Recuperar dados de páginas na memória de falha na ativação da hibernação

O Macbook da minha namorada travou ao tentar restaurar a partir de um arquivo hibernado. A barra de progresso parou em ~ 10%, após o que reiniciamos o computador para uma inicialização normal.

Essa imagem de memória hibernada tinha um documento não salvo aberto no Pages, que gostaríamos de recuperar. Há um sleepimagein /private/var/vm, que eu assumo é a imagem de hibernação que nunca foi restaurada corretamente. Apoiámos essa coisa para mantê-la viva.

Tentamos, strings sleepimage | grep known_substringmas não retornou nada. grep -a known_substring sleepimagetambém não fez nada, portanto, estou assumindo que o Pages não manteve os dados de texto na memória como texto sem formatação.

Edit: Depois de ler esta resposta no grep binário eu tentei perl -ln0777e 'print unpack("H*",$1), "\n", pos() while /(null_padded_substring)/g' sleepimage, novamente sendo infrutífero. Eu preenchi com nulos para tentar uma correspondência para o texto UTF-8. Então tentei com .*globs entre cada personagem - ainda sem dados.

Portanto, o Pages provavelmente não armazena texto por nenhuma codificação comum na memória. Eu precisaria encontrar uma regra de tradução entre a string ASCII e a representação de dados do Pages - estou pensando em algum tipo de buffer de string do Objective C. Para mim, parece muito estranho armazenar dados de caracteres como qualquer outra coisa que não uma sequência de caracteres, mas isso parece ser o que o Pages está fazendo.

Se você tem alguma idéia de como descobrir a representação na memória do texto dentro do Pages, pode ser muito útil para resolver esse problema. Talvez eu possa despejar e ler a memória do processo de alguma maneira simples?

Outra solução possível é mais simples - presumo que seja possível reiniciar o computador a partir disso sleepimage, mas não consigo encontrar nenhuma documentação sobre como você procederia com isso. Alguns outros usuários ( macrumores ) parecem ter encontrado isso, mas para todas as perguntas do fórum que encontrei, nenhum deles tem respostas.

A versão do OS X é o Snow Leopard, 10.6.8.

Sugestões complexas envolvendo programação são bem-vindas. Eu faço C e Python.

Obrigado.

Atualize com fotos:

• esse loobsdpkdbikidentificador mencionado primeiro, não é um - apenas aconteceu antes do meu texto a primeira vez que o experimentei.

• parte do texto parece ficar "perdida" (ou seja, não salva em uma extensão contínua de memória) e isso pode piorar com o uso da RAM

• talvez você não consiga recuperar texto significativo da imagem do sono

Agora meu texto original (com erro de digitação no primeiro parágrafo, sry Mr. Matisse):

Joias escondidas: o Jardim de Esculturas Abby Aldrich Rockefeller do MoMa, projetado por Philip Johnson em 1953, é um oásis urbano espetacular, com suas piscinas refletivas e um belo paisagismo. Esta galeria ao ar livre é instalada com exibições de escultura ao ar livre, incluindo obras de Aristide Maillol, Alexander Calder, Henri Maisse, Pablo Picasso e Richard Serra.

Ao visitar as novas galerias de pintura e escultura no MoMa, não deixe de atravessar a escada que liga o quarto e o quinto andar para ver a imagem monumental de alegria e energia de Henri Matisse, Dance (1909). A pintura foi originalmente projetada para ser pendurada no hall da escada de um palácio russo em Moscou.

E o texto recuperado:

Joias ocultas: Ma Abby Aldrich Rockeller Sculpre Gn, designada por Phip John 1953, é um espetacular ursite que reflete as piscinas em um cenário bonito. Esta galeria ao ar livre é composta por exposições em constante mudança de esculturas externas, incluindo obras de Aristide Maillol, Alexander Calder, Henri Maisse, Pabloicasso e o antigo mar.

Enquanto estiver examinando as novas galerias de escultura em Ma, certifique-se de percorrer a quarta quarta ordem de pensamento de Henri Matse sobre a imagem de alegria e olhos, Dan (19). A pintura intencionalmente mostrava o salão da escada do palácio Rsian de Moscou.

E as capturas de tela:

Parece que para um (unsaved) documento do Pages (quase) todos os caracteres do texto são separados por 0x00na memória - assim, STRINGtorna-se S.T.R.I.N.Gcom .estar 0x00. Então você precisa procurar por isso; Posso recomendar 0xED para um front-end gráfico ... ..ou procurar loobsdpkdbikqual parece ser (parte de) um identificador, que vem 5 bytes antes do texto (pelo menos apenas em um caso).

Primeira tentativa, se a string_conhecida foi armazenada em texto sem formatação (não é o caso)

Eu acho que você poderia tentar usar

grep -Ubo --binary-files=text "known_substring" sleepimage 

A partir disso, o parâmetro -U especifica a pesquisa em arquivos binários, -b especifica que o deslocamento em bytes da parte correspondente deve ser exibido e, por último, -o especifica que apenas a parte correspondente deve ser impressa.

Se isso funcionar, você saberia o deslocamento em bytes para chegar a essa região, mas eu não saberia exatamente como proceder lá. Dependendo do tipo de arquivo, você provavelmente pode verificar a assinatura do tipo de arquivo próximo ao deslocamento informado e tentar isolar apenas os bytes que fazem parte desse arquivo. Para isso, acho que você pode escrever um programa em C para fazer isso ou talvez executar hexdump -s known_offset sleepimagee tentar obter apenas os bytes relacionados ao arquivo que você precisa.

Por exemplo, suponha que eu queira saber algo sobre o Chrome:

$ sudo grep -Ubo --binary-files=text -i "chrome" sleepimage
3775011731:chrome

Então, eu sei que tive uma ocorrência de cromo no deslocamento de bytes 3775011731. Portanto, pude:

$ sudo hexdump -s 3775011731 sleepimage | head -n 3
e1021b93 09 09 3c 73 74 72 69 6e 67 3e 2e 63 68 72 6f 6d
e1021ba3 65 2e 67 6f 6f 67 6c 65 2e 63 6f 6d 3c 2f 73 74
e1021bb3 72 69 6e 67 3e 0a 09 09 3c 6b 65 79 3e 45 78 70

A parte complicada seria obter apenas os bytes que você deseja. Se o tipo de arquivo tiver um cabeçalho conhecido, talvez você possa subtrair o tamanho do cabeçalho em bytes do deslocamento hexdump, para obter o arquivo "desde o início". Se o tipo de arquivo tiver uma assinatura "EOF" conhecida, você poderá tentar procurá-la também e, portanto, obter apenas os bytes até esse ponto.

Qual é o seu tipo de arquivo? Você acha que algum procedimento como esse poderia ser usado no seu caso? Note que eu nunca fiz isso antes e estou me baseando em muitas "suposições", mas suponho que algo assim tenha poucas chances de funcionar ..

Segunda tentativa, um método lento para analisar todos os bytes

O método anterior não funciona porque também procura apenas texto sem formatação, minha aposta. Para este segundo texto, criei um programa C simples, contendo:

#include <stdio.h>

int main () {
  printf("assim");
  return 0;
}

Então, eu poderia procurar por "assim", que seria sua string conhecida, nesse texto. Para saber quais bytes procurar, fiz:

$ echo -n "assim" | hexdump
0000000 61 73 73 69 6d                                 
0000005

Portanto, devo encontrar "61 73 73 69 6d". Depois de compilar essa fonte C simples no programa "tt", fiz o seguinte:

hexdump -v -e '/1 "%02X\n"' tt | # format output for hexdump of file tt
    pcregrep -M --color -A 3 -B 3 "61\n73\n73\n69\n6D" # get 3 bytes A-fter and 3 bytes B-fore the occurence

O que voltou para mim:

Se você fez algo assim, acho que você poderia obter seus dados ... Seria muito lento analisar 2 a 8 GB de bytes ...

Observe que nesta abordagem você deve encontrar os hexágonos em letras maiúsculas (escreva 6D em vez de 6d no último grep), não em letras minúsculas e use \ n em vez de espaços em branco (para que você possa usar -A e - B para o grep). Você poderia usar grep -ipara não diferenciar maiúsculas de minúsculas, mas seria um pouco mais lento. Portanto, basta usar maiúsculas se isso for usado.

Ou, se você quiser um "script" automatizado de tudo:

FILENAME=tt # file to parse looking for string
BEFORE=3 # bytes before occurrence
AFER=3 # bytes after occurrence
KNOWNSTRING="assim" # string to search for

ks_bytes="$(echo -n "$KNOWNSTRING" | hexdump | head -n1 | cut -d " " -f2- | tr '[:lower:]' '[:upper:]' | sed -e 's/ *$//g' -e 's/ /\\n/g')"

hexdump -v -e '/1 "%02X\n"' $FILENAME | pcregrep -M --color -A $AFER -B $BEFORE $ks_bytes