oracle tab 被删除,oracle数据库被注入恶意攻击程序导致tab$被删除恢复方案

by 蔡建良 2019-2-25

经过长时间摸索，参考网上各类文章。今天终于让我成功恢复了oracle的sys.tab$表，并成功打开了数据库。

将此过程记录下来，与大家共享。如有疑问可联系我QQ： 304125648

sys.tab$表的恢复要点如下:

1) Tab$表删除后在行记录头部会标记0x7c,没删除前是0x6c。因此只要将找到所有tab$行记录将第一个字节改为0x6c就成功一大半的。

此处建议在linux中恢复数据。可采用虚拟机来创建oracle环境。

Oracle VM VirtualBox6.0+Centos7+oracle11g

安装涉及问题有:

(1) Xshell 5+Xftp 6组合，用来远程控制linux和传输文件。

(2) oracle 11g for linux bbed - Oracle BBED工具安装

l 将三个文件移到$ORACLE_HOME/rdbms/lib/ 目录下。

l $ mv bbedus.msb $ORACLE_HOME/rdbms/mesg/

l $ cd $ORACLE_HOME/rdbms/lib

l $ make -f $ORACLE_HOME/rdbms/lib/ins_rdbms.mk BBED=$ORACLE_HOME/bin/bbed $ORACLE_HOME/bin/bbed

l 安装成功登陆如下：

[oracle@bys3 ~]$ bbed

Password:            默认密码是：blockedit

l BBED> exit

2) 禁用sys.tab$的索引I_TAB1:

//这样恢复，索引与表存在不一致情况，要禁用sys.tab$的索引I_TAB1.

BBED> assign /x  dba 1,523 offset 4910= 0x3c

BBED> sum apply dba 1,523

BBED> verify dba 1,523

3) 由于Oracle数据库被注入触发器，因此必须禁用数据库的触发器。

所以总结解决办法如下(处理前最好进行备份)：

1、 关闭数据库  shutdown immediate

2、 启动数据库到mount状态下  startup mount  执行以下语句

alter system set "_system_trig_enabled"=false scope=both;

4) Tab$表恢复后将SYSTEM01.dbf文件复制到原来的数据目录覆盖原有文件。

5) 重建控制文件。

6) Open数据库。

具体可参考: