【計算機取證】數據庫取證—MySQL數據恢復

　　數據庫取證是計算機取證的一個新領域。隨著數據庫在各個領域中的應用日益廣泛，受到的威脅也越來越多，數據庫取證的研究變得日益重要。調查取證人員需要對數據車的存儲結構和基本工作原理有所了解。

　　本文以Mysql數據庫誤刪除操作講解如何通過日志文件恢復數據庫內容。

　　數據庫準備

　　1. 創建名為test的數據庫：create database test charset=utf8;

　　2. 在test數據庫中新建一個名為student的表，包含id、姓名、年齡、性別。

上海數據恢復

　　3. 向其中添加一條數據：insert into student values(0, '張三', 18, default);

常州數據恢復

　　4. 刪除test數據庫：drop database test;

　　此時完成了前期數據庫的創建、增加以及刪除的準備工作，接下來使用binlog日志來嘗試恢復刪除的數據庫

　　binlog日志簡介

　　binlog即binary log，二進制日志文件，這個文件記錄了MySQL所有的增刪改 (除了數據查詢語句)語句，以事件形式記錄，還包含語句所執行的消耗的時間。

　　1.首先查看binlog日志是否開啟，Value值若為ON，則可繼續執行以下的操作，若為OFF表示沒有開啟，因此不能使用這種方法進行恢復。

　　2.輸入show master status查看最后一個binlog日志的編號和最后一個操作的結束點。

　　3.執行show binlog events in'binlog.000002';可在mysql中查看日志文件的全部內容，但因binlog為二進制文件，普通查看器無法正常查看，因此需要將文件使用自帶的mysqlbinlog將其轉化為可正常閱讀的sql文件。

　　4.在mysql安裝路徑中找到data目錄下的binlog.000002文件，將其復制到bin目錄下，在cmd窗口中輸入mysqlbinlog binlog.000002 > 2.sql,可將日志文件轉換成sql文件，便于閱讀。

　　在日志文件中可查看創建數據庫的所有sql語句，將這些sql語句進行重組，即可恢復數據庫。以上就是使用binlog日志文件恢復mysql數據庫的方法。

　　END