SQL Server數(shù)據(jù)庫故障：
SQL Server數(shù)據(jù)庫被加密，無法使用。
數(shù)據(jù)庫MDF、LDF、log日志文件名字被篡改。
數(shù)據(jù)庫加密截圖：

北亞企安數(shù)據(jù)恢復(fù)—數(shù)據(jù)庫數(shù)據(jù)恢復(fù)

數(shù)據(jù)庫備份被加密，文件名字被篡改。
數(shù)據(jù)庫備份加密截圖：

北亞企安數(shù)據(jù)恢復(fù)—數(shù)據(jù)庫數(shù)據(jù)恢復(fù)

SQL Server數(shù)據(jù)庫數(shù)據(jù)恢復(fù)過程：
1、將SQL Server數(shù)據(jù)庫以只讀方式做完整備份。后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作都基于備份文件進(jìn)行，避免對SQL Server數(shù)據(jù)庫數(shù)據(jù)造成二次破壞。
2、打開被加密的SQL Server數(shù)據(jù)庫，北亞企安數(shù)據(jù)恢復(fù)工程師發(fā)現(xiàn)數(shù)據(jù)庫的頭部已被破壞。
數(shù)據(jù)庫底層數(shù)據(jù)截圖：

北亞企安數(shù)據(jù)恢復(fù)—數(shù)據(jù)庫數(shù)據(jù)恢復(fù)

3、SQL Server數(shù)據(jù)庫頁大小8K，按8K大小切塊并向下查找。發(fā)現(xiàn)每128K進(jìn)行一次加密，加密大小為128字節(jié)。
數(shù)據(jù)庫底層數(shù)據(jù)截圖：

北亞企安數(shù)據(jù)恢復(fù)—數(shù)據(jù)庫數(shù)據(jù)恢復(fù)

4、打開SQL Server數(shù)據(jù)庫備份，發(fā)現(xiàn)也是每128K進(jìn)行一次加密，加密大小也為128字節(jié)。
數(shù)據(jù)庫加密方式截圖：

北亞企安數(shù)據(jù)恢復(fù)—數(shù)據(jù)庫數(shù)據(jù)恢復(fù)

5、向下搜索發(fā)現(xiàn)數(shù)據(jù)庫頁起始標(biāo)志這個(gè)位置沒有被加密。經(jīng)過上面的分析，我們知道SQL Server數(shù)據(jù)庫與SQL Server數(shù)據(jù)庫備份加密方式一樣，每128K進(jìn)行一次加密，加密大小為128字節(jié)。
由于SQL Server數(shù)據(jù)庫備份頭部記錄備份信息，數(shù)據(jù)庫頁起始向下偏移。因此數(shù)據(jù)庫中加密的頁與數(shù)據(jù)庫備份中加密的頁正好錯(cuò)開。
SQL Server數(shù)據(jù)庫加密截圖：

北亞企安數(shù)據(jù)恢復(fù)—數(shù)據(jù)庫數(shù)據(jù)恢復(fù)

6、結(jié)合SQL Server數(shù)據(jù)庫備份修復(fù)SQL Server數(shù)據(jù)庫中加密的頁。通過SQL Server數(shù)據(jù)庫管理工具附加修改好的SQL Server數(shù)據(jù)庫，并進(jìn)行查詢驗(yàn)證。經(jīng)用戶方驗(yàn)證，沒有發(fā)現(xiàn)有任何問題，本次數(shù)據(jù)恢復(fù)工作完成。
SQL Server數(shù)據(jù)庫解密結(jié)果：

北亞企安數(shù)據(jù)恢復(fù)—數(shù)據(jù)庫數(shù)據(jù)恢復(fù)

審核編輯 黃宇