Collect-MemoryDump：一款针对Windows的数字取证与事件应急响应工具

关于Collect-MemoryDump 

Collect-MemoryDump是一款针对Windows的数字取证与事件应急响应工具，该工具能够自动创建Windows内存快照以供广大研究人员或应急响应安全人员进行后续的分析和处理。

项目提供的Collect-MemoryDump.ps1是一个PowerShell脚本文件，该脚本主要功能就是从一个活动的Windows操作系统中收集内存快照。

 功能介绍 

1、开始获取内存之前检查主机名和物理内存大小；

2、检查是否有足够的可用磁盘空间来保存内存转储文件；

3、支持收集原始内存转储 w/ Dumplt；

4、从Magnet Idea Lab收集Microsoft Crash Dump w/DumpIt；

5、支持检查加密磁盘数据；

6、支持收集BitLocker恢复密钥；

7、支持检查已安装的终端安全工具（反病毒和EDR产品）；

8、支持枚举目标主机中的所有必要信息，以丰富DFIR工作流；

9、支持创建受密码保护的安全存档容器；

 工具下载&部署 

广大研究人员可以直接访问该项目的【Releases页面】下载最新版本的Collect-MemoryDump。

注意：Collect-MemoryDump默认并不包含所有的外部工具。因此，我们需要手动下载下列工具依赖组件：

1、Belkasoft Live RAM Capturer

2、Comae-Toolkit

3、MAGNET Encrypted Disk Detector

4、MAGNET Ram Capture

接下来，将工具所需的文件拷贝到下列文件路径：

Belkasoft Live RAM Capturer

$SCRIPT_DIRToolsRamCapturerx64msvcp110.dll
$SCRIPT_DIRToolsRamCapturerx64msvcr110.dll
$SCRIPT_DIRToolsRamCapturerx64RamCapture64.exe
$SCRIPT_DIRToolsRamCapturerx64RamCaptureDriver64.sys
$SCRIPT_DIRToolsRamCapturerx86msvcp110.dll
$SCRIPT_DIRToolsRamCapturerx86msvcr110.dll
$SCRIPT_DIRToolsRamCapturerx86RamCapture.exe
$SCRIPT_DIRToolsRamCapturerx86RamCaptureDriver.sys

Comae-Toolkit

$SCRIPT_DIRToolsDumpItARM64DumpIt.exe
$SCRIPT_DIRToolsDumpItx64DumpIt.exe
$SCRIPT_DIRToolsDumpItx86DumpIt.exe



MAGNET Encrypted Disk Detector

$SCRIPT_DIRToolsEDDEDDv310.exe



MAGNET Ram Capture

$SCRIPT_DIRToolsMRCMRCv120.exe



 工具使用 


参数

.Collect-MemoryDump.ps1 [-Tool] [--Pagefile]



使用样例1

.Collect-MemoryDump.ps1 -DumpIt



使用样例2

.Collect-MemoryDump.ps1 -Comae


使用样例3

.Collect-MemoryDump.ps1 -WinPMEM --Pagefile



 工具使用演示 


查看帮助信息






检查可用空间






自动创建Windows内存快照 w/ Dumplt






自动创建Windows内存快照 w/ Magnet RAM Capture






自动创建Windows内存快照 w/ WinPMEM






自动创建Windows内存快照 w/ Belkasoft Live RAM Capturer






自动创建Windows内存快照 w/ DumpIt (Microsoft Crash Dump)






自动创建Windows内存快照 w/ WinPMEM






消息盒子






安全文档容器和Logfile.txt






输出目录






内存目录（WinPMEM和Pagefile）






内存快照






Pagefile收集






收集到的系统信息






 许可证协议 


本项目的开发与发布遵循GPL-3.0开源许可证协议。


 项目地址 


Collect-MemoryDump：
https://github.com/evild3ad/Collect-MemoryDump


参考资料：

https://www.magnetforensics.com/
https://github.com/evild3ad/Collect-MemoryDump/wiki/How-to-add-or-update-dependencies
https://www.comae.com/
https://github.com/ufrisk/MemProcFS
https://github.com/Velocidex/WinPmem
https://www.magnetforensics.com/resources/magnet-ram-capture/
https://www.magnetforensics.com/resources/encrypted-disk-detector/
https://github.com/orlikoski/CyLR
https://www.magnetforensics.com/blog/how-to-get-started-with-comae/
https://belkasoft.com/ram-capturer





















精彩推荐




































原文始发于微信公众号（FreeBuf）：Collect-MemoryDump：一款针对Windows的数字取证与事件应急响应工具