Wie kann ich einen vorherigen Ruhezustand wiederherstellen?

1810
Pacerier

Ich versuche, verlorene Daten von nicht gespeicherten notepad.exe s wiederherzustellen, nachdem Windows 7 automatisch neu gestartet wurde (dang Windows Update).

Surfen ein paar Threads, so scheint es eine unmögliche Aufgabe zu sein. Allerdings habe ich vor ein paar Stunden zuvor in den Ruhezustand versetzt, und es gibt einen ordentlichen 2,89 GB-Speicherauszug C:\hiberfil.sys. Ich habe auch eine 3.35 GB C:\pagefile.sys.

Wie kann ich den vorherigen Ruhezustand wiederherstellen?

Gibt es alternativ ein Programm, das anzeigen kann C:\hiberfil.sys(z. B. durch den vorherigen Zustand als ob es sich um eine virtuelle Maschine handelt)?

My Current System Info

Control Panel\System and Security\Windows Update\View update history

0
Leider entsprechen die Dateien auf Ihrer Festplatte nach einem Windows-Update nicht mehr dem Inhalt des zwischengespeicherten Verzeichnisses in der gespeicherten Hibernat-Datei. Sie müssten eine Möglichkeit haben, die Festplatte in den * exakten * Zustand zu versetzen, in dem sie sich im Ruhezustand befand. Und wenn Sie das tun, wird der Computer gerade gestartet und der Status aus dieser Datei wiederhergestellt. Ihre langfristige Antwort ist, eine Notiz-App zu verwenden, die automatisch alles speichert. Jamie Hanrahan vor 10 Jahren 0
@JamieHanrahan, Es musste eine Möglichkeit geben, diese Datei auf einer virtuellen Maschine zu öffnen, oder etwas, da ich die genauen Bytes (Version) kenne, die mein Windows jetzt und vor den Windows-Updates darstellen. Pacerier vor 10 Jahren 0
Die Ruhezustandsdatei enthält keine Daten, sondern eine Platzhalterdatei, um den für den Ruhezustand Ihres Systems erforderlichen Speicherplatz zu reservieren. Ramhound vor 10 Jahren 0
@ Ramhound, Die Winterschlafdatei ist einfach ein Frost des RAMs oder? Und die nicht gespeicherten Notizblöcke werden im RAM gespeichert. Warum ist eine Wiederherstellung nicht möglich? Pacerier vor 10 Jahren 0
@ Pacerier - Da die Datei, die Sie sehen, nicht aus Ihrem letzten Ruhezustand stammt, der beim Neustart bereits verworfen wurde. Wie gesagt, die Datei, die Sie sehen, reserviert den Speicherplatz für den nächsten Winterschlaf Ramhound vor 10 Jahren 0
@ Ramhound, warum sagen Sie, dass es verworfen wird, wenn Windows Explorer die Dateigröße als 3,35 GB meldet? Meinen Sie damit, dass die tatsächlichen Bytes überschrieben werden? Wenn ja, womit würden sie überschrieben? Ich habe keine speziellen Einstellungen vorgenommen, wie zum Beispiel HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ Speicherverwaltung \ ClearPageFileAtShutdown` oder die Sortierung. Pacerier vor 10 Jahren 0
Warum würde ein Registrierungsschlüssel in Bezug auf die Auslagerungsdatei die Ruhezustandsdatei beeinflussen? ** Alles was ich weiß ist, dass Ihre Datei nicht im Ruhezustand ist. ** Ramhound vor 10 Jahren 0
@Ramhound, es ist nicht der Fall, dass hiberfil.sys überschrieben wird, sobald es wieder aufgenommen wurde. Es wird nur geschrieben, wenn Sie das System in den Ruhezustand versetzen. Andernfalls wäre eine forensische Überprüfung der Hibernate-Datei keine sinnvolle Technik (und siehe http://www.securityweek.com/microsoft-windows-sleep-feature-poses-security-risk). Jamie Hanrahan vor 10 Jahren 0
Ein Neustart des gespeicherten hiberfil funktioniert jedoch aus den oben genannten Gründen nicht. @ Pacerier, Sie können versuchen, die geänderten Dateien zurückzusetzen, aber Sie werden nie alle FS-Metadaten in den vorherigen Zustand zurückversetzen. Ich habe Berichte von Leuten gesehen, die es versucht haben; Das neu gestartete System blieb einige Sekunden lang in Betrieb und blau dargestellt. Einige Daten Ihrer Notepads befinden sich wahrscheinlich in dieser Datei, und wenn Sie die Datei mit einem "File-Dump" -Tool untersuchen, können Sie sie sehen ... aber sie werden sehr fragmentiert sein und nicht alle an einem Ort. Viel Glück, es unter Gigabyte zu finden. Jamie Hanrahan vor 10 Jahren 0

1 Antwort auf die Frage

0
Kamil

Es tut uns leid, aber es gibt keine Möglichkeit, eine solche Datei in weniger als einer Woche (oder vielleicht sogar einem Monat) wiederherzustellen.

  1. Soweit ich weiß, ist hiberfil.sys komprimiert und nicht gut dokumentiert. Vor langer Zeit gab es ein Tool zum Lesen von Windows 2000 hiberfil.sys. Es hieß SandMan. Ich denke, das funktioniert nicht mit Windows 6.0 und höher.

  2. Selbst wenn Sie es schaffen, den in hiberfil.sys gelagerten Rohspeicher zu reproduzieren - erwarten Sie nicht, dass Sie Ihre Datei dort finden. Der Prozessspeicher wird fragmentiert, sodass Sie alles zusammenfügen müssen, um ihn lesbar zu machen, wie Prozessspeicherabbilder aus dem Task-Manager. Das ist auch nicht sehr gut lesbar.

Verwandte Probleme