很多朋友认为数据库在简单模式下，堆表误删除一条记录，是无法找回的，因为没有日志记录。其实不然，某种意义上是可以找回的，因为堆表在删除记录时，只更改了行偏移，实际数据没有被物理删除，所以利用这点，测试了下恢复数据，果然成功了，但是还有点问题没有研究出结果：除了更改偏移量，删除数据时还需要更改页眉，这点还没时间去琢磨，所以恢复数据时还要能推断出页眉的16进制对应关系，有兴趣的朋友可以分享下经验给我。

废话不多说，测试的demo如下：

测试环境：

　　SQL Server 2008 R2

　　数据库：repl_test 简单模式

　　测试表：test_del

 

测试步骤

1.创建测试表test_del，并插入测试数据。

create table test_del( a int identity,b char(10))

go

insert into test_del select 'row 1';

insert into test_del select 'row 2';

insert into test_del select 'row 3';

insert into test_del select 'row 4';

insert into test_del select 'row 5';

go

2.查看测试数据，显示正常。



3.DBCC IND命令来找到数据页id，找到数据页id：219，这个数据页存放了test_del的数据



使用dbcc page查看数据页的内容以及行偏移量

dbcc page(repl_test,1,219,1)

go

输出结果为：

DATA:


Slot 0, Offset 0x60, Length 21, DumpStyle BYTE

Record Type = PRIMARY_RECORD Record Attributes = NULL_BITMAP Record Size = 21

Memory Dump @0x00000000120CC060

0000000000000000: 10001200 01000000 726f7720 31202020 †........row 1 
0000000000000010: 20200200 00†††††††††††††††††††††††††† ...

Slot 1, Offset 0x75, Length 21, DumpStyle BYTE

Record Type = PRIMARY_RECORD Record Attributes = NULL_BITMAP Record Size = 21

Memory Dump @0x00000000120CC075

0000000000000000: 10001200 02000000 726f7720 32202020 †........row 2 
0000000000000010: 20200200 00†††††††††††††††††††††††††† ...

Slot 2, Offset 0x8a, Length 21, DumpStyle BYTE

Record Type = PRIMARY_RECORD Record Attributes = NULL_BITMAP Record Size = 21

Memory Dump @0x00000000120CC08A

0000000000000000: 10001200 03000000 726f7720 33202020 †........row 3 
0000000000000010: 20200200 00†††††††††††††††††††††††††† ...

Slot 3, Offset 0x9f, Length 21, DumpStyle BYTE

Record Type = PRIMARY_RECORD Record Attributes = NULL_BITMAP Record Size = 21

Memory Dump @0x00000000120CC09F

0000000000000000: 10001200 04000000 726f7720 34202020 †........row 4 
0000000000000010: 20200200 00†††††††††††††††††††††††††† ...

Slot 4, Offset 0xb4, Length 21, DumpStyle BYTE

Record Type = PRIMARY_RECORD Record Attributes = NULL_BITMAP Record Size = 21

Memory Dump @0x00000000120CC0B4

0000000000000000: 10001200 05000000 726f7720 35202020 †........row 5 
0000000000000010: 20200200 00†††††††††††††††††††††††††† ...

OFFSET TABLE:

Row - Offset 
4 (0x4) - 180 (0xb4) 
3 (0x3) - 159 (0x9f) 
2 (0x2) - 138 (0x8a) 
1 (0x1) - 117 (0x75) 
0 (0x0) - 96 (0x60)

其中行偏移量第一行为96 (0x60)，实际记录为row 1，row 2： (0x75)，row 3： (0x8a)，row 4：(0x9f)，row 5： (0xb4)

 

4. 删除第三行数据 a = 3，b = row 3的记录

delete test_del where a = 3

go

说明a=3 b=row3的记录已经被删除。

5.再次查看数据页的行偏移 

dbcc page(repl_test,1,219,1)

go

Row - Offset 
4 (0x4) - 180 (0xb4) 
3 (0x3) - 159 (0x9f) 
2 (0x2) - 0 (0x0) 
1 (0x1) - 117 (0x75) 
0 (0x0) - 96 (0x60)

发现第3行的行偏移量被更改成了0，继续执行

dbcc page(repl_test,1,219,2)

go

DATA:

..

00000000120CC060: 10001200 01000000 726f7720 31202020 †........row 1 
00000000120CC070: 20200200 00100012 00020000 00726f77 † ...........row 
00000000120CC080: 20322020 20202002 00001000 12000300 † 2 ......... 
00000000120CC090: 0000726f 77203320 20202020 02000010 †..row 3 .... 
00000000120CC0A0: 00120004 00000072 6f772034 20202020 †.......row 4 
00000000120CC0B0: 20020000 10001200 05000000 726f7720 † ...........row 
00000000120CC0C0: 35202020 20200200 00000021 21212121

发现row3的记录还存在数据页中！

那么猜想，是否将第三行的行偏移量0x0修改回原来的0x8a就可以恢复记录了？

利用winHex工具，打开mdf文件，因为是219页面，8*220 = 1802240字节，所以219的行偏移量应该在1802239处，剩下的工作就很简单了

 

 

6.关闭数据库的数据页I/O保护机制，即设置page_verify数据库选项为none，并将repl_test 数据库设置为脱机，利用winhex找到repl_test.mdf文件的1802240结尾处16进制码

 

alter database repl_test set page_verify none

go

use master 

alter database repl_test set offline

go

 

把repl_test数据库设置为脱机，用winhex工具找到219页面的结尾处（220页面的其实位置）：



 

果然第3行的行偏移量为00 00，那么我将其改回8A 00后保存，（删除记录前，我对该页的页眉16进制代码进行了截图，还原记录时人工对应截图修改回了页眉16进制码）并将数据库设置为online



 

记录被成功恢复。

可惜小弟不才，还没研究页眉结构对应的物理16进制关系。只靠修改前的页眉截图，修改后按照截图还原页眉，这里无法向大家说明白修改的地方。希望有经验或者有兴趣的朋友可以和我分享下，谢谢~

文笔不好，如果哪里看的模糊请留言。