SQL Server數(shù)據(jù)庫故障：
SQL Server數(shù)據(jù)庫被加密，無法使用。
數(shù)據(jù)庫MDF、LDF、log日志文件名字被篡改。
數(shù)據(jù)庫加密截圖：

北亞企安數(shù)據(jù)恢復—數(shù)據(jù)庫數(shù)據(jù)恢復

數(shù)據(jù)庫備份被加密，文件名字被篡改。
數(shù)據(jù)庫備份加密截圖：

北亞企安數(shù)據(jù)恢復—數(shù)據(jù)庫數(shù)據(jù)恢復

SQL Server數(shù)據(jù)庫數(shù)據(jù)恢復過程：
1、將SQL Server數(shù)據(jù)庫以只讀方式做完整備份。后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復操作都基于備份文件進行，避免對SQL Server數(shù)據(jù)庫數(shù)據(jù)造成二次破壞。
2、打開被加密的SQL Server數(shù)據(jù)庫，北亞企安數(shù)據(jù)恢復工程師發(fā)現(xiàn)數(shù)據(jù)庫的頭部已被破壞。
數(shù)據(jù)庫底層數(shù)據(jù)截圖：

北亞企安數(shù)據(jù)恢復—數(shù)據(jù)庫數(shù)據(jù)恢復

3、SQL Server數(shù)據(jù)庫頁大小8K，按8K大小切塊并向下查找。發(fā)現(xiàn)每128K進行一次加密，加密大小為128字節(jié)。
數(shù)據(jù)庫底層數(shù)據(jù)截圖：

北亞企安數(shù)據(jù)恢復—數(shù)據(jù)庫數(shù)據(jù)恢復

4、打開SQL Server數(shù)據(jù)庫備份，發(fā)現(xiàn)也是每128K進行一次加密，加密大小也為128字節(jié)。
數(shù)據(jù)庫加密方式截圖：

北亞企安數(shù)據(jù)恢復—數(shù)據(jù)庫數(shù)據(jù)恢復

5、向下搜索發(fā)現(xiàn)數(shù)據(jù)庫頁起始標志這個位置沒有被加密。經過上面的分析，我們知道SQL Server數(shù)據(jù)庫與SQL Server數(shù)據(jù)庫備份加密方式一樣，每128K進行一次加密，加密大小為128字節(jié)。
由于SQL Server數(shù)據(jù)庫備份頭部記錄備份信息，數(shù)據(jù)庫頁起始向下偏移。因此數(shù)據(jù)庫中加密的頁與數(shù)據(jù)庫備份中加密的頁正好錯開。
SQL Server數(shù)據(jù)庫加密截圖：

北亞企安數(shù)據(jù)恢復—數(shù)據(jù)庫數(shù)據(jù)恢復

6、結合SQL Server數(shù)據(jù)庫備份修復SQL Server數(shù)據(jù)庫中加密的頁。通過SQL Server數(shù)據(jù)庫管理工具附加修改好的SQL Server數(shù)據(jù)庫，并進行查詢驗證。經用戶方驗證，沒有發(fā)現(xiàn)有任何問題，本次數(shù)據(jù)恢復工作完成。
SQL Server數(shù)據(jù)庫解密結果：

北亞企安數(shù)據(jù)恢復—數(shù)據(jù)庫數(shù)據(jù)恢復

審核編輯 黃宇