前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >Collect-MemoryDump:一款针对Windows的数字取证与事件应急响应工具

Collect-MemoryDump:一款针对Windows的数字取证与事件应急响应工具

作者头像
FB客服
发布2023-03-29 15:51:11
9180
发布2023-03-29 15:51:11
举报
文章被收录于专栏:FreeBuf

关于Collect-MemoryDump 

Collect-MemoryDump是一款针对Windows的数字取证与事件应急响应工具,该工具能够自动创建Windows内存快照以供广大研究人员或应急响应安全人员进行后续的分析和处理。

项目提供的Collect-MemoryDump.ps1是一个PowerShell脚本文件,该脚本主要功能就是从一个活动的Windows操作系统中收集内存快照。

 功能介绍 

1、开始获取内存之前检查主机名和物理内存大小; 2、检查是否有足够的可用磁盘空间来保存内存转储文件; 3、支持收集原始内存转储 w/ Dumplt; 4、从Magnet Idea Lab收集Microsoft Crash Dump w/DumpIt; 5、支持检查加密磁盘数据; 6、支持收集BitLocker恢复密钥; 7、支持检查已安装的终端安全工具(反病毒和EDR产品); 8、支持枚举目标主机中的所有必要信息,以丰富DFIR工作流; 9、支持创建受密码保护的安全存档容器;

 工具下载&部署 

广大研究人员可以直接访问该项目的【Releases页面】下载最新版本的Collect-MemoryDump。

注意:Collect-MemoryDump默认并不包含所有的外部工具。因此,我们需要手动下载下列工具依赖组件:

1、Belkasoft Live RAM Capturer 2、Comae-Toolkit 3、MAGNET Encrypted Disk Detector 4、MAGNET Ram Capture

接下来,将工具所需的文件拷贝到下列文件路径:

Belkasoft Live RAM Capturer

代码语言:javascript
复制
代码语言:javascript
复制
$SCRIPT_DIR\Tools\RamCapturer\x64\msvcp110.dll
$SCRIPT_DIR\Tools\RamCapturer\x64\msvcr110.dll
$SCRIPT_DIR\Tools\RamCapturer\x64\RamCapture64.exe
$SCRIPT_DIR\Tools\RamCapturer\x64\RamCaptureDriver64.sys
$SCRIPT_DIR\Tools\RamCapturer\x86\msvcp110.dll
$SCRIPT_DIR\Tools\RamCapturer\x86\msvcr110.dll
$SCRIPT_DIR\Tools\RamCapturer\x86\RamCapture.exe
$SCRIPT_DIR\Tools\RamCapturer\x86\RamCaptureDriver.sys
代码语言:javascript
复制

Comae-Toolkit

代码语言:javascript
复制
$SCRIPT_DIR\Tools\DumpIt\ARM64\DumpIt.exe
$SCRIPT_DIR\Tools\DumpIt\x64\DumpIt.exe
$SCRIPT_DIR\Tools\DumpIt\x86\DumpIt.exe

MAGNET Encrypted Disk Detector

代码语言:javascript
复制
$SCRIPT_DIR\Tools\EDD\EDDv310.exe

MAGNET Ram Capture

代码语言:javascript
复制
$SCRIPT_DIR\Tools\MRC\MRCv120.exe

 工具使用 

参数

代码语言:javascript
复制
.\Collect-MemoryDump.ps1 [-Tool] [--Pagefile]

使用样例1

代码语言:javascript
复制
.\Collect-MemoryDump.ps1 -DumpIt

使用样例2

代码语言:javascript
复制
.\Collect-MemoryDump.ps1 -Comae
代码语言:javascript
复制
使用样例3

.\Collect-MemoryDump.ps1 -WinPMEM --Pagefile

 工具使用演示 

查看帮助信息

检查可用空间

自动创建Windows内存快照 w/ Dumplt

自动创建Windows内存快照 w/ Magnet RAM Capture

自动创建Windows内存快照 w/ WinPMEM

自动创建Windows内存快照 w/ Belkasoft Live RAM Capturer

自动创建Windows内存快照 w/ DumpIt (Microsoft Crash Dump)

自动创建Windows内存快照 w/ WinPMEM

消息盒子

安全文档容器和Logfile.txt

输出目录

内存目录(WinPMEM和Pagefile)

内存快照

Pagefile收集

收集到的系统信息

许可证协议 

本项目的开发与发布遵循GPL-3.0开源许可证协议。

 项目地址 

Collect-MemoryDump

https://github.com/evild3ad/Collect-MemoryDump

参考资料:

https://www.magnetforensics.com/ https://github.com/evild3ad/Collect-MemoryDump/wiki/How-to-add-or-update-dependencies https://www.comae.com/ https://github.com/ufrisk/MemProcFS https://github.com/Velocidex/WinPmem https://www.magnetforensics.com/resources/magnet-ram-capture/ https://www.magnetforensics.com/resources/encrypted-disk-detector/ https://github.com/orlikoski/CyLR https://www.magnetforensics.com/blog/how-to-get-started-with-comae/ https://belkasoft.com/ram-capturer

精彩推荐

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-11-25,如有侵权请联系 cloudcommunity@tencent.com 删除
安全
工具
脚本
内存
事件

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

安全
工具
脚本
内存
事件
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
目录
  • 关于Collect-MemoryDump 
  •  功能介绍 
  •  工具下载&部署 
  •  工具使用 
    • 参数
      • 使用样例1
        • 使用样例2
        •  工具使用演示 
          • 查看帮助信息
            • 检查可用空间
              • 自动创建Windows内存快照 w/ Dumplt
                • 自动创建Windows内存快照 w/ Magnet RAM Capture
                  • 自动创建Windows内存快照 w/ WinPMEM
                    • 自动创建Windows内存快照 w/ Belkasoft Live RAM Capturer
                      • 自动创建Windows内存快照 w/ DumpIt (Microsoft Crash Dump)
                        • 自动创建Windows内存快照 w/ WinPMEM
                          • 消息盒子
                            • 安全文档容器和Logfile.txt
                              • 输出目录
                                • 内存目录(WinPMEM和Pagefile)
                                  • 内存快照
                                    • Pagefile收集
                                      • 收集到的系统信息
                                      • 许可证协议 
                                      •  项目地址 
                                      • 参考资料:
                                      相关产品与服务
                                      容器服务
                                      腾讯云容器服务(Tencent Kubernetes Engine, TKE)基于原生 kubernetes 提供以容器为核心的、高度可扩展的高性能容器管理服务,覆盖 Serverless、边缘计算、分布式云等多种业务部署场景,业内首创单个集群兼容多种计算节点的容器资源管理模式。同时产品作为云原生 Finops 领先布道者,主导开源项目Crane,全面助力客户实现资源优化、成本控制。
                                      产品介绍产品文档
                                      领券

                                      腾讯云开发者

                                      扫码关注腾讯云开发者

                                      扫码关注腾讯云开发者

                                      领取腾讯云代金券

                                      热门产品

                                      热门推荐

                                      更多推荐

                                      Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

                                      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

                                      腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

                                      问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

                                      Copyright © 2013 - 2024 Tencent Cloud.

                                      All Rights Reserved. 腾讯云 版权所有

                                      登录 后参与评论