百度360必应搜狗淘宝本站头条
mysql distinctjenkins官网mysql 子查询vba splitpython list sort
当前位置:网站首页 > IT技术 > 正文

数据库中了勒索病毒怎么办?(数据库恢复的终极大招DUL)

wptr33 2024-12-26 17:07 20 浏览

接上文,如果数据库中了勒索病毒,并且备份也同样被攻陷,那该怎么办?以最为常见的Lockbit3.0为例,LockBit采用先进的加密算法,通常是对称密钥加密和非对称密钥加密的组合。这使得被感染的系统中的文件无法被正常访问,想破解几乎是不可能的。只能支付赎金来获取解密工具来解密!如果你的数据库被勒索病毒加密,又不想缴纳昂贵的赎金?如何最大限度的恢复数据呢?这里就会使用到oracle数据恢复的最终大招了DUL(Data Unloader)!

1.DUL介绍

DUL是Data Unloader的缩写,Oracle内部恢复工具,为Oracle公司工程师Bernard van Duijnen 开发(带van 估计德国裔),以标准C写成,在不同平台上会使用不同的binary文件,可以直接从Oracle的数据文件中读取数据,转换为DMP或文本格式输出,在特殊情况下可以用来进行数据恢复,而且即使数据文件有坏块或者加密块,DUL也不会中断导出,只是会记录下来,并继续下个block的数据导出。由于bernard van duijnen 开发DUL的时候使用了一些Oracle数据库的内核头文件(主要是一些.h)文件,所以在Oracle来说DUL是需要被严格控制的,因为DUL直接用了Oracle数据库的源代码,属于Oracle知识产权的一部分。 起初这个工具仅在Oracle内部流通,但是逐渐的,DUL也开始流入民间,被一些资深Oracle工程师所使用。随着数据库版本的变化,DUL工具也在逐渐升级之中,对应Oracle8 / Oracle8i / Oracle9i / Oracle10g都有其相应版本;在oracle内网有专门的网站,but现在该网站已经不可访问。

早期DUL是不加锁的,后来变成加日期锁,就是说 好比bernard.van.duijnen 在10月1日发布了一个版本,日期锁是30天,那么这个版本到11月1日基本就失效了, DUL不是简单的读OS时间,所以改OS时间是没用的。 因为Oracle的datafile里也记录了一个当前时间,所以DUL读的是datafile里的时间。 一般用户不可能为了用DUL去改那个时间。

如果超过了时间dul则无法运行,有如下报错

Ps :看了这位老哥的LinkedIn 目前是Oracle的Senior Principal Software Engineer,已经在O记工作了30多年了!


2.DUL抽数范例

具体操作步骤如下:

2.1 下载并解压dul脚本

--创建一个目录存放脚本及执行过程中生成的文件

[testdb]$mkdir dul
[testdb]$mv dul4x86_64-linux.ol4.tar ./dul/
[testdb]$cd dul
[testdb]$tar -xvf dul4x86_64-linux.ol4.tar
dul
dul.sql
[testdb]$ls
dul  dul4x86_64-linux.ol4.tar  dul.sql
[testdb]$

2.2 试运行dul

--需要手动创建一个parameter file(名字为init.dul,与dul执行文件同目录)

[testdb]$./dul




Data UnLoader: 12.0.0.0.5 - Internal Only - on Tue Jun 30 14:28:10 2020
with 64-bit io functions and the decompression option




Copyright (c) 1994 2019 Bernard van Duijnen All rights reserved.




 Strictly Oracle Internal Use Only




DUL: Warning: Could not open parameter file <init.dul>
DUL: Warning: Compatible is set to 11 Values can be 6|7|8|9|10|11|12|17|18
DUL: Warning: no parameter file means no logfile
DUL: Warning: ulimit process stack size is only 20971520
DUL>


2.3 创建parameter file,名字为init.dul,与dul执行文件同目录

[testdb]$pwd
/data2/dul
[testdb]$cat init.dul
control_file=/data2/dul/control.txt         <<<<<<指定dul使用的controlfile
export_mode=true                            <<<<<<指定dul抽取的数据保存为dmp格式(exp/imp)


2.4 创建dul使用的controlfile

1)数据库启动到mount状态

2)查询所有的数据文件信息

select TS#,file#,name from v$datafile;

3)创建空的control.txt控制文件,目录与参数文件中设定的相对应

4)将上面查出的数据文件信息保存在将上面查出的数据文件信息保存在control.txt控制文件中

[testdb]$cat control.txt
         0          1 /oradata/testdb/data/SYSTEM.datafile1.dbf
         1          2 /oradata/testdb/data/SYSAUX.datafile2.dbf
         2          3 /oradata/testdb/data/UNDOTBS1.datafile3.dbf
         4          4 /oradata/testdb/data/USERS.datafile4.dbf
         5          5 /oradata/testdb/data/PERFSTAT.datafile5.dbf
         6          6 /oradata/testdb/data/TIVOLIORTS.datafile6.dbf


2.5 执行dul

---确认db_id和db_name无误,链接到了正确的库

[testdb]$./dul
Data UnLoader: 12.0.0.0.5 - Internal Only - on Tue Jun 30 14:46:42 2020
with 64-bit io functions and the decompression option


Copyright (c) 1994 2019 Bernard van Duijnen All rights reserved.


 Strictly Oracle Internal Use Only


DUL: Warning: Compatible is set to 11 Values can be 6|7|8|9|10|11|12|17|18
DUL: Warning: ulimit process stack size is only 20971520
Found db_id = 3036208025
Found db_name = testdb
DUL>

2.6 生成dul数据字典信息(执行bootstrap)

DUL> bootstrap;
Probing file = 1, block = 520
. unloading table                BOOTSTRAP$
DUL: Warning: block number is non zero but marked deferred trying to process it anyhow
      60 rows unloaded
Reading BOOTSTRAP.dat 60 entries loaded
Parsing Bootstrap$ contents
Generating dict.ddl for version 12
 OBJ$: segobjno 18, file 1 block 240
 TAB$: segobjno 2, tabno 1, file 1  block 144
 COL$: segobjno 2, tabno 5, file 1  block 144
 USER$: segobjno 10, tabno 1, file 1  block 208
Running generated file "@dict.ddl" to unload the dictionary tables
. unloading table                      OBJ$   29335 rows unloaded
. unloading table                      TAB$    4969 rows unloaded
. unloading table                      COL$  116725 rows unloaded
. unloading table                     USER$      47 rows unloaded
Reading USER.dat 47 entries loaded
Reading OBJ.dat 29335 entries loaded and sorted 29335 entries
Reading TAB.dat 4969 entries loaded
Reading COL.dat
DUL: Notice: Increased the size of DC_COLUMNS from 100000 to 132768 entries
 116725 entries loaded and sorted 116725 entries
Reading BOOTSTRAP.dat 60 entries loaded




DUL: Warning: Recreating file "dict.ddl"
Generating dict.ddl for version 12
 OBJ$: segobjno 18, file 1 block 240
 TAB$: segobjno 2, tabno 1, file 1  block 144
 COL$: segobjno 2, tabno 5, file 1  block 144
 USER$: segobjno 10, tabno 1, file 1  block 208
 TABPART$: segobjno 568, file 1 block 3872
 INDPART$: segobjno 573, file 1 block 3912
 TABCOMPART$: segobjno 590, file 1 block 4056
 INDCOMPART$: segobjno 595, file 1 block 4096
 TABSUBPART$: segobjno 580, file 1 block 3976
 INDSUBPART$: segobjno 585, file 1 block 4016
 IND$: segobjno 2, tabno 3, file 1  block 144
 ICOL$: segobjno 2, tabno 4, file 1  block 144
 LOB$: segobjno 2, tabno 6, file 1  block 144
 COLTYPE$: segobjno 2, tabno 7, file 1  block 144
 TYPE$: segobjno 495, tabno 1, file 1  block 3344
 COLLECTION$: segobjno 495, tabno 2, file 1  block 3344
 ATTRIBUTE$: segobjno 495, tabno 3, file 1  block 3344
 LOBFRAG$: segobjno 601, file 1 block 4144
 LOBCOMPPART$: segobjno 604, file 1 block 4168
 UNDO$: segobjno 15, file 1 block 224
 TS$: segobjno 6, tabno 2, file 1  block 176
 PROPS$: segobjno 98, file 1 block 800
Running generated file "@dict.ddl" to unload the dictionary tables
. unloading table                      OBJ$
DUL: Warning: Recreating file "OBJ.ctl"
   29335 rows unloaded
. unloading table                      TAB$
DUL: Warning: Recreating file "TAB.ctl"
    4969 rows unloaded
. unloading table                      COL$
DUL: Warning: Recreating file "COL.ctl"
  116725 rows unloaded
. unloading table                     USER$
DUL: Warning: Recreating file "USER.ctl"
      47 rows unloaded
. unloading table                  TABPART$    2385 rows unloaded
. unloading table                  INDPART$    1180 rows unloaded
. unloading table               TABCOMPART$     112 rows unloaded
. unloading table               INDCOMPART$       0 rows unloaded
. unloading table               TABSUBPART$    4139 rows unloaded
. unloading table               INDSUBPART$       0 rows unloaded
. unloading table                      IND$    4040 rows unloaded
. unloading table                     ICOL$    9213 rows unloaded
. unloading table                      LOB$     310 rows unloaded
. unloading table                  COLTYPE$    1608 rows unloaded
. unloading table                     TYPE$    1407 rows unloaded
. unloading table               COLLECTION$     385 rows unloaded
. unloading table                ATTRIBUTE$    5989 rows unloaded
. unloading table                  LOBFRAG$       1 row  unloaded
. unloading table              LOBCOMPPART$       0 rows unloaded
. unloading table                     UNDO$
DUL: Error: Trailer byte missing in negative number
DUL: Error: Column conversion failed! (type# = 2,(NUMBER))
0000000000 0203                                ..
DUL: Error: Col# 11:Column Conversion driver failed
DUL: Error: while processing row 25
DUL: Error: While processing ts# 0 file# 1 block# 225
    1160 rows unloaded
. unloading table                       TS$      59 rows unloaded
. unloading table                    PROPS$      36 rows unloaded
Reading USER.dat 47 entries loaded
Reading OBJ.dat 29335 entries loaded and sorted 29335 entries
Reading TAB.dat 4969 entries loaded
Reading COL.dat 116725 entries loaded and sorted 116725 entries
Reading TABPART.dat 2385 entries loaded and sorted 2385 entries
Reading TABCOMPART.dat 112 entries loaded and sorted 112 entries
Reading TABSUBPART.dat 4139 entries loaded and sorted 4139 entries
Reading INDPART.dat 1180 entries loaded and sorted 1180 entries
Reading INDCOMPART.dat 0 entries loaded and sorted 0 entries
Reading INDSUBPART.dat 0 entries loaded and sorted 0 entries
Reading IND.dat 4040 entries loaded
Reading LOB.dat 310 entries loaded
Reading ICOL.dat 9213 entries loaded
Reading COLTYPE.dat 1608 entries loaded
Reading TYPE.dat 1407 entries loaded
Reading ATTRIBUTE.dat 5989 entries loaded
Reading COLLECTION.dat 385 entries loaded
Reading BOOTSTRAP.dat 60 entries loaded
Reading LOBFRAG.dat 1 entries loaded and sorted 1 entries
Reading LOBCOMPPART.dat 0 entries loaded and sorted 0 entries
Reading UNDO.dat
DUL: Notice: Increased the size of DC_UNDO_SEGMENTS from 256 to 1024 entries
DUL: Notice: Increased the size of DC_UNDO_SEGMENTS from 1024 to 8192 entries
 1160 entries loaded
Reading TS.dat 59 entries loaded
Reading PROPS.dat 36 entries loaded
Database character set is ZHS16GBK
Database national character set is AL16UTF16

---desc查看一下已经可以查到需要的表了

DUL> desc testdb.T_testdb_test_LOG;
Table testdb.T_testdb_test_LOG
obj#= 927171, dataobj#= 927171, ts#= 9, file#= 179, block#=1314181
      tab#= 0, segcols= 9, clucols= 0
Column information:
icol# 01 segcol# 01      QRYDATE len   10 type  1 VARCHAR2 cs 852(ZHS16GBK)
icol# 02 segcol# 02      USER_ID len   10 type  1 VARCHAR2 cs 852(ZHS16GBK)
icol# 03 segcol# 03     SERIALNO len   30 type  1 VARCHAR2 cs 852(ZHS16GBK)
icol# 04 segcol# 04      QRYTIME len    8 type  1 VARCHAR2 cs 852(ZHS16GBK)
icol# 05 segcol# 05    BRANCH_ID len   10 type  1 VARCHAR2 cs 852(ZHS16GBK)
icol# 06 segcol# 06       ZONENO len   22 type  2 NUMBER(5,0)
icol# 07 segcol# 07         BRNO len   22 type  2 NUMBER(5,0)
icol# 08 segcol# 08      DSRNAME len   10 type  1 VARCHAR2 cs 852(ZHS16GBK)
icol# 09 segcol# 09     MEDIUMID len  100 type  1 VARCHAR2 cs 852(ZHS16GBK)
DUL>


2.7 抽取数据,抽出的数据文件与dul可执行文件同目录

---因为参数文件中指定了export_mode=true,所以抽取出的数据为dmp格式(exp/imp),否则抽出的数据为.dat结尾(sqlload)

DUL> unload table testdb.T_testdb_test_LOG;
. unloading table      T_testdb_test_LOG  106939 rows unloaded
DUL>

---查看抽出的数据文件(本案例分别用export_mode为false和true各生成了一个文件,正常情况下选择一种就可以了)

[testdb]$pwd
/data2/dul
[testdb]$ll
-rw-r--r-- 1 oracle dba      785  6?? 30 14:57 testdb_T_testdb_test_LOG.ctl
-rw-r--r-- 1 oracle dba 12909961  6?? 30 14:57 testdb_T_testdb_test_LOG.dat     <<<export_mode=false下生成的格式
-rw-r--r-- 1 oracle dba 11804793  6?? 30 15:12 testdb_T_testdb_test_LOG.dmp     <<<export_mode=true下生成的格式


2.8将抽出的.dmp文件使用imp导入到一个其它正常开启的库

[testdb]$export ORACLE_SID=CBST
[testdb]$imp maintain_user/abcd1234 file=testdb_T_testdb_test_LOG.dmp log=imp_1.log full=y




Import: Release 11.2.0.3.0 - Production on Tue Jun 30 15:15:44 2020




Copyright (c) 1982, 2011, Oracle and/or its affiliates.  All rights reserved.






Connected to: Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Oracle Label Security, OLAP, Data Mining,
Oracle Database Vault and Real Application Testing option




Export file created by EXPORT:V07.00.07 via conventional path




Warning: the objects were exported by Bernard's DUL, not by you




. importing Bernard's DUL's objects into MAINTAIN_USER
. importing Bernard's DUL's objects into MAINTAIN_USER
. . importing table         "T_testdb_test_LOG"     106939 rows imported
Import terminated successfully without warnings.
[testdb]$


---数据恢复成功,可以查看到数据了

[testdb]$sqlplus user/password
SQL> select count(*) from T_testdb_test_LOG;




  COUNT(*)
----------
    106939




SQL>


3.类似DUL的商业恢复软件

前面已经介绍DUL作为oracle内部的数据恢复工具,使用是受到严格控制的,询问过几位oracle原厂朋友,确认现在oracle内部也无法下载到最新的DUL工具,但是在早些年DUL可以使用的时候,国内一些oracle大佬或以DUL为底座或基于DUL抽数原理,做了优化和本地化适配,开发出一些类似DUL的数据抽取工具,这里列举几个:

云和恩墨老熊(熊军)的ODU

原支付宝DBA(Anysql)楼方鑫的AUL

诗檀软件刘相兵的PRM-DUL

当然如果你的数据库需要使用这些工具来恢复了,那大概率多少都是需要花点钱了,试用版本基本都有数据量,文件个数等限制。曾经使用AUL恢复被Lockbit3.0加密的数据库,基本上可以恢复95%以上的数据(毕竟还是有部分加密block无法抽取),对于已经成死马的企业来说 也是莫大的欣慰了!

最后的叮嘱:请一定做好备份!这非常重要!希望大家都不会用到DUL类工具!

相关推荐

Linux高性能服务器设计

C10K和C10M计算机领域的很多技术都是需求推动的,上世纪90年代,由于互联网的飞速发展,网络服务器无法支撑快速增长的用户规模。1999年,DanKegel提出了著名的C10问题:一台服务器上同时...

独立游戏开发者常犯的十大错误

...

学C了一头雾水该咋办?

学C了一头雾水该怎么办?最简单的方法就是你再学一遍呗。俗话说熟能生巧,铁杵也能磨成针。但是一味的为学而学,这个好像没什么卵用。为什么学了还是一头雾水,重点就在这,找出为什么会这个样子?1、概念理解不深...

C++基础语法梳理:inline 内联函数!虚函数可以是内联函数吗?

上节我们分析了C++基础语法的const,static以及this指针,那么这节内容我们来看一下inline内联函数吧!inline内联函数...

C语言实战小游戏:井字棋(三子棋)大战!文内含有源码

井字棋是黑白棋的一种。井字棋是一种民间传统游戏,又叫九宫棋、圈圈叉叉、一条龙、三子旗等。将正方形对角线连起来,相对两边依次摆上三个双方棋子,只要将自己的三个棋子走成一条线,对方就算输了。但是,有很多时...

C++语言到底是不是C语言的超集之一

C与C++两个关系亲密的编程语言,它们本质上是两中语言,只是C++语言设计时要求尽可能的兼容C语言特性,因此C语言中99%以上的功能都可以使用C++完成。本文探讨那些存在于C语言中的特性,但是在C++...

在C++中,如何避免出现Bug?

C++中的主要问题之一是存在大量行为未定义或对程序员来说意外的构造。我们在使用静态分析器检查各种项目时经常会遇到这些问题。但正如我们所知,最佳做法是在编译阶段尽早检测错误。让我们来看看现代C++中的一...

ESL-通过事件控制FreeSWITCH

通过事件提供的最底层控制机制,允许我们有效地利用工具箱,适时选择使用其中的单个工具。FreeSWITCH是一个核心交换与混合矩阵,它周围有几十个模块提供各种功能特性。我们完全控制了所有的即时信息,这些...

物理老师教你学C++语言(中篇)

一、条件语句与实验判断...

C语言入门指南

当然!以下是关于C语言入门编程的基础介绍和入门建议,希望能帮你顺利起步:C语言入门指南...

C++选择结构,让程序自动进行决策

什么是选择结构?正常的程序都是从上至下顺序执行,这就是顺序结构...

C++特性使用建议

1.引用参数使用引用替代指针且所有不变的引用参数必须加上const。在C语言中,如果函数需要修改变量的值,参数必须为指针,如...

C++程序员学习Zig指南(中篇)

1.复合数据类型结构体与方法的对比C++类:...

研一自学C++啃得动吗?

研一自学C++啃得动吗?在开始前我有一些资料,是我根据网友给的问题精心整理了一份「C++的资料从专业入门到高级教程」,点个关注在评论区回复“888”之后私信回复“888”,全部无偿共享给大家!!!个人...

C++关键字介绍

下表列出了C++中的常用关键字,这些关键字不能作为变量名或其他标识符名称。1、autoC++11的auto用于表示变量的自动类型推断。即在声明变量的时候,根据变量初始值的类型自动为此变量选择匹配的...

一周热门
最近发表
标签列表
Copyright Your WebSite.Some Rights Reserved.