SQLserver數據庫數據恢復環境&故障：

北亞企安數據恢復——SQLserver數據庫數據恢復

一臺服務器上的SQLserver數據庫被勒索病毒加密，無法正常使用。該服務器上部署有多個SQLserver數據庫，其中有2個數據庫及備份文件被加密，文件名被篡改，數據庫無法使用。

SQL server數據庫數據恢復過程：

1、將故障服務器上所有磁盤編號后取出，經過硬件工程師檢測沒有發現有硬盤存在物理故障。將所有磁盤以只讀方式進行扇區級的全盤鏡像備份，備份完成后將所有磁盤按照編號還原到原服務器中，后續的數據分析和數據恢復操作都基于鏡像文件進行，避免對原始磁盤數據造成二次破壞。

2、在鏡像文件中使用工具打開SQLserver數據庫，經過檢查發現SQLserver數據庫底層數據中的頭部信息被破壞。

北亞企安數據恢復——SQLserver數據庫數據恢復

3、北亞企安數據恢復工程師根據SQLserver數據庫底層數據分布規律分析病毒的加密方式。經過分析發現該SQLserver數據庫頁為8K，將底層數據按8K切塊并向下查找分析加密方式。經過分析發現病毒采用加密方式是每隔128k進行一次大小為125字節的加密。

北亞企安數據恢復——SQLserver數據庫數據恢復

4、繼續分析SQLserver數據庫備份文件底層數據，發現備份文件的加密規律和SQLserver數據庫的加密規律完全相同。

北亞企安數據恢復——SQLserver數據庫數據恢復

SqlServer數據庫起始頁標志為01 0F，北亞企安數據恢復工程師在底層檢索SqlServer數據庫頁的起始標志，經過檢索發現SqlServer數據庫備份的頭部記錄沒有被破壞，SqlServer數據庫備份的頭部記錄了SqlServer數據庫的備份信息。由于SqlServer數據庫頁的起始位置發生了向下的偏移，

導致SqlServer數據庫中的加密位置和SqlServer數據庫備份數據中的加密位置剛好錯開，因此SqlServer數據庫備份中的起始標志未被破壞。

北亞企安數據恢復——SQLserver數據庫數據恢復

5、由于SqlServer數據庫加密位置與SqlServer數據庫備份文件加密位置剛好錯開，北亞企安數據恢復工程師結合SqlServer數據庫備份文件來修復SqlServer數據庫中的加密頁。修復完成后通過SqlServer數據庫管理工具將修復好的SqlServer數據庫進行附加&檢查，經過檢查驗證，SqlServer數據庫可以正常使用。

交由用戶方工程師對恢復出來的SqlServer數據庫數據進行驗證，經過反復的驗證確認SqlServer數據庫內的所有數據完整有效。本次數據恢復工作完成。

北亞企安數據恢復——SQLserver數據庫數據恢復