【分享】SQL Server数据库逻辑备份文件分析经验

转自：iForensics（ID：iForensics-2016）

在取证中经常会遇到SQL Server数据库的逻辑备份文件，这些BAK备份文件对我们取证很重要，可以帮助我们分析历史数据。下面分享一下如何对这些BAK数据库备份文件进行分析。

1、分析BAK文件的基本信息

对数据库备份文件进行还原前，首先需要了解它的基本信息。这里推荐一个软件SQL BAK Reader，SQL BAK Reader可以免安装SQL Server直接读取BAK文件的基本信息，包括：数据库名称、计算机名称、是否有密码保护、是否完整备份、备份时间、SQL Server版本、数据文件的逻辑名称、日志文件的逻辑名称等。相当于在SQL Server中执行SQL语句RESTORE HEADERONLY和RESTOREFILELISTONLY。这些基本信息对我们还原数据库很重要。

2、对BAK备份文件进行还原

还原数据库备份文件最终还需要用到SQL Server环境，得到BAK备份文件的基本信息后，就可以帮助我们选择正确的SQL Server版本和设置参数对备份文件进行还原。SQL Server采用向下兼容的原则，也就是高版本SQL Server可以读取低版本SQL Server创建的备份文件。具体恢复数据库的SQL语句是：

RESTORE DATABASE 数据库名称 from disk='bak备份文件的保存路径' with replace ,move '数据文件的逻辑名称' to 'mdf数据文件的保存路径',move '日志文件的逻辑名称' to 'ldf日志文件的保存路径'

执行成功之后，就可以在SQL Server中使用SQL语句分析数据库中的数据了。以上是一些经验，希望对您能有所帮助。

涉及的工具下载地址：

SQL BAK Reader：http://www.yohz.com/sbr_details.htm