विफल हाइबरनेशन वेकअप से इन-मेमोरी पेज डेटा पुनर्प्राप्त करें

हाइबरनेटेड फ़ाइल से पुनर्स्थापित करने का प्रयास करते समय मेरी प्रेमिका की मैकबुक दुर्घटनाग्रस्त हो गई। प्रगति बार ~ 10% पर बंद हो गया, जिसके बाद हमने कंप्यूटर को एक सामान्य स्टार्टअप के लिए फिर से शुरू किया।

इस हाइबरनेट की गई मेमोरी इमेज में पेज में एक सहेजा हुआ दस्तावेज़ खुला था, जिसे हम पुनर्प्राप्त करना चाहते हैं। वहाँ एक sleepimageहै /private/var/vm, जो मुझे लगता है कि हाइबरनेट छवि है जो कभी भी सही ढंग से बहाल नहीं हुई है। हमने इसे जीवित रखने के लिए इस चीज़ का समर्थन किया।

हमने कोशिश की strings sleepimage | grep known_substringलेकिन यह कुछ नहीं लौटा। grep -a known_substring sleepimageमैंने भी कुछ नहीं किया, इसलिए मैं यह मान रहा हूं कि पृष्ठ ने पाठ डेटा को सादे पाठ के रूप में स्मृति में नहीं रखा है।

संपादित करें: बाइनरी grep पर इस उत्तर को पढ़ने के बाद perl -ln0777e 'print unpack("H*",$1), "\n", pos() while /(null_padded_substring)/g' sleepimage, मैंने फिर से फलहीन होने की कोशिश की । मैंने इसे UTF-8 पाठ के लिए एक मैच का प्रयास करने के लिए नल के साथ गद्देदार किया। फिर मैंने .*प्रत्येक पात्र के बीच ग्लब्स के साथ कोशिश की- फिर भी कोई पासा नहीं।

इसलिए पेज संभवतः मेमोरी में किसी भी सामान्य एन्कोडिंग द्वारा टेक्स्ट को स्टोर नहीं करते हैं। मुझे ASCII स्ट्रिंग और पेज डेटा प्रतिनिधित्व के बीच एक अनुवाद नियम खोजने की आवश्यकता होगी - मैं सोच रहा हूं कि शायद किसी प्रकार का उद्देश्य सी स्ट्रिंग बफर है। मेरे लिए वर्णों के अनुक्रम के अलावा किसी अन्य चीज़ के रूप में वर्ण डेटा संग्रहीत करना बहुत अजीब लगता है, लेकिन ऐसा लगता है कि पृष्ठ क्या कर रहे हैं।

यदि आपके पास पेज के अंदर पाठ के इन-मेमोरी प्रतिनिधित्व का पता लगाने का कोई तरीका है, तो यह इस समस्या को हल करने में बहुत मददगार हो सकता है। शायद मैं प्रक्रिया मेमोरी को कुछ सरल तरीके से डंप और पढ़ सकता हूं?

एक और संभावित समाधान सरल है - मैं मान रहा हूं कि कंप्यूटर को इस से रिबूट करना किसी भी तरह संभव है sleepimage, लेकिन मुझे कोई दस्तावेज नहीं मिल सकता है कि आप इसके साथ कैसे आगे बढ़ेंगे। कुछ अन्य उपयोगकर्ताओं ( macrumors ) को इसका सामना करना पड़ा लगता है, लेकिन सभी फ़ोरम प्रश्नों के लिए, जिनमें से किसी का भी जवाब नहीं है।

ओएस एक्स संस्करण स्नो लेपर्ड है, 10.6.8।

प्रोग्रामिंग से जुड़े जटिल सुझावों का स्वागत है। मैं सी और पायथन करता हूं।

धन्यवाद।

तस्वीरों के साथ अपडेट करें:

• उस loobsdpkdbikपहचानकर्ता ने पहले उल्लेख किया है, एक नहीं है - बस अपने पाठ से पहले होने की ख़ुशी में मुट्ठी भर समय मैंने कोशिश की।

• पाठ का हिस्सा "खो" (एक निरंतर मेमोरी स्ट्रेच में सहेजा नहीं गया) प्राप्त करने के लिए लगता है और यह रैम उपयोग के साथ खराब हो सकता है

• आप नींद से सार्थक पाठ को पुनर्प्राप्त करने में सक्षम नहीं हो सकते हैं

अब मेरा मूल पाठ (1 पैराग्राफ में टाइपो के साथ, श्री मैटिस को भेजें):

छिपे हुए रत्न: 1953 में फिलिप जॉनसन द्वारा डिजाइन किए गए MoMa's Abby Aldrich Rockefeller Sculpture Garden, एक शानदार शहरी नखलिस्तान है, जहां इसके परावर्तक पूल और सुंदर लैंडस्केपिंग हैं। यह बाहरी गैलरी बाहरी मूर्तिकला के बदलते डिस्प्ले के साथ स्थापित की गई है, जिसमें अरिस्टाइड मैयोल, अलेक्जेंडर काल्डर, हेनरी माइसे, पाब्लो पिकासो और रिचर्ड सेरा द्वारा काम शामिल है।

MoMa में नई पेंटिंग और मूर्तिकला दीर्घाओं का दौरा करते समय, हेनरी मैटिस की खुशी और ऊर्जा, नृत्य (1909) की स्मारकीय छवि को देखने के लिए आगे और पांचवीं मंजिलों को पार करते हुए सीढ़ी को पार करना सुनिश्चित करें। पेंटिंग का मूल रूप से मॉस्को में एक रूसी महल के सीढ़ी हॉल में लटका हुआ था।

और बरामद पाठ:

छिपे हुए रत्न: मा एबी एबी एल्डरिक रॉकलर स्कल्पर जीएन, फिलिप जॉन 1953 द्वारा desigd, शानदार ursithtseflecting पूल ऑटिफ़िलस्पेंडग है। यह बाहरी गैलरी आउटडोर स्कल्पर के बदलते डिस्प्ले के साथ है, जिसमें वर्कबाय अरिस्टाइड मैयोल, अलेक्जेंडर काल्डर, हेनरी माइसे, पाब्लोइकासो, एचर्ड सी शामिल हैं।

मा पर नए पेंटग मूर्तिकला दीर्घाओं को घुमाते समय, यह सुनिश्चित करना चाहिए कि आगे पीछे fth flrsn ordeto s Henri Matse s mtal imagof आनंद और आंख, Dan (19) को देखते हुए t stase का पता लगाएं। पेंटिंग वियोरिनली रूप से रुपी महल मॉस्को के hg t सीढ़ी हॉल में प्रवेश करती है।

और स्क्रीन-शॉट्स:

ऐसा लगता है कि एक (सहेजे गए) पेज दस्तावेज़ के लिए (लगभग) अपने पाठ में सभी पात्रों से अलग होते हैं 0x00स्मृति में - इस प्रकार STRINGहो जाता है S.T.R.I.N.Gके साथ .किया जा रहा है 0x00। तो आपको या तो उसको खोजना होगा; मैं एक ग्राफिकल फ्रंट-एंड के लिए 0xED की सिफारिश कर सकता हूं … ..जिसके लिए आप एक खोजकर्ता के लिए (जिसका हिस्सा लगता है) खोजते हैं loobsdpkdbik, जो पाठ से पहले 5 बाइट्स (कम से कम केवल एक मामले में) आता है।

पहले प्रयास करें, अगर IF_string WAS सादे पाठ में संग्रहीत है (मामला नहीं)

मुझे लगता है कि आप उपयोग करने की कोशिश कर सकते हैं

grep -Ubo --binary-files=text "known_substring" sleepimage 

उस से, -U पैरामीटर बाइनरी फ़ाइलों पर खोज निर्दिष्ट करता है, -b निर्दिष्ट करता है कि बाइट्स में ऑफसेट मिलान वाले भाग को प्रदर्शित किया जाना चाहिए और, अंत में, -o निर्दिष्ट करता है कि केवल मिलान वाला भाग मुद्रित किया जाना चाहिए।

यदि वह काम करता है, तो आप उस क्षेत्र में जाने के लिए बाइट्स में ऑफसेट को जानते होंगे, लेकिन मुझे नहीं पता कि वहां कैसे आगे बढ़ना है। फ़िलाटाइप के आधार पर, आप संभवतः सूचित किए गए ऑफ़सेट के पास फ़िलाटाइप हस्ताक्षर की जांच कर सकते हैं और केवल उस बाइट को अलग करने की कोशिश कर सकते हैं जो उस फ़ाइल का हिस्सा बनाते हैं। इसके लिए, मुझे लगता है कि आप या तो ऐसा करने के लिए एक सी प्रोग्राम लिख सकते हैं, या हो सकता है निष्पादित करें hexdump -s known_offset sleepimageऔर केवल उन बाइट्स को प्राप्त करने का प्रयास करें जो आपकी ज़रूरत की फ़ाइल से संबंधित हैं।

उदाहरण के लिए, मान लीजिए कि मैं क्रोम के बारे में कुछ जानना चाहता था:

$ sudo grep -Ubo --binary-files=text -i "chrome" sleepimage
3775011731:chrome

तो मुझे पता है कि मुझे बाइट ऑफसेट 3775011731 पर क्रोम की घटना मिली। इसलिए मैं यह कर सकता था:

$ sudo hexdump -s 3775011731 sleepimage | head -n 3
e1021b93 09 09 3c 73 74 72 69 6e 67 3e 2e 63 68 72 6f 6d
e1021ba3 65 2e 67 6f 6f 67 6c 65 2e 63 6f 6d 3c 2f 73 74
e1021bb3 72 69 6e 67 3e 0a 09 09 3c 6b 65 79 3e 45 78 70

मुश्किल हिस्सा आप चाहते हैं केवल बाइट्स प्राप्त करने के लिए होगा। यदि फ़िलाटाइप में एक ज्ञात हेडर है, तो आप हेक्सडम्प ऑफ़सेट से हेडर के आकार को बाइट्स में घटा सकते हैं, इसलिए आपको फ़ाइल "शुरुआत से ही" मिल जाएगी। यदि फ़िलाटाइप में एक "EOF" हस्ताक्षर है, तो आप इसे भी खोज सकते हैं और इसलिए उस बिंदु तक केवल बाइट्स प्राप्त कर सकते हैं।

आपका फिलाटाइप क्या है? क्या आपको लगता है कि आपके मामले में इस तरह की कुछ प्रक्रिया का इस्तेमाल किया जा सकता है? ध्यान दें कि मैंने पहले कभी ऐसा नहीं किया है, और मैं खुद को बहुत सारे "अनुमान" पर आधारित कर रहा हूं, लेकिन मुझे लगता है कि इस तरह से काम करने का थोड़ा मौका है।

दूसरा प्रयास, सभी बाइट्स को पार्स करने के लिए एक धीमी विधि

इससे पहले की विधि काम नहीं करती है क्योंकि यह केवल सादे पाठ, मेरी शर्त के लिए खोज करती है। इस दूसरे पाठ के लिए मैंने एक सरल सी प्रोग्राम बनाया है:

#include <stdio.h>

int main () {
  printf("assim");
  return 0;
}

इसलिए मैं "अस्सिम" की खोज कर सकता था, जो उस पाठ में आपका ज्ञात_स्ट्रीमिंग होगा। यह जानने के लिए कि मैंने क्या खोज किया था:

$ echo -n "assim" | hexdump
0000000 61 73 73 69 6d                                 
0000005

इसलिए, मुझे "61 73 73 69 6 डी" खोजना होगा। उस सरल सी स्रोत को "tt" प्रोग्राम में संकलित करने के बाद, मैंने निम्नलिखित कार्य किया:

hexdump -v -e '/1 "%02X\n"' tt | # format output for hexdump of file tt
    pcregrep -M --color -A 3 -B 3 "61\n73\n73\n69\n6D" # get 3 bytes A-fter and 3 bytes B-fore the occurence

जो मेरे पास लौटा:

यदि आपने ऐसा कुछ किया है, तो मुझे लगता है कि आप अपना डेटा प्राप्त कर सकते हैं .. हालांकि यह धीमी गति से 2 ~ 8GB बाइट्स के बराबर होगा ...

ध्यान दें कि इस दृष्टिकोण में आपको कैपिटल लेटर में हेक्स ढूंढना होगा (अंतिम grep पर 6d के बजाय 6D लिखें), अंडर-केस लेटर्स में नहीं, और व्हाइट-स्पेस के बजाय \ n का उपयोग करें (ताकि आप-और का उपयोग कर सकें बी grep के लिए)। आप उपयोग कर सकते हैं grep -iइसलिए यह केस-असंवेदनशील हो गया, लेकिन यह थोड़ा धीमा होगा। इसलिए, यदि यह उपयोग किया जाता है तो केवल राजधानियों का उपयोग करें।

या, यदि आप सभी स्वचालित "स्क्रिप्ट" चाहते हैं:

FILENAME=tt # file to parse looking for string
BEFORE=3 # bytes before occurrence
AFER=3 # bytes after occurrence
KNOWNSTRING="assim" # string to search for

ks_bytes="$(echo -n "$KNOWNSTRING" | hexdump | head -n1 | cut -d " " -f2- | tr '[:lower:]' '[:upper:]' | sed -e 's/ *$//g' -e 's/ /\\n/g')"

hexdump -v -e '/1 "%02X\n"' $FILENAME | pcregrep -M --color -A $AFER -B $BEFORE $ks_bytes