Collect-MemoryDump - 为DFIR自动创建Windows内存快照
作者:Sec-Labs | 发布时间:
Collect-MemoryDump
Collect-MemoryDump - 为DFIR自动创建Windows内存快照
Collect-MemoryDump.ps1是PowerShell脚本,用于从一个实时的Windows系统中收集内存快照(以取证的方式)。
特点如下
- 在开始采集内存之前,检查主机名和物理内存大小
- 检查你是否有足够的磁盘空间来保存内存转储文件
- 通过DumpIt、Magnet RamCapture和WinPMEM收集原始物理内存转储。
- 用Magnet Idea Lab的DumpIt/DumpIt for Comae Beta收集微软崩溃数据
- 用Magnet Forensics加密磁盘检测器检查加密卷轴
- 收集BitLocker恢复密钥
- 检查已安装的端点安全工具(防病毒和EDR)。
- 枚举目标主机的所有必要信息,以充实你的DFIR工作流程
- 创建一个受密码保护的安全存档容器(PW:IncidentResponse)。
项目地址
https://github.com/evild3ad/Collect-MemoryDump
首次公开发行
MAGNET座谈会--德国法兰克福(2022年7月27日)
演讲题目。现代数字取证和事件响应技术
https://www.magnetforensics.com/
下载
下载最新版本的 Collect-MemoryDump 从 Releases 部分
Usage
.\Collect-MemoryDump.ps1 [-Tool] [--skip]
例1 - 原始物理内存快照
.\Collect-MemoryDump.ps1 -DumpIt例子2--微软崩溃转储(.zdmp)→为上传至Comae调查平台而优化
.\Collect-MemoryDump.ps1 -Comae注意:你可以用Z2Dmp(Comae-Toolkit)解压DumpIt生成的*.zdmp文件。
标签:工具分享, 内存快照