Recupere los datos de las páginas en memoria de la activación de hibernación fallida

El Macbook de mi novia se bloqueó al intentar restaurar desde un archivo hibernado. La barra de progreso se detuvo en ~ 10%, después de lo cual reiniciamos la computadora para un inicio normal.

Esta imagen de memoria hibernada tenía un documento sin guardar abierto en Pages, que nos gustaría recuperar. Hay una sleepimageen la /private/var/vmque supongo que es la imagen de hibernación, que nunca nos correctamente restaurado. Respaldamos esto para mantenerlo vivo.

Lo intentamos strings sleepimage | grep known_substringpero no devolvió nada. grep -a known_substring sleepimagetampoco hizo nada, así que supongo que Pages no mantuvo los datos de texto en la memoria como texto sin formato.

Editar: después de leer esta respuesta en Binary grep , intenté hacerlo perl -ln0777e 'print unpack("H*",$1), "\n", pos() while /(null_padded_substring)/g' sleepimage, una vez más fue infructuoso. Lo rellené con nulos para intentar una coincidencia para el texto UTF-8. Luego lo intenté con .*globos entre cada personaje, aún sin dados.

Por lo tanto, Pages probablemente no almacena texto mediante ninguna codificación común en la memoria. Necesitaría encontrar una regla de traducción entre la cadena ASCII y la representación de datos de Pages: estoy pensando que tal vez sea algún tipo de búfer de cadena Objective C. Para mí, parece muy extraño almacenar datos de caracteres como algo más que una secuencia de caracteres, pero esto parece ser lo que está haciendo Pages.

Si tiene alguna idea sobre cómo resolver la representación en memoria del texto dentro de Pages, puede ser muy útil para resolver este problema. ¿Tal vez puedo volcar y leer la memoria del proceso de alguna manera simple?

Otra solución posible es más simple: supongo que de alguna manera es posible reiniciar la computadora desde esto sleepimage, pero no puedo encontrar ninguna documentación sobre cómo proceder con eso. Algunos otros usuarios ( macrumores ) parecen haber encontrado esto, pero para todas las preguntas del foro que he encontrado, ninguno de ellos tiene respuestas.

La versión de OS X es Snow Leopard, 10.6.8.

Sugerencias complejas que involucran programación son bienvenidas. Hago C y Python.

Gracias.

Actualización con fotos:

• ese loobsdpkdbikidentificador mencionado primero, no es uno, solo sucedió antes de mi texto la primera vez que lo probé.

• parte del texto parece "perderse" (es decir, no guardarse en una memoria continua) y esto puede empeorar con el uso de RAM

• es posible que no pueda recuperar texto significativo de la imagen del sueño

Ahora mi texto original (con error tipográfico en el primer párrafo, sry Mr. Matisse):

Gemas Ocultas: El Jardín de Esculturas Abby Aldrich Rockefeller de MoMa, diseñado por Philip Johnson en 1953, es un espectacular oasis urbano con sus piscinas reflectantes y hermosos paisajes. Esta galería al aire libre se instala con exhibiciones cambiantes de esculturas al aire libre, que incluyen obras de Aristide Maillol, Alexander Calder, Henri Maisse, Pablo Picasso y Richard Serra.

Mientras visita las nuevas galerías de pintura y escultura en MoMa, asegúrese de atravesar la escalera que une los pisos cuarto y quinto para ver la monumental imagen de alegría y energía de Henri Matisse, Dance (1909). Originalmente, la pintura estaba destinada a colgar en el pasillo de la escalera de un palacio ruso en Moscú.

Y el texto recuperado:

Gemas ocultas: Ma s Abby Aldrich Rockeller Sculpre Gn, diseñada por Phip John 1953, es espectacular con ursithtseflecting pools autifulandscapg. Esta galería al aire libre está repleta de exhibiciones cambiantes de esculturas externas, incluyendo trabajos de Aristide Maillol, Alexander Calder, Henri Maisse, Pabloicasso y Anchard Sea.

Mientras vives la nueva escultura de pintura galia en Ma, asegúrate de atravesar el puente de la cuarta orden de Henri Matse con la imaginación y la alegría de Dan (19). La pintura estaba destinada a la sala de escaleras del palacio Rsian de Moscú.

Y las capturas de pantalla:

Parece que para un documento de Pages (no guardado) (casi) todos los caracteres de su texto están separados por 0x00en la memoria, por lo que se STRINGconvierte S.T.R.I.N.Gen .ser 0x00. Entonces tienes que buscar eso; Puedo recomendar 0xED para un front-end gráficoloobsdpkdbik ... ... o busca lo que parece ser (parte de) un identificador, que viene 5 bytes antes del texto (al menos solo en un caso).

Primero intente, SI la cadena conocida FUE almacenada en texto sin formato (no es el caso)

Supongo que podrías intentar usar

grep -Ubo --binary-files=text "known_substring" sleepimage 

A partir de eso, el parámetro -U especifica la búsqueda en archivos binarios, -b especifica que se debe mostrar el desplazamiento en bytes de la parte coincidente y, por último, -o especifica que solo se debe imprimir la parte coincidente.

Si eso funciona, sabría el desplazamiento en bytes para llegar a esa región, pero no sabría exactamente cómo proceder allí. Dependiendo del tipo de archivo, probablemente podría verificar la firma del tipo de archivo cerca de ese desplazamiento informado e intentar aislar solo los bytes que forman parte de ese archivo. Para esto, supongo que podría escribir un programa en C para hacer eso, o tal vez ejecutar hexdump -s known_offset sleepimagee intentar obtener solo los bytes relacionados con el archivo que necesita.

Por ejemplo, supongamos que quisiera saber algo sobre Chrome:

$ sudo grep -Ubo --binary-files=text -i "chrome" sleepimage
3775011731:chrome

Entonces sé que tuve una aparición de cromo en el byte offset 3775011731. Por lo tanto, podría:

$ sudo hexdump -s 3775011731 sleepimage | head -n 3
e1021b93 09 09 3c 73 74 72 69 6e 67 3e 2e 63 68 72 6f 6d
e1021ba3 65 2e 67 6f 6f 67 6c 65 2e 63 6f 6d 3c 2f 73 74
e1021bb3 72 69 6e 67 3e 0a 09 09 3c 6b 65 79 3e 45 78 70

La parte difícil sería obtener solo los bytes que desea. Si el tipo de archivo tiene un encabezado conocido, podría restar el tamaño del encabezado en bytes del desplazamiento hexdump, para obtener el archivo "desde el principio". Si el tipo de archivo tiene una firma conocida "EOF", puede intentar buscarla también y, por lo tanto, obtener solo los bytes hasta ese punto.

¿Cuál es tu tipo de archivo? ¿Crees que algún procedimiento como este podría usarse en tu caso? Tenga en cuenta que nunca he hecho esto antes, y me estoy basando en muchas "conjeturas", pero supongo que algo como esto tiene pocas posibilidades de funcionar ...

Segundo intento, un método lento para analizar todos los bytes

El método anterior no funciona porque también busca solo texto sin formato, mi apuesta. Para este segundo texto, creé un programa simple en C que contiene:

#include <stdio.h>

int main () {
  printf("assim");
  return 0;
}

Entonces podría buscar "assim", que sería su cadena conocida, en ese texto. Para saber qué bytes buscar hice:

$ echo -n "assim" | hexdump
0000000 61 73 73 69 6d                                 
0000005

Por lo tanto, debo encontrar "61 73 73 69 6d". Después de compilar esa fuente simple de C en el programa "tt", hice lo siguiente:

hexdump -v -e '/1 "%02X\n"' tt | # format output for hexdump of file tt
    pcregrep -M --color -A 3 -B 3 "61\n73\n73\n69\n6D" # get 3 bytes A-fter and 3 bytes B-fore the occurence

Lo que volvió a mí:

Si hicieras algo así, supongo que podrías obtener tus datos ... Sin embargo, sería un poco lento analizar de 2 a 8 GB de bytes ...

Tenga en cuenta que en este enfoque debe encontrar los hexágonos en mayúscula (escriba 6D en lugar de 6d en el último grep), no en letras minúsculas, y use \ n en lugar de espacios en blanco (para que pueda usar -A y - B para el grep). Podrías usarlo grep -ipara que no distinga entre mayúsculas y minúsculas, pero sería un poco más lento. Por lo tanto, solo use mayúsculas si se usa.

O, si desea un "script" automatizado para todo:

FILENAME=tt # file to parse looking for string
BEFORE=3 # bytes before occurrence
AFER=3 # bytes after occurrence
KNOWNSTRING="assim" # string to search for

ks_bytes="$(echo -n "$KNOWNSTRING" | hexdump | head -n1 | cut -d " " -f2- | tr '[:lower:]' '[:upper:]' | sed -e 's/ *$//g' -e 's/ /\\n/g')"

hexdump -v -e '/1 "%02X\n"' $FILENAME | pcregrep -M --color -A $AFER -B $BEFORE $ks_bytes