【技術實戰】如何通過日志備份恢復sql server數據庫刪除數據？

了解SQL Server

SQL Server 是Microsoft 公司推出的關系型數據庫管理系統，具有使用方便可伸縮性好與相關軟件集成程度高等優點，是一個可擴展的、高性能的、為分布式客戶機/服務器計算所設計的數據庫管理系統，提供了基于事務的企業級信息管理系統方案。

在許多案件取證分析中，取證人員常會遇到SQL Server數據庫數據刪除的情況，本文將和大家分享一種通過日志備份恢復SQL Server數據庫刪除數據的恢復方法，希望為您提供一定參考價值！

針對SQL Server數據庫數據恢復我們需要了解數據庫相關的操作模式，如：數據庫的備份方式、數據庫文件的作用等，下面將具體介紹數據庫的備份及相關知識。

SQL Server數據庫的文件介紹

SQL Server的每個數據庫一般是以兩個文件存放的，一個擴展名為mdf，是數據文件；另一個擴展名為ldf，為日志文件。因此只要定期復制這兩個文件，就可以達到備份的效果。

主要數據文件（擴展名.mdf是 primary data file 的縮寫）

主要數據文件包含數據庫的啟動信息，并指向數據庫中的其他文件。用戶數據和對象可存儲在此文件中，也可以存儲在次要數據文件中。每個數據庫有一個主要數據文件。主要數據文件的建議文件擴展名是 .mdf。

次要數據文件 （擴展名.ndf是Secondary data files的縮寫）

次要數據文件是可選的，由用戶定義并存儲用戶數據。通過將每個文件放在不同的磁盤驅動器上，次要文件可用于將數據分散到多個磁盤上。另外，如果數據庫超過了單個 Windows 文件的最大大小，可以使用次要數據文件，這樣數據庫就能繼續增長。

事務日志 （擴展名.ldf是Log data files的縮寫）

日志文件保存用于恢復數據庫的日志信息。每個數據庫必須至少有一個日志文件，存放對該數據庫的更新操作（增、刪、改）。事務日志的建議文件擴展名是 .ldf。

Ps：本文主要介紹通過「事務日志」還原SQL Server數據庫刪除數據的相關內容。

SQL Server數據庫的備份介紹

SQL Server數據庫備份有兩種方式，一種是使用數據庫管理軟件備份功能對數據庫備份，另外一種就是直接拷貝數據庫文件mdf和日志文件ldf的方式。

使用數據庫管理軟件備份功能備份

完整備份

差異備份

事務日志備份

文件和文件組備份

備份文件介紹：

SQL Server 數據庫備份文件擴展名通常是.bak，也可自定義擴展名。

直接拷貝數據庫文件和日志文件

此方式只需要將數據庫從運行的服務器種斷開或者把服務器停掉，然后將數據庫脫機，就可以拷貝數據庫和日志文件進行備份了。

備份文件介紹：

此方式為直接拷貝文件備份，所以備份文件一般分兩種，一種是擴展名為.mdf的數據庫文件，另一個是擴展名為.ldf的日志文件。

SQL Server恢復模式介紹

Microsoft SQL Server提供了三種恢復模式，是數據庫的屬性。它們決定了哪些數據能被備份下來，是備份和還原策略的必要部分。

簡單恢復模式

主要使用于對數據庫數據安全要求不太高的數據庫，不備份日志，只能還原到故障前最新的備份。所以使用此模式盡量將備份的時間間隔縮短，以避免故障丟失過多的數據。

完整恢復模式

可在最大程度避免出現故障時丟失數據,它包括數據庫備份和日志備份,可完整的記錄所有日志直到日志被備份時才會截斷日志。如果不單獨備份日志的情況下，日志的體積將不斷增加，所以此模式需要數據庫維護人員手動維護或者在維護模式設置自動備份，此模式可恢復到任意時間點。

大容量日志恢復模式

需要備份日志，是完整模式的附加模式。大容量日志恢復模式下，大多數的大容量操作（如如導入數據、批量更新、查詢插入數據等操作時）會以最小方式記錄下來，故部分事務不會被記錄下來，此模式可恢復到任何備份的結尾，但不支持時間點恢復。

恢復模式和備份模式關系

關于數據庫的日志備份取證

事務日志取證介紹

由于日志文件能夠存放對該數據庫的操作（增、刪、改等），所以我們可以在有較早數據庫完整備份的情況下（刪除、破壞等操作之前），根據日志文件記錄此期間的所有操作來回滾操作來達到恢復數據的目的。

事務日志還原的前提

事務日志取證的前提，是恢復模式設置為完整恢復模式。完整恢復模式可最大程度避免出現故障時丟失數據，它包括數據庫備份和日志備份，可完整的記錄所有日志直到日志被備份時才會截斷日志。

數據庫刪除數據恢復思路

思考：

數據刪除的情況下，拿到主機鏡像，怎樣找回數據？

分析：

1、考慮從數據庫源文件及日志文件中查找刪除記錄；

2、數據庫文件損壞考慮第三方軟件去修復掃描并還原數據；

3、數據庫正常工作情況下查詢日志操作記錄并使用日志恢復取證。

數據庫刪除數據具體取證案例及操作步驟

案例介紹

在SQL Server數據庫中有名為test的數據庫，其中有兩張數據表，一張表中沒有數據，一張表中數據不完整，疑似有被刪除的情況。

數據表內容如下↓↓↓

目的

查詢是否有做過刪除數據操作，如果有，嘗試恢復出刪除的數據內容。

前提

1、數據庫設置了完整恢復模式

2、有一個刪除或者數據被破壞的完整備份

Ps：前提1、2滿足或者前提1滿足的情況下都能嘗試恢復數據，前提1不滿足則無法恢復。

思路分析

1、查詢原有日志文件是否有刪除數據記錄；

2、查詢是否完整恢復模式，是否有自動備份文件；

3、能否通過日志文件或者備份文件找到刪除數據內容。

取證步驟

1、開啟屏幕錄像，將源數據盤進行完整鏡像完成數據固定；

2、加載鏡像掃描提取源數據庫及日志文件；

3、使用工具掃描日志文件中的操作記錄恢復取證；

4、步驟3無數據情況下，仿真運行鏡像查找備份歷史記錄找到備份文件；

5、通過備份還原進行具體時間點的恢復取證。

具體案例操作步驟

接下來，我們將介紹兩種日志恢復取證的方法。

方法一

通過SysTools SQL Log Analyzer查找進行恢復數據

準備：

SysTools SQL Log Analyzer，test.mdf,test_log.ldf（用于讀取和分析SQL Server日志文件（.ldf）事務的SQL LDF查看器工具。將數據庫的mdf和ldf文件拷貝出來，用此工具加載查看刪除數據。）

步驟如下↓↓↓01

加載ldf文件

02

掃描日志文件完成

03

發現刪除的數據

方法1簡單實用，但是，在遇到ldf文件被刪除或者ldf被破壞等情況時，方法1就顯得不太可行了。

掃描結果如下，共找到0條操作日志。

至此，我們需要第二種方式進行日志恢復取證。

方法二

通過恢復日志（指定時間點恢復）來恢復數據

準備

SQL Server Management Studio，完整備份文件，事務日志備份文件，大致數據刪除或者數據破壞時間點。

01

查詢是否有自動備份文件（已仿真情況下）

1）打開SQL Server Management Studio（數據庫管理工具），找到并點擊左上方的【新建查詢】，在彈出的窗口中輸入「查詢歷史備份記錄」命令，查看是否有備份記錄。查詢結果顯示，存在完整備份和事務日志備份，如下圖。

查詢歷史備份記錄命令

SELECT

bs.database_name,

bs.name AS backupset_name,

bs.backup_size,

bmf.physical_device_name,

CASE bs.type

WHEN 'D' THEN '完整備份'

WHEN 'I' THEN '差異備份'

WHEN 'L' THEN '日志備份'

END AS backup_type,

bs.backup_finish_date

FROM msdb.dbo.backupmediafamily bmf

INNER JOIN msdb.dbo.backupset bs

ON bmf.media_set_id=bs.media_set_id

WHERE bs.backup_start_date>DATEADD(DAY,-1,GETDATE())

ORDER BY bs.backup_finish_date

2）根據結果中路徑指向，找到備份文件：backup.bak

02

日志備份恢復取證

1）分離原有數據庫，拷貝備份，然后進行數據恢復取證。

2）新建test，選擇數據庫右鍵還原，選擇具體的時間點，點擊還原。至此，刪除數據被恢復，恢復結束。

還原完成后的數據如下。至此，日志還原取證完成。

注

意

事

項

1、文中所有代碼都通過SQL Server Management Studio中「新建查詢」后「執行」完成操作；

2、恢復數據的前提一定恢復模式設置為完整模式；

3、日志恢復取證的前提是有一個刪除數據前的完整備份文件和日志備份文件；

4、SQL Server客戶端備份恢復向下兼容，盡量用同版本程序還原。

“

本文主要介紹通過日志備份還原SQL Server數據庫刪除數據的相關案例實操，如對文中的操作、描述有任何疑問，或者有相關數據庫案件協助支持也可以直接在微信公眾號后臺給我們留言。”

本期投稿：李陽

本期編輯：源妹

【擴展閱讀】

【產品升級】新增微信公眾號取證 快速固定涉網證據

【重大升級】SPF9139手機數據分析功能上線 提升辦案效率

【技術視界】Android微信撤回消息如何恢復？

【技術實戰】使用binlog日志恢復MySQL數據庫刪除數據的方法

【技術實戰】行車記錄儀數據刪除如何恢復？

【技術實戰】Access數據庫解密方法