Einführung
Wir haben KAPE als Computerforensik-Tool behandelt, um forensische Artefakte zu extrahieren und für forensische Untersuchungen zu verarbeiten.
Kroll Artifact Parser and Extractor (KAPE) analysiert und extrahiert forensische Artefakte von Windows. Dieses Tool kann die Reaktionszeit bei einem Vorfall erheblich verkürzen, indem es forensische Artefakte von einem Live-System oder einem Speichergerät bereitstellt, und zwar viel früher als der Imaging-Prozess abgeschlossen ist.
KAPE dient zwei Hauptzwecken: 1) Dateien sammeln und 2) die gesammelten Dateien gemäß den bereitgestellten Optionen verarbeiten. Um diese Zwecke zu erreichen, verwendet KAPE das Konzept von Zielen und Modulen. Ziele können als forensische Artefakte definiert werden, die gesammelt werden müssen. Module sind Programme, die die gesammelten Artefakte verarbeiten und Informationen daraus extrahieren. Wir werden in den nächsten Aufgaben mehr darüber erfahren.
Notizen zur Computerforensik abrufen
Antworten auf die Herausforderungen
Ziele
?Ziel
verwenden wir, wenn wir mehrere Artefakte mit einem einzigen Befehl sammeln möchten?Module
Dateien?Wie heißt das Verzeichnis, in dem Binärdateien gespeichert werden, die auf einem typischen System möglicherweise nicht vorhanden sind, aber für ein bestimmtes KAPE-Modul benötigt werden?
Welches Modul haben wir im vorletzten Screenshot oben zur Verarbeitung ausgewählt?
Welche Option muss aktiviert werden, um Datums- und Zeitinformationen an den Triage-Ordnernamen anzuhängen?
Welche Option muss aktiviert werden, um dem Triage-Ordnernamen Maschineninformationen hinzuzufügen?
Herunterladen
in einer Shell mit erhöhten Rechten. Sehen Sie sich die verschiedenen Schalter und Variablen an. Welche Variable fügt den Sammlungszeitstempel zum Zielort hinzu?Welche Variable fügt die Maschineninformationen zum Zielort hinzu?
Mit welchem Schalter können während der Verarbeitung Debuginformationen angezeigt werden?
Welcher Schalter wird verwendet, um alle verfügbaren Ziele aufzulisten?
Welches Flag löscht bei Verwendung im Batchmodus die Dateien _kape.cli, Ziele und Module, nachdem die Ausführung abgeschlossen ist?
7zip, Google Chrome und Mozilla Firefox wurden von einem Netzlaufwerk auf der virtuellen Maschine installiert. Wie lauteten Laufwerksbuchstabe und Pfad des Verzeichnisses, aus dem diese Software installiert wurde?
Was sind das Ausführungsdatum und die Ausführungszeit von CHROMESETUP.EXE im Format TT.MM.JJJJ HH:MM?
Welche Suchanfrage wurde auf dem System ausgeführt?
Wann wurde das Netzwerk mit dem Namen Netzwerk 3 erstmals verbunden?
KAPE wurde von einem Wechseldatenträger kopiert. Können Sie den Laufwerksbuchstaben des Laufwerks herausfinden, von dem KAPE kopiert wurde?