一、服务器数据库基本情况介绍
客户一台服务器上的数据库被病毒加密无法运用,数据库是SQL server数据库2008R2,服务器上有多个数据库,其间2个数据库及备份文件被加密,文件名发生变化,数据库无法运用,需要对服务器上的数据库进行数据康复。经过初步沟通后安排工程师前往客户现场进行数据库恢复。
二、备份客户服务器内的一切数据
工程师前往客户现场后对数据库进行了初步检测后,为防止数据康复操作过程中对服务器原始数据造成损坏,首要对客户的服务器进行了安全的数据备份,将客户服务器上的一切数据备份到存储池中。接下来的数据剖析、数据康复操作将全部在存储池中进行,不会对客户原始数据造成任何损坏,即便无法康复客户数据也不会导致客户的原始数据环境发生变化。在保证原始服务器环境的条件下进行数据康复。
三、数据库加密剖析及数据康复计划
凭借一款专用的数据康复软件winhex打开客户的SQLserver数据库,查看数据库底层数据是否被损坏,经过查看发现数据库底层数据中的头部信息被损坏。
2、根据数据库底层数据散布规则剖析查找病毒的加密方法,经过剖析发现该数据库页为8K,将底层数据按8K切块并向下查找剖析加密方法,经过剖析发现病毒选用的是每隔128k进行一次大小为125字节的加密。
3、持续对数据库备份文件底层数据进行剖析,发现加密规则通数据库部分的加密规则完全相同。
SqlServer数据库开始页标志为01 0F,数据康复工程师在底层检索数据库页的开始标志,经过检索发现数据库备份的头部记录并没有被损坏,本来数据库备份的头部记录了数据库的备份信息,数据库页的开始方位发生了向下偏移,这就导致了数据库中的加密方位和数据库备份数据中的加密方位刚好错开,因而数据库备份中的开始标志未被损坏。
4、由于数据库加密方位与数据库的备份文件加密方位刚好错开,因而能够结合数据库备份文件对数据库中的加密页进行数据修复,最后数据康复工程师经过数据库管理工具将修复好的数据库进行附加查看,经过查看验证,数据库能够正常运用。最后经过客户工程司亲身对康复的数据进行验证,承认数据库内的一切数据完整,本次数据康复圆满成功。