帅气客服工程师唐爸
你好,效率源科技!请问有什么
可以为您服务的吗?
某网安警官
您好,我们这边有一起网络赌
博案希望你们能给予技术上的
协助。
接到电话后,效率源科技客户服务团队马上组织相关技术人员对案件进行分析探讨,讨论快速有效的解决方案。
2017年9月,效率源科技客户服务部工程师收到某地关于网络赌博案的协助申请,想恢复网络赌博游戏服务器里面的交易记录。
经过对整个案件的详细了解后,我们了解到:
▲ 这个服务器内所存储数据的数据库类型是Sqlsever;
▲ 犯罪嫌疑人一个月左右就会把服务器里面的交易数据拷贝到不同地方,但是犯罪嫌疑人拒绝说出交易记录的存放路径;
▲ 在通过对数据库的常规查看和恢复只能找到6月1日之后的数据,没有其他更多的数据;
▲ 现有交易金额无法达到法定标准,法院在无法获得法定标准的交易金额的前提下,无法对犯罪嫌疑人准确定罪。
恢复游戏服务器500G硬盘镜像中所有涉案的交易记录
数据库的记录在存储时应该是符合其所属表的结构,即相同表的记录应该有共同的特征,类似于文件的签名特征一样。而针对数据库的残留记录,要提取出具有相同结构的数据,需要分析更多的信息,其大致步骤如下:
1、获取样本数据库,确定所需表,分析其结构特征;
2、对需要扫描的镜像添加到效率源科技数据库碎片信息抽取大师软件中;
3、将分析到的结构特征添加效率源科技数据库碎片信息抽取大师软件中,对需要扫描的镜像进行底层数据结构匹配扫描;
4、将匹配扫描到的数据确认后导出到EXECL表格;
5、过滤无效数据,统计有效数据;
1获取样本数据库,确定所需表,分析其结构特征
安装SQL2008安装包,搭载数据库环境;
运行已安装好的数据库软件;
找到原镜像中正常的样本数据库的存储位置,一般在存储在默认位置,但也可能存储其他位置,根据实际情况灵活查找;
将需要分析结构的样本数据库附加到已安装的数据管理软件中;
加载数据注意数据和日志(mdf与ldf文件)要一起选择;
查看数据库中的表,找到需要分析结构特征的表;
选择我们需要的表进行前1000行查看数据;
选择后就可以查看数据,此时我们在 “设计里面”可以查看数据的类型,确定其数据特征;
2对需要扫描的镜像添加到效率源科技数据库碎片信息抽取大师软件中;
3将分析到的结构特征添加效率源科技数据库碎片信息抽取大师软件中,当然如特征中的“头标记数据值”则需要通过winhex进行深入分析,结构特征设置完成后,对需要扫描的镜像进行底层数据结构匹配扫描;
4将匹配扫描到的数据确认后导出到EXECL表格,确认正确后就可以导出数据,可以看到我们已经恢复出2月的数据;
5在导出的EXECL表中过滤无效数据,统计有效数据;
通过以上操作成功找回之前交易记录的数据,为相关单位对犯罪嫌疑人准确定位提供了非常关键的证据。
干
货
操作要领分享
数据库的碎片记录恢复主要是分析所需数据表记录的结构特征, 对于不同数据库类型的分析方式是不一样的。
如果我们能获取到样本数据库,就能通过样本数据库快速分析出所需数据表的结构特征。
对样本数据库进行操作前,最好是对数据库所在的存储硬盘或者分区做数据镜像,不要直接对原盘进行操作,有分析需求则对镜像文件进行分析,这样就可以有效的保护底层存储的数据库残留数据。
如果遇到格式化或者卸载了软件的情况,我们最好能够知道存储这些数据用的是什么软件和相应的数据库,这样恢复的可能性就会越大。
