Введение

Мы рассмотрели KAPE как инструмент компьютерной криминалистики, позволяющий извлекать криминалистические артефакты и обрабатывать их для криминалистического расследования.

Kroll Artifact Parser and Extractor (KAPE) анализирует и извлекает криминалистические артефакты Windows. Это инструмент, который может значительно сократить время, необходимое для реагирования на инцидент, путем предоставления аналитических артефактов из работающей системы или устройства хранения данных намного раньше, чем завершится процесс создания образа.

KAPE служит двум основным целям: 1) собирать файлы и 2) обрабатывать собранные файлы в соответствии с предоставленными опциями. Для достижения этих целей KAPE использует концепцию целей и модулей. Цели можно определить как судебно-медицинские артефакты, которые необходимо собрать. Модули — это программы, которые обрабатывают собранные артефакты и извлекают из них информацию. О них мы узнаем в ближайших заданиях.

Получите заметки по компьютерной криминалистике

Ответы на вызов

Какой двоичный файл используется для запуска версии KAPE с графическим интерфейсом?
Какое расширение файла у KAPE Цели?
Какой тип Цель будем ли мы использовать, если хотим собрать несколько артефактов с помощью одной команды?
Какое расширение у файла Модули файлы?

Как называется каталог, в котором хранятся бинарные файлы, которые могут отсутствовать в типичной системе, но необходимы для конкретного модуля KAPE?

На предпоследнем скриншоте выше, какую цель мы выбрали для сбора?

На предпоследнем скриншоте выше какой модуль мы выбрали для обработки?

Какой параметр необходимо выбрать, чтобы добавить информацию о дате и времени к имени папки сортировки?

Какой параметр необходимо выбрать, чтобы добавить информацию о машине к имени папки сортировки?

Запустите команду капе.exe в приподнятой оболочке. Взгляните на различные переключатели и переменные. Какая переменная добавляет метку времени сбора в целевой пункт назначения?

Какая переменная добавляет информацию о машине в целевой пункт назначения?

Какой переключатель можно использовать для отображения отладочной информации во время обработки?

Какой переключатель используется для вывода списка всех доступных целей?

Какой флаг при использовании в пакетном режиме удалит файлы _kape.cli, Targets и Modules после завершения выполнения?

К этой виртуальной машине были подключены два USB-устройства массовой памяти. У одного был серийный номер 0123456789ABCDE. Каков серийный номер другого USB-устройства?

7zip, Google Chrome и Mozilla Firefox были установлены с сетевого диска на виртуальной машине. Какова была буква диска и путь к каталогу, из которого было установлено это программное обеспечение?

Какова дата и время выполнения CHROMESETUP.EXE в формате ММ/ДД/ГГГГ ЧЧ:ММ?

Какой поисковый запрос был выполнен в системе?

Когда впервые была подключена сеть под названием «Сеть 3»?

КАПЭ был скопирован со съемного диска. Можете ли вы узнать, какая буква была у того диска, с которого был скопирован KAPE?

Видео прохождение

об авторе

Я создаю заметки по кибербезопасности, заметки по цифровому маркетингу и онлайн-курсы. Я также предоставляю консультации по цифровому маркетингу, включая, помимо прочего, SEO, Google и мета-рекламу, а также администрирование CRM.

Посмотреть статьи