先來張被加密的后的MDF文件外觀變化,可以看到被添加了 .Globeimposter-Alpha865qqz
然后使用winhex分析工具 打開 該文件觀察,ID0塊也就是文件頭塊 每隔16字節 加密16字節,紅框就是被加密的數據.
從 ID1塊開始 加密就不多了,但是也足以致命
在看看其他數據塊 被加密的 更密集. 數據塊負責 存儲每個表的 實際行記錄,加密如此密集 損壞行就極多,所以 這種
加密 從MDF文件恢復 數據是極其不理想的,這也是為什么 很多數據庫修復軟件 無法很好地修復擴展名865病毒庫的
原因.就是因為涉及到大量的損壞行,對於客戶這樣的恢復完全沒有意義.
但是 也別放棄,經過研究 從加密的BAK 和 加密的zip 加密的gz等壓縮包恢復 效果要比MDF文件好。包括
oracle的 DBF也一樣,針對這種865病毒從 備份恢復較好。