如何恢复实验数据库(6个步骤学会数据库的本地还原方法)

往期回顾

各位同学大家好,前两期,王老师给大家讲到了数据恢复中的分区格式化数据恢复实操、SQL Server数据库删除数据恢复方法及步骤,大家课后是否有认真实操呢?温故而知新。点击下方文章标题即可回顾前两期内容:

第一期:数据破坏手段之分区格式化浅析

第二期:手把手教你SQL Server数据库删除数据恢复方法及步骤

如果对课程有什么疑问,欢迎各位在文章下方留言,王老师将及时为您答疑解惑。现在就来公布第二期的课后练习题答案:

第一题:37810

第二题:如下图所示

如何恢复实验数据库(6个步骤学会数据库的本地还原方法)(1)

本期,让我们接着上一期数据库的话题,来和大家聊聊MySQL数据库的本地还原。

对于应用系统来说,数据库就如同电脑的硬盘一样,存储了应用系统内的重要数据。比如:针对某个网络赌博案进行电子数据取证,除了赌博网站页面的相关数据,还需要参赌人员信息、参赌资金流水信息、代理抽成信息等数据,这些数据都储存在数据库中。

本期,王老师将以MySQL数据库为例,为大家介绍数据库取证分析的必备流程——数据库固定后的本地还原方法。(这里插播一则预告:下一期将接着本期内容,为大家讲解数据库本地还原后该如何取证分析?)

一、还原方法及思路介绍

MySQL数据库的本地还原需要根据数据库固定的方式确定还原方式,通过不同固定方式下的数据类型进行本地还原分析,通常会有以下几种固定方式及还原方法:

1、对具备访问权限的MySQL数据库data目录或其上级目录进行文件拷贝固定

●还原分析思路1——data目录迁移:

通过data目录迁移的方式进行本地还原,需配置本地环境,注意对数据库访问密码的修改;

●还原分析思路2——软件自动分析:

利用DBF6300数据库取证分析系统直接解析,无需配置本地环境,直接绕过数据库访问密码,方便快捷。

2、对MySQL所在的磁盘或分区进行镜像固定

●还原分析思路1——仿真分析:

如果镜像中包含操作系统,可以通过仿真镜像运行,启动MySQL数据库进行仿真还原。

●还原分析思路2——data目录迁移:

如果只是MySQL数据库存储的分区镜像无法仿真的情况,可以进入分区去固定MySQL数据库的data目录或其上级目录文件,然后参考第1种情况进行还原分析。

3、通过MySQL语句生成备份SQL文件固定

●还原分析思路——SQL备份还原:

通过mysqldump命令进行数据库备份,命令格式参考:“mysqldump -h主机IP -P端口 -u用户名 -p密码 --database 数据库名 > 文件名.sql ”。

4、第三方数据库管理工具固定,如:效率源DBF6300数据库取证分析系统在线固定、Navicat在线连接固定等。

如何恢复实验数据库(6个步骤学会数据库的本地还原方法)(2)

通过以上固定方法,获得的数据库文件类型为MySQL的数据文件所在磁盘或分区的镜像文件、MySQL的数据文件(即data目录文件)、备份sql文件、第三方备份格式文件等,本次将主要给大家介绍MySQL的数据文件的本地还原步骤。

二、还原步骤

方法一:data目录迁移

①分析固定数据库的版本,可通过固定data目录的文件路径或相关文件确定版本;

②在本地电脑安装相同版本的MySQL软件,安装后停止MySQL服务;

③将本地MySQL的data目录剪切到其他路径(或修改my.ini配置data目录的文件路径),将固定的data目录拷贝到本地MySQL数据库的data目录所在文件夹;

④参考固定数据库的my.ini配置文件相关设置适配并进行其他设置;

⑤绕过并修改MySQL数据库的管理密码;

⑥通过新密码进入还原后的数据库。

具体步骤可参考以下文章内的方法:

【技术实战】如何对有访问密码的MySQL数据库进行取证?

方法二:软件自动分析

①解压获取的MySQL数据库的data目录;

如何恢复实验数据库(6个步骤学会数据库的本地还原方法)(3)

②打开DBF6300数据库取证分析系统选择文件模式加载data目录文件夹;

如何恢复实验数据库(6个步骤学会数据库的本地还原方法)(4)

如何恢复实验数据库(6个步骤学会数据库的本地还原方法)(5)

如何恢复实验数据库(6个步骤学会数据库的本地还原方法)(6)

③选择需要解析的数据库执行解析操作;

如何恢复实验数据库(6个步骤学会数据库的本地还原方法)(7)

如何恢复实验数据库(6个步骤学会数据库的本地还原方法)(8)

④查看解析后数据库中表的数据,包含正常数据和删除数据,以及数据库相关的数据;

如何恢复实验数据库(6个步骤学会数据库的本地还原方法)(9)

如何恢复实验数据库(6个步骤学会数据库的本地还原方法)(10)

⑤根据案件选择所需要的数据可以导出表格;

如何恢复实验数据库(6个步骤学会数据库的本地还原方法)(11)

如何恢复实验数据库(6个步骤学会数据库的本地还原方法)(12)

⑥如需分析,可自行选择相关数据进行分析,数据库取证分析将在下一篇文章中讲到。

三、注意事项

1、如果是备份的SQL文件,添加文件时需在文件模式下选择文件;

如何恢复实验数据库(6个步骤学会数据库的本地还原方法)(13)

2、数据库取证分析时,应最大可能固定数据库的数据文件或数据文件所在的磁盘分区镜像,然后进行本地还原分析,因为可以提取恢复到更多的数据;

3、数据库备份文件可以设置成很多格式,取证分析时应开拓思路综合分析,如123数据库备份文件格式可以为:123.sql/123.CSV/123.db/123.bak … 。

四、案例练习

现有已固定的MySQL数据库的data目录文件,请按题目给出的要求操作。

检材下载链接:https:///s/1HwkAMlfZrmtKLCwJdQWoDQ

提取码:hmz2

题目:

1. 请给出表“m_userdata”删除的记录数量;

2. 请将“m_userdata”导出为CSV表格,给出其SHA256校验值;

3. 尝试通过data目录迁移方式还原分析。

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页