恶意删除数据库记录的数据恢复

    2012年4月份的某天，北京市一公安部门一行人带着3块硬盘急匆匆的来到北京北亚数据恢复中心，是因为一起犯罪，需要北亚数据恢复中心进行协助取证。

    要取证的机器是一台色情聊天网站的服务器，网站调用的数据库有几张表的记录已被人恶意删除，需要恢复里面记录，来作为法庭上最重要的一份证据。

    原来此网站运营商在收到风声后，把部分敏感的表中的记录全部删除，并进行一些其它的伪装。

    北亚数据恢复中心的RAID数据恢复工程师：刘子龙，拿过磁盘一看，3块SAS 300G企业级磁盘，来自一DELL服务器。然后，很快分析出这3块磁盘在RAID中的组合参数，虚拟重组RAID，导出里面的数据库及其日志。

    但分析发现，此数据库为SQL Server 2005 数据库，但日志被重建过，目前大小才几百KB，日志中无有效数据。

    从日志中无法恢复记录，只得从数据库文件中恢复记录。

    后续工作由北亚数据恢复中心的数据库恢复/修复工程师：张祚，接手。

    MSSQL数据库在删除记录之后，数据仍在数据库文件中存在，除非数据库的“数据页”被后插入的数据覆盖。只是MSSQL数据库在删除记录之后会改变一些索引标志和在数据库对像中修改位图信息。因为删除的记录在数据库文件中还是存在的，所以，此类恢复成功性极大，数据完整度也相当高。

    使用北亚数据恢复中心自行研发的MSSQL数据库修复软件：Frombyte Recovery For MSSQL轻易的恢复出被恶意删除的记录：

    （下图敏感部分经过处理，无实致性的数据泻漏）