从失败的休眠唤醒中恢复内存中页面数据

尝试从休眠文件还原时，我女友的Macbook崩溃了。进度条停在10％左右，之后我们重新启动计算机以进行正常启动。

此休眠的内存映像在Pages中打开了一个未保存的文档，我们希望对其进行恢复。有一个sleepimagein /private/var/vm，我认为它是从未正确还原的休眠映像。我们备份了这个东西以使其保持生命。

我们尝试过，strings sleepimage | grep known_substring但是什么也没返回。grep -a known_substring sleepimage也没有执行任何操作，因此我假设Pages不会将文本数据作为纯文本保留在内存中。

编辑：在我尝试对Binary grep阅读此答案后perl -ln0777e 'print unpack("H*",$1), "\n", pos() while /(null_padded_substring)/g' sleepimage，再次没有结果。我用空值填充了它，以尝试匹配UTF-8文本。然后我尝试了.*每个字符之间的问题–仍然没有骰子。

因此，Pages可能不会通过任何常见的编码在内存中存储文本。我需要找到ASCII字符串和Pages数据表示形式之间的转换规则-我在想也许是某种Objective C字符串缓冲区。在我看来，将字符数据存储为字符序列以外的其他东西似乎很奇怪，但这似乎是Pages所做的。

如果您对如何计算Pages中文本的内存表示形式有任何想法，则可能对解决此问题很有帮助。也许我可以用一些简单的方法转储和读取进程内存？

另一个可能的解决方案更简单-我假设可以通过某种方式重新启动计算机sleepimage，但是我找不到任何有关如何进行此操作的文档。其他一些用户（微不足道的人）似乎也遇到了这种情况，但是对于我发现的所有论坛问题，他们都没有回应。

OS X版本是Snow Leopard，10.6.8。

欢迎涉及编程的复杂建议。我做C和Python。

谢谢。

更新图片：

• 该loobsdpkdbik标识第一次提到，是不是一个-只是happend是我的文字前的拳头一次我试了一下。

• 文本的一部分似乎“丢失”（即未保存在一个连续的内存段中），这可能会因RAM使用情况而恶化

• 您可能无法从sleepimage中恢复有意义的文本

现在我的原文（第一段有错字，马蒂斯先生说）：

隐藏的宝石：MoMa的艾比·奥尔德里奇·洛克菲勒雕塑花园（Abby Aldrich Rockefeller Sculpture Garden）由菲利普·约翰逊（Philip Johnson）于1953年设计，是一座壮观的城市绿洲，其反射池和美丽的美化环境。这个户外画廊安装了不断变化的户外雕塑作品，包括阿里斯蒂德·梅洛（Aristide Maillol），亚历山大·卡尔德（Alexander Calder），亨利·梅斯（Henri Maisse），毕加索（Pablo Picasso）和理查德·塞拉（Richard Serra）的作品。

在参观MoMa的新绘画和雕塑画廊时，一定要走过连接四楼和五楼的楼梯，才能看到亨利·马蒂斯（Henri Matisse）的喜悦和能量的丰盛形象《舞蹈》（Dance）（1909年）。这幅画原本打算悬挂在莫斯科俄罗斯宫殿的楼梯大厅中。

和恢复的文本：

隐藏的宝石：马·艾比·奥尔德里奇·洛克勒（Abby Aldrich Rockeller）的Sculpre Gn，是皮普·约翰（Phip John）于1953年设计的，是壮观的ursithtseflecting泳池autifulandscapg。这个户外画廊摆放着不断变化的户外雕塑，包括阿里斯蒂德·梅洛（Aristide Maillol），亚历山大·卡尔德（Alexander Calder），亨利·梅斯（Henri Maisse），巴勃罗卡索（Pabloicasso）和安查德·海（anchard Sea）的作品。

在Ma参观新的绘画雕塑画廊时，一定要整理一下桥，将第四个弗雷德奥尔德托的Henri Matse的作品《欢乐与欢乐》，Dan（19）桥接起来。这幅画原意画在了俄罗斯宫殿莫斯科的楼梯大厅。

屏幕截图：

看来，对于一个（未保存）的页面文件（几乎）在您的文本中的所有字符都被分隔0x00在内存中-从而 STRING变得S.T.R.I.N.G与.是0x00。因此，您要么必须搜索；我可以建议将0xED用于图形前端.... 或者您搜索loobsdpkdbik哪个似乎是标识符的一部分，该标识符在文本之前5个字节（至少在一种情况下）。

第一次尝试，如果已知字符串以纯文本格式存储（不是这种情况）

我想你可以尝试使用

grep -Ubo --binary-files=text "known_substring" sleepimage 

由此，-U参数指定对二进制文件的搜索，-b指定应显示匹配部分的字节偏移量，最后，-o指定仅应打印匹配部分。

如果可行，您将知道到达该区域的偏移量（以字节为单位），但我不知道确切地在该处如何进行。根据文件类型，您可能会检查该已知偏移量附近的文件类型签名，并尝试仅隔离确实构成该文件一部分的字节。为此，我想您可以编写一个C程序来执行此操作，或者执行hexdump -s known_offset sleepimage并尝试仅获取与所需文件有关的字节。

例如，假设我想了解有关Chrome的一些知识：

$ sudo grep -Ubo --binary-files=text -i "chrome" sleepimage
3775011731:chrome

因此，我知道在字节偏移量3775011731处出现了chrome。因此，我可以：

$ sudo hexdump -s 3775011731 sleepimage | head -n 3
e1021b93 09 09 3c 73 74 72 69 6e 67 3e 2e 63 68 72 6f 6d
e1021ba3 65 2e 67 6f 6f 67 6c 65 2e 63 6f 6d 3c 2f 73 74
e1021bb3 72 69 6e 67 3e 0a 09 09 3c 6b 65 79 3e 45 78 70

棘手的部分是仅获取所需的字节。如果文件类型具有已知的标头，则可以从hexdump偏移量中减去标头大小（以字节为单位），因此您将获得文件“从头开始”。如果文件类型具有已知的“ EOF”签名，则也可以尝试搜索该文件，从而仅获取到该点为止的字节。

您的文件类型是什么？您是否认为您可以使用类似的程序？请注意，我以前从未做过此事，并且我以很多“猜测”为基础，但是我想类似的事情很少有起作用的机会。

第二次尝试，一种解析所有字节的慢方法

之前的方法不起作用，因为它也只能搜索纯文本，我敢打赌。对于第二篇文章，我创建了一个简单的C程序，其中包含：

#include <stdio.h>

int main () {
  printf("assim");
  return 0;
}

因此，我可以在该文本中搜索“ assim”，即您的known_string。为了知道要搜索的字节，我做了：

$ echo -n "assim" | hexdump
0000000 61 73 73 69 6d                                 
0000005

因此，我必须找到“ 61 73 73 69 6d”。在将该简单的C源代码编译到程序“ tt”之后，我执行了以下操作：

hexdump -v -e '/1 "%02X\n"' tt | # format output for hexdump of file tt
    pcregrep -M --color -A 3 -B 3 "61\n73\n73\n69\n6D" # get 3 bytes A-fter and 3 bytes B-fore the occurence

哪位还给我：

如果您做了类似的事情，我想您可以获取您的数据。虽然解析2〜8GB的字节有点慢……

请注意，在这种方法中，必须找到大写字母的十六进制（在最后一个grep上写6D而不是6d），而不是小写字母，并使用\ n代替空格（因此可以使用-A和- B为grep）。您可以使用grep -i它，使其变得不区分大小写，但是会慢一些。因此，如果使用大写字母，就使用大写字母。

或者，如果您想要一个全自动化的“脚本”：

FILENAME=tt # file to parse looking for string
BEFORE=3 # bytes before occurrence
AFER=3 # bytes after occurrence
KNOWNSTRING="assim" # string to search for

ks_bytes="$(echo -n "$KNOWNSTRING" | hexdump | head -n1 | cut -d " " -f2- | tr '[:lower:]' '[:upper:]' | sed -e 's/ *$//g' -e 's/ /\\n/g')"

hexdump -v -e '/1 "%02X\n"' $FILENAME | pcregrep -M --color -A $AFER -B $BEFORE $ks_bytes