Introducción
Cubrimos KAPE como una herramienta informática forense para extraer artefactos forenses y procesarlos para la investigación forense.
Kroll Artifact Parser and Extractor (KAPE) analiza y extrae artefactos forenses de Windows. Es una herramienta que puede reducir significativamente el tiempo necesario para responder a un incidente al proporcionar artefactos forenses de un sistema activo o un dispositivo de almacenamiento mucho antes de que se complete el proceso de generación de imágenes.
KAPE tiene dos propósitos principales: 1) recopilar archivos y 2) procesar los archivos recopilados según las opciones proporcionadas. Para lograr estos propósitos, KAPE utiliza el concepto de objetivos y módulos. Los objetivos pueden definirse como los artefactos forenses que deben recolectarse. Los módulos son programas que procesan los artefactos recopilados y extraen información de ellos. Aprenderemos sobre ellos en las próximas tareas.
Obtenga notas de informática forense
Respuestas al desafío
Objetivos
?Objetivo
¿Usaremos si queremos recolectar múltiples artefactos con un solo comando?Módulos
archivos?¿Cuál es el nombre del directorio donde se almacenan los archivos binarios, que pueden no estar presentes en un sistema típico, pero que son necesarios para un módulo KAPE en particular?
En la penúltima captura de pantalla anterior, ¿qué módulo hemos seleccionado para procesar?
¿Qué opción se debe marcar para agregar información de fecha y hora al nombre de la carpeta de clasificación?
¿Qué opción se debe marcar para agregar información de la máquina al nombre de la carpeta de clasificación?
kape.exe
en un caparazón elevado. Eche un vistazo a los diferentes interruptores y variables. ¿Qué variable agrega la marca de tiempo de recopilación al destino de destino?¿Qué variable agrega la información de la máquina al destino de destino?
¿Qué modificador se puede utilizar para mostrar información de depuración durante el procesamiento?
¿Qué interruptor se utiliza para enumerar todos los objetivos disponibles?
¿Qué indicador, cuando se usa con el modo por lotes, eliminará los archivos _kape.cli, objetivos y módulos una vez completada la ejecución?
7zip, Google Chrome y Mozilla Firefox se instalaron desde una ubicación de unidad de red en la máquina virtual. ¿Cuál era la letra de unidad y la ruta del directorio desde donde se instaló este software?
¿Cuál es la fecha y hora de ejecución de CHROMESETUP.EXE en MM/DD/AAAA HH:MM?
¿Qué consulta de búsqueda se ejecutó en el sistema?
¿Cuándo se conectó por primera vez la red denominada Red 3?
KAPE se copió desde una unidad extraíble. ¿Puedes averiguar cuál era la letra de la unidad desde donde se copió KAPE?