В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.
Вы можете создать дамп физического или логического диска компьютера, на котором установлена программа Kaspersky Endpoint Agent.
Чтобы создать дамп диска через интерфейс командной строки Kaspersky Endpoint Agent:
cd
перейдите в папку, где находится файл agent.exe.Например, введите команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\"
и нажмите на клавишу ENTER.
Введите команду:
agent.exe --disk-image --volume=<
имя диска
> [--format=<
формат файла, RAW или EWF
>] [--max-size=<
размер в байтах
>] [--segment-size=<
размер в байтах
>] --path=<
путь к локальной или сетевой папке, в которой вы хотите сохранить дамп диска
> [--user=<
имя пользователя
> --pwd=<
пароль
>]
Имя пользователя и пароль необходимы, если доступ к папке для сохранения дампа диска защищен паролем.
Убедитесь, что папка для сохранения дампа диска, доступна для записи. Иначе файл дампа не будет создан.
В указанной папке Kaspersky Endpoint Agent создаст файл дампа диска с названием в формате <имя диска>_<дата и время старта записи файла>.<расширение>.
Расширение файла дампа диска может быть следующим:
--format=RAW
):--segment-size
), то файл дампа диска имеет расширение raw;--segment-size
), то части дампа имеют расширение 001, 002, 003 и далее по порядку до 999.--format=EWF
): --segment-size
), то файл дампа диска имеет расширение E01;--segment-size
), то части дампа имеют расширение E01, E02, ..., E99; EAA, EAB, ..., EAZ; FAA, FAB, ..., FZZ, <...>; ZAA, ZAB, ..., ZZZ.Параметры команды для создания дампа диска
Параметр |
Описание |
---|---|
|
Обязательный параметр. Параметр передает номер физического диска или имя логического диска, для которого будет создан дамп. Формат номера физического диска: \??\PHYSICALDRIVEN или PHYSICALDRIVEN, где N – порядковый номер диска. Например: \??\PHYSICALDRIVE0, PHYSICALDRIVE1. Формат имени логического диска:N:, где N – буквенное обозначение логического диска. Например, С:. Если вы создаете дамп для логического диска, с которого осуществляется загрузка операционной системы, в качестве имени диска используйте переменную %SystemDrive%. |
|
Параметр передает формат файла с дампом диска. Возможные значения: RAW или EWF. Если параметр не задан, программа создает дамп диска в формате RAW. |
|
Параметр передает максимальное допустимое значение размера дампа диска в байтах. Если параметр не задан, программа создает дамп диска с максимальным размером 1 099 511 627 776 байт. |
|
Параметр передает значение максимального размера частей дампа диска в байтах. При этом минимальный размер частей дампа должен быть больше 33 554 432 байт. Если параметр задан, программа разбивает дамп диска на части указанного размера и архивирует их. Размер архивированных частей дампа меньше указаного с помощью параметра значения. Если параметр не задан, программа не производит разбиение дампа диска на части. |
|
Обязательный параметр. Параметр передает полный путь к локальной или сетевой папке, в которую программа сохраняет дамп диска. Имя сетевой папки должно быть указано в UNC-формате. |
|
Параметр передает логин для доступа к папке, указанной с помощью параметра Если параметр не задан, для создания дампа диска необходим доступ к папке для учетной записи SYSTEM. |
|
Параметр передает пароль для доступа к папке, указанной с помощью параметра Если параметр не задан, для создания дампа диска необходим доступ к папке для учетной записи SYSTEM. |
Коды возврата команды --memory-dump
:
Kaspersky Endpoint Agent не выполняет шифрование и сжатие файла дампа памяти. Если необходимо, вы можете настроить шифрование и сжатие папки для сохранения дампа памяти с помощью сторонних инструментов.
Чтобы Kaspersky Endpoint Agent мог сохранять файл дампа памяти в сетевую папку в зашифрованном виде, требуется настроить использование SMB-протокола версии 3 или выше.
В начало