SQLserver数据库数据恢复环境&故障：

一台服务器上的SQLserver数据库被勒索病毒加密，无法正常使用。该服务器上部署有多个SQLserver数据库，其中有2个数据库及备份文件被加密，文件名被篡改，数据库无法使用。

SQL server数据库数据恢复过程：

1、将故障服务器上所有磁盘编号后取出，经过硬件工程师检测没有发现有硬盘存在物理故障。将所有磁盘以只读方式进行扇区级的全盘镜像备份，备份完成后将所有磁盘按照编号还原到原服务器中，后续的数据分析和数据恢复操作都基于镜像文件进行，避免对原始磁盘数据造成二次破坏。

2、在镜像文件中使用工具打开SQLserver数据库，经过检查发现SQLserver数据库底层数据中的头部信息被破坏。

3、北亚企安数据恢复工程师根据SQLserver数据库底层数据分布规律分析病毒的加密方式。经过分析发现该SQLserver数据库页为8K，将底层数据按8K切块并向下查找分析加密方式。经过分析发现病毒采用加密方式是每隔128k进行一次大小为125字节的加密。

4、继续分析SQLserver数据库备份文件底层数据，发现备份文件的加密规律和SQLserver数据库的加密规律完全相同。

SqlServer数据库起始页标志为01 0F，北亚企安数据恢复工程师在底层检索SqlServer数据库页的起始标志，经过检索发现SqlServer数据库备份的头部记录没有被破坏，SqlServer数据库备份的头部记录了SqlServer数据库的备份信息。由于SqlServer数据库页的起始位置发生了向下的偏移，

导致SqlServer数据库中的加密位置和SqlServer数据库备份数据中的加密位置刚好错开，因此SqlServer数据库备份中的起始标志未被破坏。

5、由于SqlServer数据库加密位置与SqlServer数据库备份文件加密位置刚好错开，北亚企安数据恢复工程师结合SqlServer数据库备份文件来修复SqlServer数据库中的加密页。修复完成后通过SqlServer数据库管理工具将修复好的SqlServer数据库进行附加&检查，经过检查验证，SqlServer数据库可以正常使用。

交由用户方工程师对恢复出来的SqlServer数据库数据进行验证，经过反复的验证确认SqlServer数据库内的所有数据完整有效。本次数据恢复工作完成。