SQL server資料庫故障:
SQL server資料庫和備份檔案被加密,無法使用。資料庫MDF、LDF、log日志檔案名字被修改。
SQL server資料庫資料恢複過程:
1、首先對故障資料庫所涉及到的硬碟進行鏡像備份,避免對原始資料造成二次破壞,後續的資料分析&資料恢複操作将基于鏡像檔案進行。
2、使用工具檢視SQL server資料庫的底層,發現SQL server資料庫底層資料中的頭部資訊已經遭到破壞。
北亞資料恢複——SQL server資料庫資料恢複
3、根據SQL server資料庫底層資料分布規律分析查找病毒的加密方式。經過分析發現該資料庫頁為8K,将底層資料按8K切塊并向下查找分析加密方式,經過分析發現加密規律:每隔128k進行一次大小為125位元組的加密。
北亞資料恢複——SQL server資料庫資料恢複
4、分析資料庫備份檔案底層資料,發現加密規律和資料庫部分的加密規律完全相同。
北亞資料恢複——SQL server資料庫資料恢複
5、SqlServer資料庫起始頁标志為01 0F,北亞資料恢複工程師在底層檢索資料庫頁的起始标志,發現資料庫備份的頭部記錄完好。經過分析才知道資料庫備份的頭部記錄了資料庫的備份資訊,是以資料庫頁的起始位置
向下偏移,資料庫中的加密位置和資料庫備份檔案中的加密位置剛好錯開,是以資料庫備份檔案中的起始标志未被破壞。
北亞資料恢複——SQL server資料庫資料恢複
6、由于資料庫加密位置與資料庫的備份檔案加密位置錯開,北亞資料恢複工程師結合資料庫備份檔案修複資料庫中的加密頁。
7、資料恢複工程師使用資料庫管理工具附加&檢查修複好的資料庫。經過檢查驗證,資料庫可以正常使用。經過使用者親自對恢複的資料進行驗證,确認資料庫内的所有資料完整可用,本次資料恢複完成。
北亞資料恢複——SQL server資料庫資料恢複