Collect-MemoryDump 项目教程
1. 项目的目录结构及介绍
Collect-MemoryDump 是一个用于自动化创建 Windows 内存快照的开源项目。以下是该项目的目录结构及各文件的简要介绍:
Collect-MemoryDump/
├── Collect-MemoryDump.ps1
├── LICENSE
├── README.md
└── screenshots/
└── ...
- Collect-MemoryDump.ps1: 项目的主要脚本文件,用于收集内存快照。
- LICENSE: 项目的许可证文件,采用 GPL-3.0 许可证。
- README.md: 项目的说明文档,包含项目的基本信息和使用方法。
- screenshots/: 包含项目运行时的截图。
2. 项目的启动文件介绍
项目的启动文件是 Collect-MemoryDump.ps1
。该脚本是一个 PowerShell 脚本,用于自动化收集 Windows 系统的内存快照。以下是该脚本的主要功能:
- 支持 ARM64 架构。
- 检查主机名和物理内存大小。
- 检查是否有足够的磁盘空间保存内存转储文件。
- 收集 Microsoft Crash Dump 和 Raw Physical Memory Dump。
- 收集运行进程/模块信息。
- 检查加密卷。
- 收集 BitLocker 恢复密钥。
- 检查已安装的终端安全工具(防病毒和 EDR)。
- 创建密码保护的安全归档容器。
3. 项目的配置文件介绍
Collect-MemoryDump 项目没有明确的配置文件。所有的配置和参数都在 Collect-MemoryDump.ps1
脚本中进行处理。用户可以通过命令行参数来调整脚本的行为。
例如,运行脚本时可以指定不同的参数来收集不同类型的内存转储:
.\Collect-MemoryDump.ps1 -DumpIt --Pagefile
以上命令将启动脚本并收集包含页面文件的内存转储。
通过以上教程,您应该对 Collect-MemoryDump 项目有了基本的了解,并能够开始使用该项目来收集 Windows 系统的内存快照。