某客戶系統(tǒng)文件被勒索后�,通過(guò)分析發(fā)現(xiàn)文件的頭部全0填充了256kb。但是文件的主體內(nèi)容還在��,也就意味著可以通過(guò)數(shù)據(jù)恢復(fù)的方式進(jìn)行文件修復(fù)���。本文通過(guò)對(duì)mdf文件進(jìn)行修復(fù),成功幫客戶成功恢復(fù)幾個(gè)G的數(shù)據(jù)庫(kù)�,最大程度上降低損失。 案例背景
實(shí)驗(yàn)環(huán)境- 騰訊云 4核8G CVM
- SQLserver 2016
- Stellar Phoenix SQL Database Repair
勒索數(shù)據(jù)庫(kù)文件分析winhex直接跳轉(zhuǎn)到偏移量3FFFF���,后面部分仍為文件原內(nèi)容����。 mdf修復(fù)過(guò)程注意:要想將修復(fù)后的數(shù)據(jù)再導(dǎo)出為mdf文件需要先安裝MSSQL數(shù)據(jù) 下載數(shù)據(jù)庫(kù)修復(fù)工具后,解壓打開運(yùn)行ssr.exe�。 選擇待修復(fù)的mdf文件,如果是勒索的文件需要把后綴名改為mdf��。 根據(jù)原本的數(shù)據(jù)庫(kù)版本進(jìn)行選擇�����。 修復(fù)完成后根據(jù)提示進(jìn)行保存��。如果mdf文件很大��,則修復(fù)時(shí)間可能長(zhǎng)達(dá)數(shù)小時(shí)�����。 預(yù)覽恢復(fù)后的數(shù)據(jù)庫(kù)表����。 導(dǎo)入SQLserver重新生成mdf文件選擇本地搭建的SQLserver數(shù)據(jù)庫(kù)(實(shí)測(cè)該版本不支持遠(yuǎn)程數(shù)據(jù)庫(kù))。 連接成功后會(huì)將數(shù)據(jù)重新寫入數(shù)據(jù)庫(kù)。 mdf成功修復(fù)完成�����! 經(jīng)校驗(yàn)比對(duì)大部分的表均完全恢復(fù)完成����,僅丟失很少數(shù)據(jù)。
|
