Hatalı hazırda bekletme modundan çıkma sırasında bellek içi Sayfalar verilerini kurtarma

Hazırda bekletilen bir dosyadan geri yüklemeye çalışırken kız arkadaşımın Macbook'u çöktü. İlerleme çubuğu ~% 10'da durdu, ardından bilgisayarı normal bir başlangıç ​​için yeniden başlattık.

Bu hazırda bekletilen bellek görüntüsünde, kurtarmak istediğimiz Sayfalar'da kaydedilmemiş bir belge vardı. Asla doğru şekilde geri yüklenmemiş hazırda bekletme görüntüsü olduğunu bir sleepimagein /private/var/vmvar. Hayatta kalabilmek için bu şeyi yedekledik.

Biz denedik strings sleepimage | grep known_substringama hiçbir şey döndü. grep -a known_substring sleepimageAyrıca hiçbir şey yapmadı, bu yüzden Sayfalar metin verilerini düz metin olarak bellekte tutmak değil varsayalım.

Düzenleme: İkili grep bu cevabı okuduktan sonra perl -ln0777e 'print unpack("H*",$1), "\n", pos() while /(null_padded_substring)/g' sleepimagetekrar meyvesiz olmak için çalıştı . UTF-8 metniyle eşleşme girişiminde bulunmak için boş değerlerle doldurdum. Sonra .*her karakter arasında glob ile denedim - hala zar yok.

Bu yüzden Pages, muhtemelen bellekte herhangi bir yaygın kodlama ile metin saklamaz. ASCII dize ve Sayfalar veri gösterimi arasında bir çeviri kuralı bulmak gerekir - Belki Objective C string buffer bir tür düşünüyorum. Bana göre, karakter verilerini bir karakter dizisinden başka bir şey olarak saklamak çok garip görünüyor, ancak Pages'ın yaptığı şey bu gibi görünüyor.

Sayfalar içindeki metnin bellek içi sunumunu nasıl bulacağınız hakkında herhangi bir fikriniz varsa, bu sorunun çözümünde çok yardımcı olabilir. Belki de işlem belleğini basit bir şekilde döküp okuyabilirim?

Başka bir olası çözüm daha basit - bir şekilde bilgisayarı yeniden başlatmanın mümkün olduğunu varsayıyorum sleepimage, ancak bununla nasıl devam edeceğinize dair herhangi bir belge bulamıyorum. Bazı diğer kullanıcılar ( macrumors ) bu sorunla karşılaştı, ancak bu sorunların tadını çıkarıyor .

OS X sürümü Snow Leopard, 10.6.8'dir.

Programlamayı içeren karmaşık öneriler kabul edilir. C ve Python yapıyorum.

Teşekkür ederim.

Resimlerle güncelleme:

• loobsdpkdbikilk önce bu tanımlayıcı bir değil, metnimden önce denedim.

• metnin bir kısmı "kayboluyor" gibi görünüyor (yani bir sürekli bellek uzamasında kaydedilmemiş) ve bu RAM kullanımı ile daha da kötüleşebilir

• uyku resminden anlamlı metinleri kurtaramayabilirsiniz

Şimdi orijinal metnim (1. paragrafta yazım hatasıyla sry Bay Matisse):

Gizli Taşlar: 1953 yılında Philip Johnson tarafından tasarlanan MoMa'nın Abby Aldrich Rockefeller Heykel Bahçesi, yansıtıcı havuzları ve güzel peyzajı ile muhteşem bir kentsel vahadır. Bu açık hava galerisi, Aristide Maillol, Alexander Calder, Henri Maisse, Pablo Picasso ve Richard Serra'nın çalışmaları da dahil olmak üzere açık hava heykelinin değişen ekranlarıyla kuruluyor.

MoMa'daki yeni resim ve heykel galerilerini ziyaret ederken, Henri Matisse'in anıtsal sevinç ve enerji imajını (1909) görmek için dördüncü ve beşinci katları köprüleyen merdiveni geçtiğinizden emin olun. Resim aslında Moskova'daki bir Rus sarayının merdiven salonunda asılmak için tasarlandı.

Ve kurtarılan metin:

Gizli Taşlar: Phip John 1953 tarafından tasarlanan Ma Abby Abby Aldrich Rockeller Sculpre Gn, muhteşem ursithtseflecting havuzları autifulandscapg. Bu açık galeri, Aristide Maillol, Alexander Calder, Henri Maisse, Pabloicasso, anchard Sea'nin çalışması dahil olmak üzere, outor sculpre'ın değişen ekranlarıyla italledir.

Ma'da yeni paintg heykel galleri ving ederken, ileri flrsn ordeto'nun Henri Matse'nin sevinç ve göz, neşe ve gözü, Dan (19) arasında köprü kurmaya devam ettiğinizden emin olun. Resim, rsian saray Moskova'nın hg t merdiven salonuna haince davrandı.

Ve ekran görüntüleri:

Bir (kaydedilmemiş) Sayfalar belge için (neredeyse) sizin metinde tüm karakterler ile ayrılır gibi görünüyor 0x00bellekte - böylece STRINGolur S.T.R.I.N.Gile .varlık 0x00. Yani ya bunu aramalısınız; Ben grafiksel bir ön uç için 0xED tavsiye edebilirim .. ..veya aradığınız loobsdpkdbikmetnin 5 bayt önce gelen (en azından sadece bir durumda) bir tanımlayıcı (parçası) gibi görünüyor .

İlk olarak, bilinen_string WAS düz metin olarak depolanmışsa (durum değil)

Sanırım kullanmayı deneyebilirsin

grep -Ubo --binary-files=text "known_substring" sleepimage 

Bundan sonra, -U parametresi ikili dosyalarda aramayı belirtir, -b eşleşen parçaya bayt cinsinden uzaklığın görüntülenmesini belirtir ve son olarak -o sadece eşleşen parçanın yazdırılmasını belirtir.

Bu işe yararsa, o bölgeye ulaşmak için bayt cinsinden ofseti bilirsiniz, ancak tam olarak nasıl ilerleyeceğimi bilemezdim. Dosya türüne bağlı olarak, muhtemelen bu ofsetin yakınındaki dosya türü imzasını kontrol edebilir ve yalnızca o dosyanın bir parçasını oluşturan baytları izole etmeye çalışabilirsiniz. Bunun için, bunu yapmak için bir C programı yazabilirsiniz veya belki de hexdump -s known_offset sleepimagesadece ihtiyacınız olan dosya ile ilgili baytları çalıştırıp çalıştırabilirsiniz .

Örneğin, Chrome hakkında bir şeyler bilmek istediğimi varsayalım:

$ sudo grep -Ubo --binary-files=text -i "chrome" sleepimage
3775011731:chrome

Bu yüzden 3775011731 bayt uzaklığında krom oluşumuna sahip olduğumu biliyorum.

$ sudo hexdump -s 3775011731 sleepimage | head -n 3
e1021b93 09 09 3c 73 74 72 69 6e 67 3e 2e 63 68 72 6f 6d
e1021ba3 65 2e 67 6f 6f 67 6c 65 2e 63 6f 6d 3c 2f 73 74
e1021bb3 72 69 6e 67 3e 0a 09 09 3c 6b 65 79 3e 45 78 70

Zor kısmı sadece istediğiniz bayt almak olacaktır. Dosya türünün bilinen bir üstbilgisi varsa, üstbilgi boyutunu onaltılık bayt uzaklıktan bayt cinsinden çıkarabilirsiniz, böylece dosyayı "başlangıçtan beri" alırsınız. Dosya türünün bilinen bir "EOF" imzası varsa, onu da aramayı deneyebilir ve bu nedenle o noktaya kadar yalnızca baytları alabilirsiniz.

Dosya türünüz nedir? Durumunuzda böyle bir prosedürün kullanılabileceğini düşünüyor musunuz? Bunu daha önce hiç yapmadığımı ve kendimi birçok "tahmin" e dayandığımı unutmayın, ancak bunun gibi bir şeyin çalışma şansı azdır.

İkinci deneme, tüm baytları ayrıştırmak için yavaş bir yöntem

Önceki yöntem işe yaramıyor çünkü aynı zamanda sadece düz metin, bahse girer. Bu ikinci metin için aşağıdakileri içeren basit bir C programı oluşturdum:

#include <stdio.h>

int main () {
  printf("assim");
  return 0;
}

Bu metinde bilinen_dizeniz olan "assim" i arayabilirim. Hangi baytları arayacağımı bilmek için yaptım:

$ echo -n "assim" | hexdump
0000000 61 73 73 69 6d                                 
0000005

Bu nedenle, "61 73 73 69 6d" yi bulmalıyım. Bu basit C kaynağını "tt" programına derledikten sonra aşağıdakileri yaptım:

hexdump -v -e '/1 "%02X\n"' tt | # format output for hexdump of file tt
    pcregrep -M --color -A 3 -B 3 "61\n73\n73\n69\n6D" # get 3 bytes A-fter and 3 bytes B-fore the occurence

Bana geri döndü:

Böyle bir şey yaptıysanız, verilerinizi alabilirsiniz sanırım .. 2 ~ 8GB bayt ayrıştırmak için biraz yavaş olurdu ...

Bu yaklaşımda altıgenleri büyük harfle (son grep'e 6d yerine 6D yazın), küçük harflerle değil, boşluklar yerine \ n kullanmanız gerektiğini unutmayın (böylece -A ve - Grep için B). grep -iBöylece büyük / küçük harfe duyarsız olursunuz , ancak biraz daha yavaş olur. Bu nedenle, sadece bu kullanılırsa büyük harf kullanın.

Veya, tümüyle otomatikleştirilmiş bir "komut dosyası" istiyorsanız:

FILENAME=tt # file to parse looking for string
BEFORE=3 # bytes before occurrence
AFER=3 # bytes after occurrence
KNOWNSTRING="assim" # string to search for

ks_bytes="$(echo -n "$KNOWNSTRING" | hexdump | head -n1 | cut -d " " -f2- | tr '[:lower:]' '[:upper:]' | sed -e 's/ *$//g' -e 's/ /\\n/g')"

hexdump -v -e '/1 "%02X\n"' $FILENAME | pcregrep -M --color -A $AFER -B $BEFORE $ks_bytes