往期回顧
各位同學大家好,前兩期,王老師給大家講到了數據恢復中的分區格式化數據恢復實操、SQL 數據庫刪除數據恢復方法及步驟,大家課后是否有認真實操呢?溫故而知新。點擊下方文章標題即可回顧前兩期內容:
第一期:數據破壞手段之分區格式化淺析
第二期:手把手教你SQL 數據庫刪除數據恢復方法及步驟
如果對課程有什么疑問,歡迎各位在文章下方留言,王老師將及時為您答疑解惑。現在就來公布第二期的課后練習題答案:
第一題:37810
第二題:如下圖所示
本期,讓我們接著上一期數據庫的話題,來和大家聊聊MySQL數據庫的本地還原。
對于應用系統來說,數據庫就如同電腦的硬盤一樣,存儲了應用系統內的重要數據。比如:針對某個網絡賭博案進行電子數據取證,除了賭博網站頁面的相關數據,還需要參賭人員信息、參賭資金流水信息、代理抽成信息等數據,這些數據都儲存在數據庫中。
本期,王老師將以MySQL數據庫為例,為大家介紹數據庫取證分析的必備流程——數據庫固定后的本地還原方法。(這里插播一則預告:下一期將接著本期內容,為大家講解數據庫本地還原后該如何取證分析?)
一、還原方法及思路介紹
MySQL數據庫的本地還原需要根據數據庫固定的方式確定還原方式,通過不同固定方式下的數據類型進行本地還原分析,通常會有以下幾種固定方式及還原方法:
1、對具備訪問權限的MySQL數據庫data目錄或其上級目錄進行文件拷貝固定
●還原分析思路1——data目錄遷移:
通過data目錄遷移的方式進行本地還原,需配置本地環境,注意對數據庫訪問密碼的修改;
●還原分析思路2——軟件自動分析:
利用數據庫取證分析系統直接解析,無需配置本地環境,直接繞過數據庫訪問密碼sql2000數據庫不能還原,方便快捷。
2、對MySQL所在的磁盤或分區進行鏡像固定
●還原分析思路1——仿真分析:
如果鏡像中包含操作系統,可以通過仿真鏡像運行,啟動MySQL數據庫進行仿真還原。
●還原分析思路2——data目錄遷移:
如果只是MySQL數據庫存儲的分區鏡像無法仿真的情況,可以進入分區去固定MySQL數據庫的data目錄或其上級目錄文件,然后參考第1種情況進行還原分析。
3、通過MySQL語句生成備份SQL文件固定
●還原分析思路——SQL備份還原:
通過命令進行數據庫備份,命令格式參考:“ -h主機IP -P端口 -u用戶名 -p密碼 -- 數據庫名 > 文件名.sql ”。
4、第三方數據庫管理工具固定,如:效率源數據庫取證分析系統在線固定、在線連接固定等。
通過以上固定方法,獲得的數據庫文件類型為MySQL的數據文件所在磁盤或分區的鏡像文件、MySQL的數據文件(即data目錄文件)、備份sql文件、第三方備份格式文件等,本次將主要給大家介紹MySQL的數據文件的本地還原步驟。
二、還原步驟
方法一:data目錄遷移
①分析固定數據庫的版本,可通過固定data目錄的文件路徑或相關文件確定版本;
②在本地電腦安裝相同版本的MySQL軟件,安裝后停止MySQL服務;
③將本地MySQL的data目錄剪切到其他路徑(或修改my.ini配置data目錄的文件路徑),將固定的data目錄拷貝到本地MySQL數據庫的data目錄所在文件夾;
④參考固定數據庫的my.ini配置文件相關設置適配并進行其他設置;
⑤繞過并修改MySQL數據庫的管理密碼;
⑥通過新密碼進入還原后的數據庫。
具體步驟可參考以下文章內的方法:
方法二:軟件自動分析
①解壓獲取的MySQL數據庫的data目錄;
②打開數據庫取證分析系統選擇文件模式加載data目錄文件夾;
③選擇需要解析的數據庫執行解析操作;
④查看解析后數據庫中表的數據,包含正常數據和刪除數據,以及數據庫相關的數據;
⑤根據案件選擇所需要的數據可以導出表格;
⑥如需分析,可自行選擇相關數據進行分析,數據庫取證分析將在下一篇文章中講到。
三、注意事項
1、如果是備份的SQL文件,添加文件時需在文件模式下選擇文件;
2、數據庫取證分析時,應最大可能固定數據庫的數據文件或數據文件所在的磁盤分區鏡像,然后進行本地還原分析,因為可以提取恢復到更多的數據;
3、數據庫備份文件可以設置成很多格式sql2000數據庫不能還原,取證分析時應開拓思路綜合分析,如123數據庫備份文件格式可以為:123.sql/123.csv/123.db/123.bak … 。
四、案例練習
現有已固定的MySQL數據庫的data目錄文件,請按題目給出的要求操作。
檢材下載鏈接:
提取碼:hmz2
題目:
1. 請給出表“”刪除的記錄數量;
2. 請將“”導出為CSV表格,給出其校驗值;
3. 嘗試通過data目錄遷移方式還原分析。