Einführung

Wir haben KAPE als Computerforensik-Tool behandelt, um forensische Artefakte zu extrahieren und für forensische Untersuchungen zu verarbeiten.

Kroll Artifact Parser and Extractor (KAPE) analysiert und extrahiert forensische Artefakte von Windows. Dieses Tool kann die Reaktionszeit bei einem Vorfall erheblich verkürzen, indem es forensische Artefakte von einem Live-System oder einem Speichergerät bereitstellt, und zwar viel früher als der Imaging-Prozess abgeschlossen ist.

KAPE dient zwei Hauptzwecken: 1) Dateien sammeln und 2) die gesammelten Dateien gemäß den bereitgestellten Optionen verarbeiten. Um diese Zwecke zu erreichen, verwendet KAPE das Konzept von Zielen und Modulen. Ziele können als forensische Artefakte definiert werden, die gesammelt werden müssen. Module sind Programme, die die gesammelten Artefakte verarbeiten und Informationen daraus extrahieren. Wir werden in den nächsten Aufgaben mehr darüber erfahren.

Notizen zur Computerforensik abrufen

Antworten auf die Herausforderungen

Welche Binärdatei wird zum Ausführen der GUI-Version von KAPE verwendet?
Was ist die Dateierweiterung für KAPE Ziele?
Welche Art von Ziel verwenden wir, wenn wir mehrere Artefakte mit einem einzigen Befehl sammeln möchten?
Wie lautet die Dateierweiterung der Module Dateien?

Wie heißt das Verzeichnis, in dem Binärdateien gespeichert werden, die auf einem typischen System möglicherweise nicht vorhanden sind, aber für ein bestimmtes KAPE-Modul benötigt werden?

Welches Ziel haben wir im vorletzten Screenshot oben zur Sammlung ausgewählt?

Welches Modul haben wir im vorletzten Screenshot oben zur Verarbeitung ausgewählt?

Welche Option muss aktiviert werden, um Datums- und Zeitinformationen an den Triage-Ordnernamen anzuhängen?

Welche Option muss aktiviert werden, um dem Triage-Ordnernamen Maschineninformationen hinzuzufügen?

Führen Sie den Befehl aus Herunterladen in einer Shell mit erhöhten Rechten. Sehen Sie sich die verschiedenen Schalter und Variablen an. Welche Variable fügt den Sammlungszeitstempel zum Zielort hinzu?

Welche Variable fügt die Maschineninformationen zum Zielort hinzu?

Mit welchem Schalter können während der Verarbeitung Debuginformationen angezeigt werden?

Welcher Schalter wird verwendet, um alle verfügbaren Ziele aufzulisten?

Welches Flag löscht bei Verwendung im Batchmodus die Dateien _kape.cli, Ziele und Module, nachdem die Ausführung abgeschlossen ist?

An diese virtuelle Maschine wurden zwei USB-Massenspeichergeräte angeschlossen. Eines hatte die Seriennummer 0123456789ABCDE. Wie lautet die Seriennummer des anderen USB-Geräts?

7zip, Google Chrome und Mozilla Firefox wurden von einem Netzlaufwerk auf der virtuellen Maschine installiert. Wie lauteten Laufwerksbuchstabe und Pfad des Verzeichnisses, aus dem diese Software installiert wurde?

Was sind das Ausführungsdatum und die Ausführungszeit von CHROMESETUP.EXE im Format TT.MM.JJJJ HH:MM?

Welche Suchanfrage wurde auf dem System ausgeführt?

Wann wurde das Netzwerk mit dem Namen Netzwerk 3 erstmals verbunden?

KAPE wurde von einem Wechseldatenträger kopiert. Können Sie den Laufwerksbuchstaben des Laufwerks herausfinden, von dem KAPE kopiert wurde?

Video-Komplettlösung

, , ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen