数据库数据恢复工作完成。
数据库解密后截图:
