Создание дампа диска

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Вы можете создать дамп физического или логического диска компьютера, на котором установлена программа Kaspersky Endpoint Agent.

Чтобы создать дамп диска через интерфейс командной строки Kaspersky Endpoint Agent:

1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

   Например, введите команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажмите на клавишу ENTER.

   Введите команду:

   agent.exe --disk-image --volume=<имя диска> [--format=<формат файла, RAW или EWF>] [--max-size=<размер в байтах>] [--segment-size=<размер в байтах>] --path=<путь к локальной или сетевой папке, в которой вы хотите сохранить дамп диска> [--user=<имя пользователя> --pwd=<пароль>]

   Имя пользователя и пароль необходимы, если доступ к папке для сохранения дампа диска защищен паролем.

   Убедитесь, что папка для сохранения дампа диска, доступна для записи. Иначе файл дампа не будет создан.

3. Нажмите на клавишу ENTER.

   В указанной папке Kaspersky Endpoint Agent создаст файл дампа диска с названием в формате <имя диска>_<дата и время старта записи файла>.<расширение>.

   Расширение файла дампа диска может быть следующим:

   • Если в команде для создания дампа диска указан формат RAW (--format=RAW):
     • если дамп диска не разделен (не задан параметр --segment-size), то файл дампа диска имеет расширение raw;
     • если дамп диска разделен (задан параметр --segment-size), то части дампа имеют расширение 001, 002, 003 и далее по порядку до 999.
   • Если в команде для создания дампа диска указан формат EWF (--format=EWF):
     • если дамп диска не разделен (не задан параметр --segment-size), то файл дампа диска имеет расширение E01;
     • если дамп диска разделен (задан параметр --segment-size), то части дампа имеют расширение E01, E02, ..., E99; EAA, EAB, ..., EAZ; FAA, FAB, ..., FZZ, <...>; ZAA, ZAB, ..., ZZZ.

   Параметры команды для создания дампа диска

   Параметр	Описание
   --volume	Обязательный параметр. Параметр передает номер физического диска или имя логического диска, для которого будет создан дамп. Формат номера физического диска: \??\PHYSICALDRIVEN или PHYSICALDRIVEN, где N – порядковый номер диска. Например: \??\PHYSICALDRIVE0, PHYSICALDRIVE1. Формат имени логического диска:N:, где N – буквенное обозначение логического диска. Например, С:. Если вы создаете дамп для логического диска, с которого осуществляется загрузка операционной системы, в качестве имени диска используйте переменную %SystemDrive%.
   --format	Параметр передает формат файла с дампом диска. Возможные значения: RAW или EWF. Если параметр не задан, программа создает дамп диска в формате RAW.
   --max-size	Параметр передает максимальное допустимое значение размера дампа диска в байтах. Если параметр не задан, программа создает дамп диска с максимальным размером 1 099 511 627 776 байт.
   --segment-size	Параметр передает значение максимального размера частей дампа диска в байтах. При этом минимальный размер частей дампа должен быть больше 33 554 432 байт. Если параметр задан, программа разбивает дамп диска на части указанного размера и архивирует их. Размер архивированных частей дампа меньше указаного с помощью параметра значения. Если параметр не задан, программа не производит разбиение дампа диска на части.
   --path	Обязательный параметр. Параметр передает полный путь к локальной или сетевой папке, в которую программа сохраняет дамп диска. Имя сетевой папки должно быть указано в UNC-формате.
   --user	Параметр передает логин для доступа к папке, указанной с помощью параметра --path. Если параметр не задан, для создания дампа диска необходим доступ к папке для учетной записи SYSTEM.
   --pwd	Параметр передает пароль для доступа к папке, указанной с помощью параметра --path. Если параметр не задан, для создания дампа диска необходим доступ к папке для учетной записи SYSTEM.

Коды возврата команды --memory-dump:

• -1 – команда не поддерживается.
• 0 – команда выполнена успешно.
• 1 – команде не передан обязательный аргумент.
• 2 – общая ошибка.
• 4 – синтаксическая ошибка.

Kaspersky Endpoint Agent не выполняет шифрование и сжатие файла дампа памяти. Если необходимо, вы можете настроить шифрование и сжатие папки для сохранения дампа памяти с помощью сторонних инструментов.

Чтобы Kaspersky Endpoint Agent мог сохранять файл дампа памяти в сетевую папку в зашифрованном виде, требуется настроить использование SMB-протокола версии 3 или выше.

В начало