MSSql2008数据库恢复过程记录

MSSql2008数据库恢复过程记录（精选2篇）

篇1：MSSql2008数据库恢复过程记录

在应用MSSQL进行大中型网站项目开发的时候,我们推荐尽量使用存储过程来处理一些SQL操作.

使用存储过程的好处及优势如下解释:

1. 通过把处理封装在容易适应的单元中，简化复杂的操作，

2. 由于不要求反复建立一系列处理步骤，保证了数据的一致性。如果所有开发人员和应用程序都使用同一存储过程，则所使用的代码都是相同的。

这一点的延伸就是防止错误。需要执行的步骤越多，出错的可能性就越大。防止错误保证了数据的一致性。

3. 简化对变动的管理，

如果表名、列名或业务逻辑（或别的内容）有变化，只需要更改存储过程的代码。使用它的人员甚至不需要知道这些变化。

这一点的延伸就是安全性。通过存储过程限制对基础数据的访问减少了数据讹误（无意识的或别的原因所导致的数据讹误）的机会。

4. 因为存储过程通常以编译过的形式存储，所以DBMS为处理命令所作的工作较少。结果是提高了性能。

5. 存在一些只能用在单个请求中的SQL元素和特性，存储过程可以使用它们来编写功能更强更灵活的代码。

总结出来使用存储过程的好处就是: 简单、安全、高性能。

篇2：MSSql2008数据库恢复过程记录

通讯技术的迅猛发展改变了人们的生活方式, 同时, 也为违法犯罪分子提供了新的犯罪空间和手段。QQ作为互联网中常用的交流软件, 方便了人们的沟通, 同时也成为犯罪人员越来越倚重的通讯手段, 以其为联络工具的各类新型犯罪活动不断增多, 造成的危害越来越大。由于留在计算机上的QQ聊天痕迹能够为案件的侦破提供重要线索或电子证据, 犯罪人员会将重要数据进行删除, 这给侦查工作带来很大困难。所以, 通讯数据的恢复技术受到了广泛关注[1,2,3]。基于Windows操作系统中被删除的文件只是在文件的属性区域的属性信息的起始位置做了个删除标记, 而事实上文件的数据部分没用被马上变动, 这为QQ记录的恢复工作提供了可能。本文通过提取QQ聊天记录文件结构特征关键字对其进行搜索并恢复, 旨在最大限度的提供有价值的线索或电子物证。.

1 QQ聊天记录的文件结构

QQ聊天记录保存在QQ目录下Msg Ex.db文件中, 每个登陆过的QQ号码都会生成这样一个文件。该文件采用了结构化存储结构, 通过Structured Storage Viewer软件可以查看其结构。Msgex.db文件结构分为4个基本部分:C2CMsg存放与其通讯过的QQ号码, 聊天内容都存储在Data.msj中, 通过Index.msj索引, 聊天内容是经过加密处理的, 只有解密才能看到;Temp Session Msg存放临时会话信息;Sys Msg存放系统会话信息;Matrix.db存放的内容用于生成全局密钥, 对消息进行解密。

2 文件结构特征关键字法搜索QQ记录文件

在案件的取证过程中, 往往不能够直接取得犯罪人员的QQ记录文件Msgex.db, 甚至操作系统都被格式化了, 因此需要利用取证软件对聊天记录文件进行数据恢复。下面笔者以encase4.0取证软件为工具, 对文件结构特征关键字法进行说明。为了在待检的存储介质中快速准确的搜索到相关文件, 要对QQ聊天记录文件的结构进行分析:以十六进制方式打开文件Msg Ex.db, 从中可以看出聊天内容是经过加密的, 而支撑文件结构的字段名称 (例如Matrix、C2CMsg、Temp Session Msg等) 并没有加密。根据QQ软件的特性, 这些关键字只存在于Msg Ex.db文件中的概率较大, 因此笔者把这些关键字对应的十六进制字符串转换为encase软件的搜索表达式, 并将该表达式设置为关键字 (见表1) 在待检的存储介质中进行全面搜索, 得到关键字所在的文件。图1展示了利用文件结构特征字段名作为关键字搜索的部分结果。

对于恢复的聊天记录需要经过一定的技术处理才能查看, 下面笔者以图1中搜索得到的结果为例说明查看方法。在图1中, P3记录中的文件Msg Ex.db是从QQ2007**55325目录中获得的, 由此可知**55325是与Msg Ex.db对应的QQ号码, 获得这两个信息后, 就可以利用QQ聊天记录辅助工具进行查看了。由图1中的P6记录可以看出, 恢复得到的聊天文件并不都以Msg Ex.db命名, 由于该记录中的文件名被覆盖, 只能用NONAME暂时代替, 这也佐证了使用文件名进行查询的不确定性。若恢复出来的聊天记录文件已不在由其QQ号码命名的文件夹中, 或者文件夹名称已经被破坏 (如图2中_22861文件夹) , 这时我们需要通过分析文件ewh.db特征得到其登陆的QQ号码。图2中由于该聊天记录文件夹中的Msg Ex.db和ewh.db已经被删除并部分覆盖, 只能从残缺的文件名分析出_sg Ex.DB和_WH.DB对应Msg Ex.db和e-wh.db。以十六进制编辑方式打开文件_wh.db并到其末尾 (如图3) , 将最后4个字节倒置转换成十进制数[4], 即*2CC6C04D转换成*1222861。*1222861就是登陆的QQ号码。由于涉及当事人的隐私, 文中用*号代表了部分数字。

3 结论

采用本文提出的文件结构特征关键字法恢复QQ聊天记录时, 搜索的表达式即为Msg Ex.db中文件结构特征关键字的存储形式, 因此在使用取证软件搜索时不需要考虑字体的问题, 这样提高了搜索效率。此外, 使用文件结构特征关键字进行搜索, 能够获取到被部分覆盖, 或者已在文件分配表中被彻底删除的QQ聊天记录, 提高了搜索的完整性。

摘要：QQ作为一款当下流行的即时通讯软件, 在方便人们联络的同时, 也经常被犯罪嫌疑人所利用。QQ聊天记录成为了侦破案件的重要线索或电子物证, 因此数据恢复技术引起了许多调查人员和学者的广泛关注。提出了一种利用文件结构特征关键字对QQ聊天记录进行数据恢复的方法, 旨在为数据恢复工作提供新的思路。

关键词：QQ,数据恢复,结构化存储结构

参考文献

[1]Dan Farmer, Wietse Venema.计算机取证[M].北京:机械工业出版社, 2006.

[2]戴士剑, 徐彦晖.数据恢复技术[M].北京:电子工业出版社, 2005.

[3]杨永川, 李岩.电子证据取证技术的研究[J].中国人民公安大学学报, 2005, 43 (1) :66-69.