个人主页杨利杰YJlio❄️个人专栏《Sysinternals实战教程》 《Windows PowerShell 实战》 《WINDOWS教程》 《IOS教程》《微信助手》 《锤子助手》 《Python》 《Kali Linux》《那些年未解决的Windows疑难杂症》让复杂的事情更简单让重复的工作自动化VMMap 学习笔记8.7命令行模式与自动抓取——无界面采集内存证据的正确姿势1. 为什么要学 VMMap 命令行模式2. VMMap CLI 能解决哪些实际问题3. VMMap CLI 的基本抓取方式4. 把 VMMap CLI 变成定时内存快照器5. 远程无界面抓取PsExec 联动 VMMap6. CLI 模式下最容易踩的坑7. 把内存问题从感受题变成证据题8. 建议沉淀成企业内部 SOP9. 一套可直接复用的采集模板10. 总结CLI 是 VMMap 走向规范化排障的关键一步1. 为什么要学 VMMap 命令行模式前面几篇 VMMap 学习笔记更多是在讲图形界面怎么用怎么打开进程、怎么看 Summary、怎么做快照、怎么对比时间线、怎么深入到内存区域里找字符串证据。这些能力适合现场分析但真实企业运维里还有另一个问题很多时候你根本没法坐在目标机器前慢慢点。比如生产服务器不允许随便 RDP目标进程只在夜间任务高峰时涨内存用户反馈“早上打开系统就很卡”但你白天登录进去时一切都正常。这个时候如果还依赖手工打开 VMMap就很被动。VMMap 的命令行模式解决的就是这个问题。它允许我们用脚本指定进程自动导出快照再把快照文件拿回分析机离线打开。GUI 适合分析CLI 适合留证GUI 解决“怎么看”CLI 解决“怎么稳定采集”。下面这张图展示的是 VMMap 命令行模式的整体定位通过无界面方式选择目标进程、分析内存、自动抓取并保存证据最终进入离线分析流程。从图中可以看出命令行模式不是为了取代 GUI而是为了把 VMMap 从“临时打开看看”升级成“自动化证据采集工具”。推荐把 VMMap CLI 用在慢性内存泄漏、夜间故障复现、远程服务器无界面采集和标准化工单取证场景中。但要注意VMMap CLI 不是万能监控服务。它适合间隔采样和快照留证不适合高频、长时间、无节制地压在生产进程上采集。2. VMMap CLI 能解决哪些实际问题命令行模式的价值不在于它看起来更“高级”而在于它能把很多不可控的现场变成可控流程。尤其是在企业桌面支持、服务器排障和应急响应里很多问题不是你想看就能看得到。第一类场景是夜间或长时间运行问题。比如某个服务白天刚启动时只有 600MB晚上批处理跑完变成 3GB第二天早上用户说系统卡死。如果没有定时快照你只能看到结果看不到过程。第二类场景是受控服务器。部分生产环境不允许普通运维人员 RDP 登录也不允许打开图形化工具。但如果有审批可以通过受控命令执行工具触发 VMMap CLI在目标机器本地生成快照文件。第三类场景是需要交付证据。只说“我看了一下内存很高”没什么价值能拿出 before.vmmap、after.vmmap、时间线记录和对比截图才是可以进入工单、复盘和研发定位的材料。第四类场景是批量对比。比如同一个服务部署在 10 台机器上只有其中两台持续膨胀。CLI 可以让我们在相同时间窗口抓取多台机器的快照再做横向对比找出异常节点。可以不方便发现内存异常是否能图形界面登录VMMap GUI 手工分析VMMap CLI 自动采集定时快照远程触发批量采样离线打开快照对比 before / after形成证据链这条流程的本质是把内存排查从“个人经验动作”变成“可复用流程”。如果你的目标是沉淀成企业内部 SOPCLI 是绕不过去的一步。3. VMMap CLI 的基本抓取方式VMMap 的命令行模式思路很简单指定目标进程然后把当前内存状态导出为快照文件。目标可以是 PID也可以是进程名。实际生产中我更建议用 PID因为进程名可能重复PID 才能明确锁定“到底是哪一只进程”。下面这张图展示的是最基础的抓取链路先确定目标 PID 或进程名再调用 VMMap 命令行最后输出 .vmmap 快照文件后续用于离线分析。从图中能看出整个流程只有三个动作锁定目标、执行命令、保存快照。这也是 VMMap CLI 最适合标准化的原因。它不像 GUI 操作那样依赖人手点选也不容易因为截图遗漏关键信息。典型命令可以按下面这种思路写vmmap.exe-accepteula 1234 C:\MemEvidence\OrderService_2026-05-20_1030.vmmap这里的 1234 是目标进程 PIDC:\MemEvidence\OrderService_2026-05-20_1030.vmmap 是输出文件路径。-accepteula 的作用是避免第一次运行时弹出许可协议窗口导致无人值守脚本卡住。如果你只知道进程名也可以这样写vmmap.exe-accepteula OrderService.exe C:\MemEvidence\OrderService_first.vmmap不过这里要说一句实话生产环境不建议只靠进程名抓取尤其是浏览器、Web Worker、Java、w3wp、node 这类多实例进程。同名进程太多时抓错对象会直接让后续结论失效。推荐做法是先用任务管理器、Get-Process、PsList 或业务端口映射确认 PID再让 VMMap CLI 按 PID 抓取。Get-ProcessOrderService|Select-ObjectId,ProcessName,StartTime,Path如果进程是服务进程还可以先确认服务对应的进程 IDGet-CimInstanceWin32_Service|Where-Object{$_.Name-eqOrderService}|Select-ObjectName,State,ProcessId,PathName4. 把 VMMap CLI 变成定时内存快照器很多内存泄漏不是几秒钟就能看出来的。真正麻烦的是慢性泄漏每次操作涨一点每 10 分钟涨一点跑到第二天早上才爆。对这种问题单次快照只能说明“当下状态”不能说明“增长过程”。所以我们需要用脚本定时采样。比如每 10 分钟抓一份 VMMap 快照连续抓 6 次就能覆盖 1 小时观察窗口。如果配合业务操作时间点记录就能判断到底是哪个任务、哪个功能、哪个时间段触发了增长。下面这张图展示的是定时内存快照器的思路PowerShell 或批处理按固定间隔执行 VMMap CLI输出带时间戳的快照文件并配合长期趋势观察。从图中能看出定时采样的关键不是“抓得越频繁越好”而是要有稳定节奏、统一命名和可长期保留。对慢性内存问题来说10 分钟一次、15 分钟一次往往比每秒刷新更有价值也更安全。下面是一段可直接改造的 PowerShell 采样模板param([Parameter(Mandatory$true)][int]$Pid,[string]$OutDirC:\MemEvidence,[int]$IntervalSeconds 600,[int]$Loops 6)New-Item-ItemType Directory-Path$OutDir-Force|Out-Nullfor($i 1;$i-le$Loops;$i){$stampGet-Date-Formatyyyy-MM-dd_HH-mm-ss$fileJoin-Path$OutDirvmmap_${Pid}_${stamp}.vmmapWrite-Host[$stamp] Capture VMMap snapshot: PID$Pid-$fileC:\Tools\VMMap\vmmap.exe-accepteula$Pid$fileStart-Sleep-Seconds$IntervalSeconds}这段脚本至少解决了三个现场问题第一快照文件有统一时间戳第二采样间隔可控第三后续可以把整个目录打包发给研发不需要一线人员理解 VMMap 界面。建议输出目录使用固定路径例如 C:\MemEvidence、D:\OpsEvidence\VMMap不要随手放桌面或系统根目录。不建议在生产核心服务上无限循环高频采样。VMMap 会读取目标进程内存布局虽然通常不会直接影响进程逻辑但仍然属于诊断动作应控制频率和观察窗口。5. 远程无界面抓取PsExec 联动 VMMap在企业环境里我们经常不能直接登录服务器桌面。即使能登录也不一定方便打开图形界面操作 VMMap。这时可以把 VMMap 放在目标机器固定目录里然后用 PsExec 远程触发命令行采集。这套方法的重点是VMMap 实际在目标机器本地运行快照也先生成在目标机器本地然后我们再通过管理共享或受控路径把文件拉回来。下面这张图展示的是远程无界面抓取流程管理机通过 PsExec 远程调用目标服务器上的 VMMap生成快照文件后再回传到管理端进行离线分析。从图中可以看出这种方式不依赖远程桌面也不需要现场人员打开 GUI。它更适合服务器、跳板机、受控生产环境和夜间值守场景。示例命令如下psexec \\WIN-SRV01 -u CORP\opsuser -p ******** ^ C:\Tools\VMMap\vmmap.exe -accepteula 1234 C:\Temp\OrderService_1030.vmmap抓取完成后可以通过管理共享把文件拉回管理机copy \\WIN-SRV01\C$\Temp\OrderService_1030.vmmap D:\Evidence\VMMap\如果要批量对多台机器执行可以先准备主机清单再逐台抓取$hostsGet-Content.\servers.txt$pid 1234foreach($hin$hosts){$stampGet-Date-Formatyyyy-MM-dd_HH-mm-ss$remoteFileC:\Temp\vmmap_${h}_${pid}_${stamp}.vmmap$localDirD:\Evidence\VMMap\$hNew-Item-ItemType Directory-Path$localDir-Force|Out-Nullpsexec\\$h-accepteula-nobanner C:\Tools\VMMap\vmmap.exe-accepteula$pid$remoteFileCopy-Item\\$h\C$\Temp\$(Split-Path$remoteFile-Leaf)$localDir-ErrorActionContinue}这里有一个关键现实问题不同服务器上同名服务的 PID 不一定相同。批量脚本不要偷懒硬写 PID最好先通过服务名查询 PID再抓取对应进程。$svcGet-CimInstanceWin32_Service-ComputerName WIN-SRV01|Where-Object{$_.Name-eqOrderService}$svc.ProcessId推荐远程抓取前先做三项检查目标机 ADMIN$ 可达、VMMap 路径存在、目标 PID 存在。不要在没有审批和告知的情况下对生产服务器批量执行 PsExec VMMap。它虽然是诊断行为但仍涉及远程执行和进程内存读取必须有留痕。6. CLI 模式下最容易踩的坑VMMap CLI 看起来简单但一旦放进企业自动化流程细节问题会非常多。下面这些坑都不是理论问题现场非常常见。第一个坑是 EULA。Sysinternals 工具第一次运行时经常会弹出许可协议。如果你在无人值守脚本里忘了处理它就会卡在后台脚本看起来像“无响应”。解决方式是提前在测试环境手工运行一次或者在命令中加入静默接受参数。第二个坑是权限。普通用户不一定有权限读取高权限服务进程、SYSTEM 进程或安全软件相关进程。遇到 Access Denied 时先确认 VMMap 是否以管理员身份运行远程执行时也要确认 PsExec 使用的是足够权限的账号。第三个坑是进程生命周期。某些进程一闪而过等你执行命令时已经退出。对这种短命进程不建议直接抓子进程而应抓宿主进程或者配合进程创建监控在 PID 出现时立即触发采集。第四个坑是输出目录。不要把快照随便丢到桌面、系统根目录或临时目录。生产环境里证据文件需要可追踪、可清理、可归档。问题现象常见原因处理建议脚本卡住不返回首次运行 EULA 弹窗增加-accepteula或提前初始化Access Denied权限不足 / 目标进程受保护管理员运行必要时使用受控高权限账号抓不到进程PID 错误 / 进程已退出采集前校验 PID短命进程考虑抓宿主快照散落难找输出路径不规范统一目录 时间戳命名 工单编号结论无法复盘只有快照没有时间线说明同时记录操作时间、业务动作、采样点建议每次采集都生成一个简单的 timeline 文本记录什么时候开始、什么时候操作、什么时候抓取 before / after 快照。$logC:\MemEvidence\mem_timeline.txt[$(Get-Date)] 开始采集 VMMap 快照目标 PID1234|Out-File$log-Append-Encoding utf87. 把内存问题从感受题变成证据题很多内存问题最开始都是“感受题”用户说越来越卡研发说复现不了运维说进程内存高领导问是不是重启能好。只靠这种描述很难推动真正修复。VMMap CLI 的真正价值就是把这种感受题变成证据题。你可以用 before / after 快照证明内存确实增长用时间线证明不是瞬时波动用离线分析证明增长发生在哪一类内存上。下面这张图展示的是证据链流程before 快照、after 快照、时间线日志、离线分析最终形成趋势对比和问题复现依据。从图中可以看出证据链不是单个截图而是多个材料组合起来。before / after 说明变化timeline 说明过程离线分析说明方向最后才能形成可信结论。一个合格的 VMMap CLI 证据包建议至少包含以下内容材料作用before.vmmap问题发生前的内存基线after.vmmap问题发生后的内存状态peak.vmmap内存最高点或卡顿最明显时的状态mem_timeline.txt记录业务动作、采样时间、用户反馈时间对比截图说明 Heap / Stack / Mapped File 哪一类在涨简短结论说明谁在涨、涨了多少、是否持续、影响是什么可以直接采用这样的结论口径在 10:00 至 11:00 的观察窗口内目标进程私有内存持续增长VMMap 快照显示 Heap / Private Data 从 820MB 增长到 1.46GB期间未出现明显回落。结合业务操作时间线增长集中发生在批量导出功能执行后初步判断为用户态对象缓存未释放或导出模块存在内存保留问题。这段话比“用户说卡”“服务内存高”强很多。它有时间、有数据、有趋势、有方向研发就算暂时不能立刻修也知道要从哪里看。8. 建议沉淀成企业内部 SOP如果你只是偶尔用一次 VMMap CLI那它只是一个技巧。如果你把它沉淀成 SOP它就会变成团队能力。尤其对企业桌面支持、服务器运维、SRE 和安全响应来说标准采集流程比个人经验更可靠。建议把 SOP 拆成五步确认目标、采集基线、复现问题、采集结果、打包证据。确认目标进程 PID采集 before 快照执行业务复现动作采集 after / peak 快照记录 mem_timeline离线打开 VMMap 分析输出结论与证据包每一步都要留痕。比如确认 PID 时保留 Get-Process 或服务查询结果采集快照时保留命令输出复现问题时记录业务动作分析时保留截图和结论。推荐把 VMMap CLI、PsExec、日志记录脚本统一放在一个受控工具目录中例如 C:\Ops\Tools并配合 README 写清楚使用条件、权限要求和输出路径。不要让每个工程师都临时改一份脚本。临时脚本越多越难保证证据质量也越难做安全审计。9. 一套可直接复用的采集模板下面这段脚本更接近实际可落地版本。它会创建证据目录、记录时间线、抓取 before 快照、等待用户复现再抓取 after 快照。你可以把它交给一线同事或夜班值守人员执行。param([Parameter(Mandatory$true)][int]$Pid,[string]$VmmapPathC:\Tools\VMMap\vmmap.exe,[string]$EvidenceRootC:\MemEvidence)$stampGet-Date-FormatyyyyMMdd_HHmmss$caseDirJoin-Path$EvidenceRootVMMap_$Pid_$stampNew-Item-ItemType Directory-Path$caseDir-Force|Out-Null$timelineJoin-Path$caseDirmem_timeline.txtfunctionWrite-TimeLine{param([string]$Message)[$(Get-Date-Formatyyyy-MM-dd HH:mm:ss)]$Message|Out-File$timeline-Append-Encoding utf8}Write-TimeLine开始 VMMap CLI 采集目标 PID$Pid$beforeJoin-Path$caseDirsnapshot_before.vmmapWrite-TimeLine采集 before 快照$before$VmmapPath-accepteula$Pid$beforeWrite-Host请现在执行复现动作例如导出报表、跑批、打开问题功能。Read-Host复现完成后按 Enter 继续采集 after 快照$afterJoin-Path$caseDirsnapshot_after.vmmapWrite-TimeLine采集 after 快照$after$VmmapPath-accepteula$Pid$afterWrite-TimeLine采集结束证据目录$caseDirWrite-Host采集完成请打包目录-ForegroundColor GreenWrite-Host$caseDir这段脚本的好处是非常明确一线人员只需要知道 PID然后按提示执行即可。输出目录里既有快照也有时间线记录。你拿到目录后就可以在自己的分析机上打开 VMMap 做离线分析。如果要做定时采样可以把 before / after 改成循环采集模式如果要做远程采集可以用 PsExec 在目标机本地执行这段脚本再把证据目录拷回来。10. 总结CLI 是 VMMap 走向规范化排障的关键一步VMMap 的 GUI 让我们看懂内存CLI 让我们稳定采集内存证据。这两个能力结合起来才是真正适合企业运维现场的使用方式。这篇文章最重要的结论是**命令行版 VMMap 规范采集流程 把内存问题从主观感受变成客观证据。**当你能用脚本每隔一段时间抓取快照能远程无界面触发采集能把 before / after / timeline 打包给研发你就不再只是“发现问题的人”而是在交付一个可复现、可分析、可追踪的问题证据包。推荐最终落地方式固定 VMMap 工具目录、固定证据输出目录、固定脚本模板、固定命名规范、固定分析口径。不要把 VMMap CLI 当成随手运行的小命令。它读取的是进程内存布局涉及性能、权限和证据管理生产环境必须按诊断动作留痕。真正成熟的排障不是“我打开工具看了一眼”而是能说清楚什么时候采的、采了哪个进程、采到什么文件、增长发生在哪里、结论能不能复盘。VMMap CLI 正是把这些问题回答清楚的工具。 返回顶部点击回到顶部