故障:
2個SQL server資料庫被加密,無法使用。
資料庫MDF、LDF、log日志檔案名字被修改,如下圖:
資料庫備份被加密,檔案名字被修改。管理者聯系北亞資料恢複中心進行資料修複。
資料恢複過程:
1、備份資料庫。為防止資料恢複過程中對原始資料庫造成二次破壞,北亞資料恢複工程師為每個庫做了備份。所有恢複資料的操作都在備份上進行, 避免了對原始資料造成損壞的可能。
2、使用北亞自研的資料恢複軟體打開被加密的SQL server資料庫,發現資料庫的頭部已被破壞。
3、經過檢查,北亞資料恢複工程師确定sqlserver資料庫頁大小8K,按8K大小切塊,向下查找。最終分析得出,bingdu對資料庫檔案每128K進行一次加密,加密大小為128位元組。
4、北亞資料恢複工程師打開資料庫備份,發現也是每128K進行一次加密,加密大小為128位元組。
5、向下搜尋資料庫頁起始标志01 0F, 北亞資料恢複工程師發現此處沒有被加密。經過分析發現資料庫與資料庫備份加密方式一樣,每128K進行一次加密,加密大小為128位元組。由于資料庫備份頭部記錄備份資訊,資料庫頁起始向下偏移,是以資料庫中加密的頁與資料庫備份中加密的頁正好錯開。