故障:
2個SQL server資料庫被加密,無法使用。
資料庫MDF、LDF、log日志檔案名字被修改,如下圖:
![](https://img.laitimes.com/img/9ZDMuAjOiMmIsIjOiQnIsICM1czX3xCZlhXam9VbsUmepNXZy9CXwJWZ3xCdh1mcvZ2Lc1zaHRGcWdUYuVzVa9GczoVdG1mWfVGc5RHLwIzX39GZhh2csATMflHLwEzX4xSZz91ZsAzMfRHLGZkRGZkRfJ3bs92YskmNhVTYykVNQJVMRhXVEF1X0hXZ0xCNx8VZ6l2cssmch1mclRXY39CXldWYtlWPzNXZj9mcw1ycz9WL49zZuBnL5gjY0QjZzEjMjdzY3QWOykzMyQTOzkDM2gjMhVjM2ImYjVDO5M2LcJDMyIDMy8CXzV2Zh1WavwVbvNmLvR3YxUjLyM3Lc9CX6MHc0RHaiojIsJye.png)
資料庫備份被加密,檔案名字被修改。管理者聯系北亞資料恢複中心進行資料修複。
資料恢複過程:
1、備份資料庫。為防止資料恢複過程中對原始資料庫造成二次破壞,北亞資料恢複工程師為每個庫做了備份。所有恢複資料的操作都在備份上進行, 避免了對原始資料造成損壞的可能。
2、使用北亞自研的資料恢複軟體打開被加密的SQL server資料庫,發現資料庫的頭部已被破壞。
3、經過檢查,北亞資料恢複工程師确定sqlserver資料庫頁大小8K,按8K大小切塊,向下查找。最終分析得出,bingdu對資料庫檔案每128K進行一次加密,加密大小為128位元組。
4、北亞資料恢複工程師打開資料庫備份,發現也是每128K進行一次加密,加密大小為128位元組。
5、向下搜尋資料庫頁起始标志01 0F, 北亞資料恢複工程師發現此處沒有被加密。經過分析發現資料庫與資料庫備份加密方式一樣,每128K進行一次加密,加密大小為128位元組。由于資料庫備份頭部記錄備份資訊,資料庫頁起始向下偏移,是以資料庫中加密的頁與資料庫備份中加密的頁正好錯開。