Wie exportiere / analysiere Dateien aus memory.dmp?

2591
met.in

Mein Computer hat einen Bluescreen und speichert alle Informationen vor dem Neustart in einer Speicherdatei. Ich habe memory.dmp, und ich habe einige sehr wichtige Dateien, die ich nicht gespeichert habe.

Alle Dateien, die ich wiederherstellen muss, waren TXT-Dateien. Ich öffnete den Editor und habe sie nicht gespeichert. Sobald mein Computer abstürzte, verlor ich sie. Alle waren Klartext.

Ich habe mir Programme wie windbg angeschaut, aber keine passende Lösung gefunden. Ich fange an zu glauben, dass die Datei memory.dmp nicht die Rohdaten hat, sondern nur Protokolle.

Bitte zeigen Sie mir einen Weg, um meine nicht gespeicherten Dateien aus Memory.dmp wiederherzustellen

Ich benutze Windows Vista.

1

4 Antworten auf die Frage

2
David Urbina

Gut. Dies ist eine interessante Übung. Wenn ich Sie wäre, würde ich wahrscheinlich Byte für Byte (nicht die gesamte Datei) des Speicherauszugs lesen und sie in ASCII codieren.

Dies ist sicherlich nicht die "elegante" Lösung, die Sie erwarten würden, und es wird einige Zeit dauern, diese Ausgabe durchzugehen, aber Sie sollten Teile Ihrer Texte erkennen können und sie mit etwas Glück wieder zusammenfügen .

1
Evengard

Das Problem ist, dass der Speicherauszug die benötigten Daten nicht an einer einzigen Stelle enthält. Dies liegt an der Funktionsweise von Anwendungen. Sie belegen den Speicher teilweise und nicht den gesamten Block auf einmal. Deshalb können sich die im RAM gespeicherten Daten an verschiedenen Stellen im RAM befinden, nicht in einem Block, da sie auf der Festplatte gespeichert werden.

Daher sollten Sie zum Wiederherstellen von Dateien wahrscheinlich die gesamten Dateien überprüfen und die verloren gegangenen Daten zu Teilen abnehmen ... Das erneute Schreiben von Grund auf kann wesentlich einfacher sein.

Ja, ich weiß, dass es Stück für Stück getrennt ist. Und die Adressierung ist nicht linear. Ich brauche einen Weg, um diese Daten wiederherzustellen. Irgendwelche Empfehlungen? met.in vor 13 Jahren 0
Wie der andere Beantworter (TheCompWiz) angegeben hat, besteht die Möglichkeit, dass die Datei nicht die erforderlichen Daten enthält (wenn sie enthalten ist, sollte sie dieselbe Größe haben wie Ihr RAM, wenn BSoD stattfand). Wenn es sich um einen vollständigen RAM-Speicherauszug handelt, gibt es immer noch kein "System" für die Speicherung der Daten - im schlimmsten Fall ist jedes Zeichen an seiner eigenen Stelle. Versuchen Sie, einige Wörter zu suchen, von denen Sie sich erinnern, dass sie sich in der Datei befanden. Vielleicht haben Sie das Glück, Teile des Textes wiederherzustellen. Evengard vor 13 Jahren 1
Die Größe der Datei entspricht genau meinem RAM. Welches Tool empfehlen Sie mir, um eine 2GB-Datei zu suchen? met.in vor 13 Jahren 0
Versuchen Sie es mit einem Hex-Editor, z. B. Notepad ++ mit Hex-Plugin oder far oder was auch immer (google google). Versuchen Sie sowohl die ASCII- als auch die ASCII-Suche. Evengard vor 13 Jahren 0
Notepad ++ hat nicht funktioniert, da die Dateigröße sehr groß ist. Ich habe versucht, mit Wordpad zu öffnen, und es wurde wirklich nicht geladen, da die Datei exakt mit meinem RAM identisch ist. Irgendeine Lösungsmöglichkeit ? met.in vor 13 Jahren 0
Versuchen Sie es mit einem anderen Hex-Editor. Wählen Sie hier eines aus: http://en.wikipedia.org/wiki/Comparison_of_hex_editors Evengard vor 13 Jahren 0
1
AssemTim

Verwenden Sie LTFViewr und durchsuchen Sie die .dmp-Datei. Ich weiß nicht, ob es etwas finden kann.

Aber es kann zumindest die ganze Datei durchsuchen. Es wird eine Weile dauern.

0
TheCompWiz

Erstens müssen Sie 10x länger verbringen, als es nötig wäre, sie erneut einzugeben und zu versuchen, die Dateien wiederherzustellen, an denen Sie gerade gearbeitet haben.

Zweitens sind die betreffenden "Dateien" nicht als "Dateien" im Speicher vorhanden. Es wird einfach als zugeteilte Speicherblöcke existieren (wahrscheinlich in mehrere Speicherorte aufgeteilt) und ähnelt möglicherweise nicht dem Endergebnis, an das Sie sich erinnern, etwas.

Drittens enthält die Datei memory.dmp normalerweise nur den Speicher, der dem fehlerhaften Thread zugeordnet ist. Wenn der Editor nicht abgestürzt ist, enthält die Datei memory.dmp wahrscheinlich nichts Nützliches. Es ist höchst unwahrscheinlich, dass "notepad" der Thread war, der abgestürzt ist ... und selbst wenn dies der Fall wäre, würden Sie nur diese eine Instanz von notepad wiederherstellen.

Ich wünschte, ich hätte mich nicht wie ein Idiot angehört, weil ich das gesagt habe ... aber genau deshalb sollten Sie häufig sparen.

Ich glaube wirklich, dass die Datei alle notwendigen Dateien enthält, die ich wiederherstellen muss. Da die Dateigröße nahe an meiner Speicherkapazität liegt. Ich verbrauche auch den Speicher (in der Regel 90%). Und ich bin sicher, dass die Datei kein Notizblock ist, der meinen Computer zum Absturz gebracht hat. Welchen Editor sollte ich verwenden oder wie kann ich sicher sein, dass diese Dateien nicht in meiner Festplatte sind? Ich bin sicher, was ich in TXT-Dateien geschrieben habe, ist irgendwie im Klartext. Also könnte ich den Widder suchen? (Nachdem ich Klartext konvertiert habe, erinnere ich mich an Hex-Daten.) met.in vor 13 Jahren 1

Verwandte Probleme