Introducción

Cubrimos KAPE como una herramienta informática forense para extraer artefactos forenses y procesarlos para la investigación forense.

Kroll Artifact Parser and Extractor (KAPE) analiza y extrae artefactos forenses de Windows. Es una herramienta que puede reducir significativamente el tiempo necesario para responder a un incidente al proporcionar artefactos forenses de un sistema activo o un dispositivo de almacenamiento mucho antes de que se complete el proceso de generación de imágenes.

KAPE tiene dos propósitos principales: 1) recopilar archivos y 2) procesar los archivos recopilados según las opciones proporcionadas. Para lograr estos propósitos, KAPE utiliza el concepto de objetivos y módulos. Los objetivos pueden definirse como los artefactos forenses que deben recolectarse. Los módulos son programas que procesan los artefactos recopilados y extraen información de ellos. Aprenderemos sobre ellos en las próximas tareas.

Obtenga notas de informática forense

Respuestas al desafío

¿Qué binario se utiliza para ejecutar la versión GUI de KAPE?
¿Cuál es la extensión de archivo de KAPE? Objetivos?
Que tipo de Objetivo ¿Usaremos si queremos recolectar múltiples artefactos con un solo comando?
¿Cuál es la extensión del archivo del Módulos archivos?

¿Cuál es el nombre del directorio donde se almacenan los archivos binarios, que pueden no estar presentes en un sistema típico, pero que son necesarios para un módulo KAPE en particular?

En la penúltima captura de pantalla anterior, ¿qué objetivo hemos seleccionado para la recopilación?

En la penúltima captura de pantalla anterior, ¿qué módulo hemos seleccionado para procesar?

¿Qué opción se debe marcar para agregar información de fecha y hora al nombre de la carpeta de clasificación?

¿Qué opción se debe marcar para agregar información de la máquina al nombre de la carpeta de clasificación?

Ejecute el comando kape.exe en un caparazón elevado. Eche un vistazo a los diferentes interruptores y variables. ¿Qué variable agrega la marca de tiempo de recopilación al destino de destino?

¿Qué variable agrega la información de la máquina al destino de destino?

¿Qué modificador se puede utilizar para mostrar información de depuración durante el procesamiento?

¿Qué interruptor se utiliza para enumerar todos los objetivos disponibles?

¿Qué indicador, cuando se usa con el modo por lotes, eliminará los archivos _kape.cli, objetivos y módulos una vez completada la ejecución?

Se conectaron dos dispositivos de almacenamiento masivo USB a esta máquina virtual. Uno tenía el número de serie 0123456789ABCDE. ¿Cuál es el número de serie del otro dispositivo USB?

7zip, Google Chrome y Mozilla Firefox se instalaron desde una ubicación de unidad de red en la máquina virtual. ¿Cuál era la letra de unidad y la ruta del directorio desde donde se instaló este software?

¿Cuál es la fecha y hora de ejecución de CHROMESETUP.EXE en MM/DD/AAAA HH:MM?

¿Qué consulta de búsqueda se ejecutó en el sistema?

¿Cuándo se conectó por primera vez la red denominada Red 3?

KAPE se copió desde una unidad extraíble. ¿Puedes averiguar cuál era la letra de la unidad desde donde se copió KAPE?

Tutorial en vídeo

, , ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos