Как экспортировать / анализировать файлы из memory.dmp?

2469
met.in

Мой компьютер получил синий экран и перед перезагрузкой сохранил всю информацию в файл памяти. У меня есть memory.dmp, и у меня есть несколько очень важных файлов, которые я не сохранил.

Все файлы, которые мне нужно восстановить, были TXT-файлами, которые я открыл в блокноте и не сохранил их. После сбоя компьютера я их потерял. Все были простым текстом.

Я смотрел на такие программы, как windbg, но не смог найти правильного решения. Я начинаю думать, что в файле memory.dmp нет необработанных данных, просто в нем есть логи?

Пожалуйста, покажи мне способ восстановить мои несохраненные файлы из Memory.dmp

Я использую Windows Vista.

1

4 ответа на вопрос

2
David Urbina

Well. This is an interesting exercise. If I were you, probably I would read byte by byte (not the whole file) of the memory dump and encode them to ASCII.

This for sure is not the "elegant" solution you would expect and it is going to take some time to go over that output, but you should be able to recognize parts of your texts, and with a little of luck, put them together again.

1
Evengard

Проблема в том, что дамп памяти не содержит необходимых данных в одном месте. Это из-за того, как работают приложения. Они выделяют память частично, а не полный блок за один раз, поэтому данные, хранящиеся в ОЗУ, могут находиться в разных местах ОЗУ, а не в одном чанке, поскольку это сохраняет его на жестком диске.

Таким образом, для восстановления файлов вам, вероятно, следует проверить файлы целиком и по частям забрать потерянные данные ... Переписать их с нуля может быть намного проще.

Да, я знаю, что это отдельный кусок. И адресация не линейная. Мне нужен способ восстановить эти данные. Любые рекомендации? met.in 13 лет назад 0
Как заявил другой автор (TheCompWiz), существует вероятность того, что файл не будет содержать необходимые данные (если он содержит, он должен быть того же размера, что и используемая вами ОЗУ, когда произошел BSoD). Если это полный дамп ОЗУ, тем не менее, нет никакой «системы» о том, как хранятся данные - в худшем случае каждый символ находится на своем месте. Попробуйте найти слова, которые, как вы помните, были внутри файла - возможно, вам повезет восстановить части текста. Evengard 13 лет назад 1
Размер файла точно такой же, как у меня. Какой инструмент вы порекомендуете для поиска файла 2 ГБ? met.in 13 лет назад 0
Попробуйте какой-нибудь шестнадцатеричный редактор, например notepad ++ с шестнадцатеричным плагином, или far, или еще что-нибудь (гуглите их). Попробуйте поиск в ascii и unicode. Evengard 13 лет назад 0
notepad ++ не сработал, так как размер файла огромен. Я пытался открыть с WordPad, и он действительно не загружается, так как файл точно так же, как с моим оперативной памяти. Любое решение? met.in 13 лет назад 0
Попробуйте другой шестнадцатеричный редактор. Выберите один из здесь: http://en.wikipedia.org/wiki/Comparison_of_hex_editors Evengard 13 лет назад 0
1
AssemTim

Используйте LTFViewr и ищите в файле .dmp . Я не знаю, сможет ли он найти что-нибудь.

Но, по крайней мере, он может искать по всему файлу. Это займет некоторое время.

0
TheCompWiz

Во-первых, вы потратите в 10 раз больше времени, чем потребовалось бы для их повторного ввода, пытаясь восстановить любые файлы, с которыми вы работали.

Во-вторых, «файлы», о которых идет речь, не будут существовать как «файлы» в памяти. Он просто будет существовать в виде выделенных блоков памяти (вероятно, фрагментированных в нескольких местах) и может даже немного не напоминать конечный результат, который вы помните, просматривая.

В-третьих, файл memory.dmp обычно содержит только память, выделенную отказавшему потоку. Если произошел сбой не вашего редактора, то memory.dmp, вероятно, не содержит ничего полезного для вас. Весьма маловероятно, что «блокнот» был тем потоком, который потерпел крах ... и даже если бы это было так, вы бы восстановили только один экземпляр блокнота.

Хотелось бы, чтобы я не звучал как придурок из-за того, что сказал это ... но это именно то, почему вы должны часто экономить.

Я действительно считаю, что файл содержит все необходимые файлы, которые мне нужно восстановить. Так как размер файла близок к моему объему памяти. Кроме того, я потребляю память (как правило, 90%). И я уверен, что файл не блокнот, который разбил мой компьютер. Так какой редактор я должен использовать или как я могу быть уверен, что эти файлы не находятся на моем жестком диске? Я уверен, что то, что я написал в текстовые файлы, как-то в текстовом виде. Так я мог бы искать баран? (После того, как я преобразовал некоторый открытый текст, я запомнил шестнадцатеричные данные) met.in 13 лет назад 1

Похожие вопросы