功能：

- :ram: 使用 MAGNET DumpIt（支持 x86、x64 和 ARM64）或 MAGNET RAM Capture（适用于传统系统）捕获内存镜像。 - :computer: 使用 MAGNET Response CLI 收集分类数据，可配置选择性配置文件或自定义选项。 - :closed_lock_with_key: 使用 MAGNET Encrypted Disk Detector 检测全盘加密。 - :key: 从所有加密卷中恢复 BitLocker 恢复密钥。 - :floppy_disk: 将收集的数据、日志和内存镜像存储到 USB 设备或指定的网络位置。 - :chart_with_upwards_trend: 收集期间实时进度监控。 - :page_facing_up: 包含收集前的易失性数据和完整性哈希值的全面报告。 收集配置文件包括： - **QuickTriage** - 易失性数据 + 系统文件（无 RAM） - 大约 2 分钟完成 - **Volatile** - 仅易失性数据（网络连接、注册表、运行进程） - **RAMOnly** - 仅内存转储 - **RAMPage** - RAM + 页面文件 - **RAMSystem** - RAM + 关键系统文件 - **Default（完整分类）** - RAM + 页面文件 + 易失性数据 + 系统工件

前置条件：

网络收集：

CyberPipe 支持使用 `-Net` 参数将输出直接保存到网络共享。只需指定 UNC 路径（例如 `\\server\share`），脚本将自动映射网络驱动器并执行收集。这对于由 EDR 或 SOC 警报触发的自动化 DFIR 工作流程非常理想。 ``` .\CyberPipe.ps1 -Net "\\server\share" ```

5.3 版本新增内容：

关键的 PS 5.1 退出代码修复

- **已修复**：Windows PowerShell 5.1 中，在成功执行 Magnet Response 收集后出现的虚假失败问题 - **根本原因**：PS 5.1 的一个 bug，`$process.ExitCode` 在 `WaitForExit()` 后无法可靠地填充 - **解决方案**：实施了双重验证： - 包含对象刷新的进程退出代码检查 - 文件收集验证（更可靠的成功指标） - 智能错误处理：即使退出代码非零，如果文件已成功收集则继续

可靠性改进

- 增强的验证逻辑检查实际收集到的工件，而非仅依赖退出代码 - 优雅地处理 PowerShell 版本特定的怪异行为 - 更好的错误消息，能够区分真正的失败和 PS 5.1 报告问题

使用示例：

- **运行完整分类（默认收集配置文件）到本地 USB 驱动器：** （RAM、页面文件、易失性数据、系统文件） .\CyberPipe.ps1 - **运行 RAM 和操作系统文件（轻量分类）捕获：** .\CyberPipe.ps1 -CollectionProfile RAMSystem - **运行仅内存捕获：** .\CyberPipe.ps1 -CollectionProfile RAMOnly - **运行 RAM 和页面文件捕获：** .\CyberPipe.ps1 -CollectionProfile RAMPage - **运行 RAM 和操作系统文件（轻量分类）捕获：** .\CyberPipe.ps1 -CollectionProfile RAMSystem - **运行仅易失性数据捕获：** .\CyberPipe.ps1 -CollectionProfile Volatile - **运行快速分类（快速收集）：** .\CyberPipe.ps1 -CollectionProfile QuickTriage - **运行带压缩的完整分类：** .\CyberPipe.ps1 -Compress - **运行收集到网络共享：** .\CyberPipe.ps1 -Net "\\server\share" - **运行带特定配置文件的网络收集：** .\CyberPipe.ps1 -Net "\\server\share" -CollectionProfile QuickTriage - **运行带压缩的网络收集：** .\CyberPipe.ps1 -Net "\\server\share" -Compress - _您可以通过指定 MAGNET Response 支持的 CLI 参数来修改或创建自定义配置文件。_

工具目录结构：

- **USB 收集：** `Tools` 目录应与脚本位于同一目录下： E:\Triage\CyberPipe\CyberPipe.ps1 E:\Triage\CyberPipe\Tools\ - **网络收集：** `Tools` 目录应放置在网络共享的根目录下： \\Server\share\Tools\

旧版本（支持 KAPE）：

如果您之前使用过支持 KAPE 的 CyberPipe（v5 之前），旧的工作流程仍可在 `CyberPipe.v4.01.ps1` 中使用。 更多信息请访问 [Baker Street Forensics](https://bakerstreetforensics.com/?s=cyberpipe)

标签：AI合规, BitLocker恢复, DAST, Libemu, MAGNET工具, PowerShell脚本, SecList, USB存储, 事件调查, 内存取证, 加密检测, 取证报告, 取证调查, 取证镜像, 威胁响应, 完整性哈希, 恶意软件分析, 数字取证, 数字证据, 磁盘取证, 系统分析, 系统取证, 网络共享, 网络分析, 脚本语言, 自动化脚本, 远程收集