SQLserver數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)環(huán)境&故障：

北亞企安數(shù)據(jù)恢復(fù)——SQLserver數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)

一臺(tái)服務(wù)器上的SQLserver數(shù)據(jù)庫(kù)被勒索病毒加密，無(wú)法正常使用。該服務(wù)器上部署有多個(gè)SQLserver數(shù)據(jù)庫(kù)，其中有2個(gè)數(shù)據(jù)庫(kù)及備份文件被加密，文件名被篡改，數(shù)據(jù)庫(kù)無(wú)法使用。

SQL server數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)過(guò)程：

1、將故障服務(wù)器上所有磁盤(pán)編號(hào)后取出，經(jīng)過(guò)硬件工程師檢測(cè)沒(méi)有發(fā)現(xiàn)有硬盤(pán)存在物理故障。將所有磁盤(pán)以只讀方式進(jìn)行扇區(qū)級(jí)的全盤(pán)鏡像備份，備份完成后將所有磁盤(pán)按照編號(hào)還原到原服務(wù)器中，后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作都基于鏡像文件進(jìn)行，避免對(duì)原始磁盤(pán)數(shù)據(jù)造成二次破壞。

2、在鏡像文件中使用工具打開(kāi)SQLserver數(shù)據(jù)庫(kù)，經(jīng)過(guò)檢查發(fā)現(xiàn)SQLserver數(shù)據(jù)庫(kù)底層數(shù)據(jù)中的頭部信息被破壞。

北亞企安數(shù)據(jù)恢復(fù)——SQLserver數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)

3、北亞企安數(shù)據(jù)恢復(fù)工程師根據(jù)SQLserver數(shù)據(jù)庫(kù)底層數(shù)據(jù)分布規(guī)律分析病毒的加密方式。經(jīng)過(guò)分析發(fā)現(xiàn)該SQLserver數(shù)據(jù)庫(kù)頁(yè)為8K，將底層數(shù)據(jù)按8K切塊并向下查找分析加密方式。經(jīng)過(guò)分析發(fā)現(xiàn)病毒采用加密方式是每隔128k進(jìn)行一次大小為125字節(jié)的加密。

北亞企安數(shù)據(jù)恢復(fù)——SQLserver數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)

4、繼續(xù)分析SQLserver數(shù)據(jù)庫(kù)備份文件底層數(shù)據(jù)，發(fā)現(xiàn)備份文件的加密規(guī)律和SQLserver數(shù)據(jù)庫(kù)的加密規(guī)律完全相同。

北亞企安數(shù)據(jù)恢復(fù)——SQLserver數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)

SqlServer數(shù)據(jù)庫(kù)起始頁(yè)標(biāo)志為01 0F，北亞企安數(shù)據(jù)恢復(fù)工程師在底層檢索SqlServer數(shù)據(jù)庫(kù)頁(yè)的起始標(biāo)志，經(jīng)過(guò)檢索發(fā)現(xiàn)SqlServer數(shù)據(jù)庫(kù)備份的頭部記錄沒(méi)有被破壞，SqlServer數(shù)據(jù)庫(kù)備份的頭部記錄了SqlServer數(shù)據(jù)庫(kù)的備份信息。由于SqlServer數(shù)據(jù)庫(kù)頁(yè)的起始位置發(fā)生了向下的偏移，

導(dǎo)致SqlServer數(shù)據(jù)庫(kù)中的加密位置和SqlServer數(shù)據(jù)庫(kù)備份數(shù)據(jù)中的加密位置剛好錯(cuò)開(kāi)，因此SqlServer數(shù)據(jù)庫(kù)備份中的起始標(biāo)志未被破壞。

北亞企安數(shù)據(jù)恢復(fù)——SQLserver數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)

5、由于SqlServer數(shù)據(jù)庫(kù)加密位置與SqlServer數(shù)據(jù)庫(kù)備份文件加密位置剛好錯(cuò)開(kāi)，北亞企安數(shù)據(jù)恢復(fù)工程師結(jié)合SqlServer數(shù)據(jù)庫(kù)備份文件來(lái)修復(fù)SqlServer數(shù)據(jù)庫(kù)中的加密頁(yè)。修復(fù)完成后通過(guò)SqlServer數(shù)據(jù)庫(kù)管理工具將修復(fù)好的SqlServer數(shù)據(jù)庫(kù)進(jìn)行附加&檢查，經(jīng)過(guò)檢查驗(yàn)證，SqlServer數(shù)據(jù)庫(kù)可以正常使用。

交由用戶方工程師對(duì)恢復(fù)出來(lái)的SqlServer數(shù)據(jù)庫(kù)數(shù)據(jù)進(jìn)行驗(yàn)證，經(jīng)過(guò)反復(fù)的驗(yàn)證確認(rèn)SqlServer數(shù)據(jù)庫(kù)內(nèi)的所有數(shù)據(jù)完整有效。本次數(shù)據(jù)恢復(fù)工作完成。

北亞企安數(shù)據(jù)恢復(fù)——SQLserver數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)