关于Collect-MemoryDump
Collect-
MemoryDump是一款针对Windows的数字取证与事件应急响应工具,该工具能够自动创建Windows内存快照以供广大研究人员或应急响应安全人员进行后续的分析和处理。
项目提供的Collect-
MemoryDump.ps1是一个PowerShell脚本文件,该脚本主要功能就是从一个活动的Windows操作系统中收集内存快照。
功能介绍
1、开始获取内存之前检查主机名和物理内存大小;
2、检查是否有足够的可用磁盘空间来保存内存转储文件;
3、支持收集原始内存转储 w/ Dumplt;
4、从Magnet Idea Lab收集Microsoft Crash Dump w/DumpIt;
5、支持检查加密磁盘数据;
6、支持收集BitLocker恢复密钥;
7、支持检查已安装的终端安全工具(反病毒和EDR产品);
8、支持枚举目标主机中的所有必要信息,以丰富DFIR工作流;
9、支持创建受密码保护的安全存档容器;
工具下载&部署
广大研究人员可以直接访问该项目的【[ Releases页面](https://github.com/evild3ad/Collect-
MemoryDump/releases/latest)】下载最新版本的Collect-MemoryDump。
注意:Collect-MemoryDump默认并不包含所有的外部工具。因此,我们需要手动下载下列工具依赖组件:
1、 Belkasoft Live RAM Capturer
2、[ Comae-Toolkit](https://www.magnetforensics.com/blog/how-to-get-
started-with-comae/)3、[ MAGNET Encrypted Disk
Detector](https://www.magnetforensics.com/resources/encrypted-disk-
detector/)4、[ MAGNET Ram Capture](https://www.magnetforensics.com/resources/magnet-
ram-capture/)
接下来,将工具所需的文件拷贝到下列文件路径:
Belkasoft Live RAM Capturer
$SCRIPT_DIR\Tools\RamCapturer\x64\msvcp110.dll
$SCRIPT_DIR\Tools\RamCapturer\x64\msvcr110.dll
$SCRIPT_DIR\Tools\RamCapturer\x64\RamCapture64.exe
$SCRIPT_DIR\Tools\RamCapturer\x64\RamCaptureDriver64.sys
$SCRIPT_DIR\Tools\RamCapturer\x86\msvcp110.dll
$SCRIPT_DIR\Tools\RamCapturer\x86\msvcr110.dll
$SCRIPT_DIR\Tools\RamCapturer\x86\RamCapture.exe
$SCRIPT_DIR\Tools\RamCapturer\x86\RamCaptureDriver.sys
Comae-Toolkit
$SCRIPT_DIR\Tools\DumpIt\ARM64\DumpIt.exe
$SCRIPT_DIR\Tools\DumpIt\x64\DumpIt.exe
$SCRIPT_DIR\Tools\DumpIt\x86\DumpIt.exe
MAGNET Encrypted Disk Detector
$SCRIPT_DIR\Tools\EDD\EDDv310.exe
MAGNET Ram Capture
$SCRIPT_DIR\Tools\MRC\MRCv120.exe
工具使用
参数
.\Collect-MemoryDump.ps1 [-Tool] [--Pagefile]
使用样例1
.\Collect-MemoryDump.ps1 -DumpIt
使用样例2
.\Collect-MemoryDump.ps1 -Comae
使用样例3
.\Collect-MemoryDump.ps1 -WinPMEM --Pagefile
工具使用演示
查看帮助信息
检查可用空间
自动创建Windows内存快照 w/ Dumplt
自动创建Windows内存快照 w/ Magnet RAM Capture
自动创建Windows内存快照 w/ WinPMEM
自动创建Windows内存快照 w/ Belkasoft Live RAM Capturer
自动创建Windows内存快照 w/ DumpIt (Microsoft Crash Dump)
自动创建Windows内存快照 w/ WinPMEM
消息盒子
安全文档容器和Logfile.txt
输出目录
内存目录(WinPMEM和Pagefile)
内存快照
Pagefile收集
收集到的系统信息
最后
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
因篇幅有限,仅展示部分资料,有需要的小伙伴,可以【扫下方二维码】免费领取:
![[Android Studio]Android Studio Logcat日志样式设置](https://img-blog.csdnimg.cn/24b696d76d374a9992017e1625389592.gif)
