SQL server数据库故障:
SQL server数据库和备份文件被加密,无法使用。数据库MDF、LDF、log日志文件名字被修改。
SQL server数据库数据恢复过程:
1、首先对故障数据库所涉及到的硬盘进行镜像备份,避免对原始数据造成二次破坏,后续的数据分析&数据恢复操作将基于镜像文件进行。
2、使用工具查看SQL server数据库的底层,发现SQL server数据库底层数据中的头部信息已经遭到破坏。
3、根据SQL server数据库底层数据分布规律分析查找病毒的加密方式。经过分析发现该数据库页为8K,将底层数据按8K切块并向下查找分析加密方式,经过分析发现加密规律:每隔128k进行一次大小为125字节的加密。
4、分析数据库备份文件底层数据,发现加密规律和数据库部分的加密规律完全相同。
5、SqlServer数据库起始页标志为01 0F,北亚数据恢复工程师在底层检索数据库页的起始标志,发现数据库备份的头部记录完好。经过分析才知道数据库备份的头部记录了数据库的备份信息,所以数据库页的起始位置
向下偏移,数据库中的加密位置和数据库备份文件中的加密位置刚好错开,因此数据库备份文件中的起始标志未被破坏。
6、由于数据库加密位置与数据库的备份文件加密位置错开,北亚数据恢复工程师结合数据库备份文件修复数据库中的加密页。
7、数据恢复工程师使用数据库管理工具附加&检查修复好的数据库。经过检查验证,数据库可以正常使用。经过用户亲自对恢复的数据进行验证,确认数据库内的所有数据完整可用,本次数据恢复完成。
