先来张被加密的后的MDF文件外观变化,可以看到被添加了 .Globeimposter-Alpha865qqz
然后使用winhex分析工具 打开 该文件观察,ID0块也就是文件头块 每隔16字节 加密16字节,红框就是被加密的数据.
从 ID1块开始 加密就不多了,但是也足以致命
在看看其他数据块 被加密的 更密集. 数据块负责 存储每个表的 实际行记录,加密如此密集 损坏行就极多,所以 这种
加密 从MDF文件恢复 数据是极其不理想的,这也是为什么 很多数据库修复软件 无法很好地修复扩展名865病毒库的
原因.就是因为涉及到大量的损坏行,对于客户这样的恢复完全没有意义.
但是 也别放弃,经过研究 从加密的BAK 和 加密的zip 加密的gz等压缩包恢复 效果要比MDF文件好。包括
oracle的 DBF也一样,针对这种865病毒从 备份恢复较好。