Introduction

Nous avons couvert KAPE en tant qu'outil informatique d'investigation permettant d'extraire des artefacts médico-légaux et de les traiter pour une enquête médico-légale.

Kroll Artifact Parser and Extractor (KAPE) analyse et extrait les artefacts médico-légaux de Windows. Il s'agit d'un outil qui peut réduire considérablement le temps nécessaire pour répondre à un incident en fournissant des artefacts médico-légaux provenant d'un système actif ou d'un périphérique de stockage bien avant la fin du processus d'imagerie.

KAPE répond à deux objectifs principaux : 1) collecter des fichiers et 2) traiter les fichiers collectés selon les options fournies. Pour atteindre ces objectifs, KAPE utilise le concept de cibles et de modules. Les cibles peuvent être définies comme les artefacts médico-légaux qui doivent être collectés. Les modules sont des programmes qui traitent les artefacts collectés et en extraient des informations. Nous en apprendrons plus à leur sujet dans les tâches à venir.

Obtenir des notes d'investigation informatique

Réponses au défi

Quel binaire est utilisé pour exécuter la version GUI de KAPE ?
Quelle est l'extension de fichier pour KAPE Cibles?
Quel type de Cible allons-nous utiliser si nous voulons collecter plusieurs artefacts avec une seule commande ?
Quelle est l'extension de fichier du Modules des dossiers?

Quel est le nom du répertoire dans lequel sont stockés les fichiers binaires, qui peuvent ne pas être présents sur un système typique, mais sont requis pour un module KAPE particulier ?

Dans l’avant-dernière capture d’écran ci-dessus, quelle cible avons-nous sélectionnée pour la collecte ?

Dans l’avant-dernière capture d’écran ci-dessus, quel module avons-nous sélectionné pour le traitement ?

Quelle option doit être cochée pour ajouter les informations de date et d'heure au nom du dossier de tri ?

Quelle option doit être cochée pour ajouter des informations sur la machine au nom du dossier de triage ?

Exécutez la commande kape.exe dans une coque surélevée. Jetez un œil aux différents commutateurs et variables. Quelle variable ajoute l'horodatage de la collecte à la destination cible ?

Quelle variable ajoute les informations sur la machine à la destination cible ?

Quel commutateur peut être utilisé pour afficher les informations de débogage pendant le traitement ?

Quel commutateur est utilisé pour lister toutes les cibles disponibles ?

Quel indicateur, lorsqu'il est utilisé en mode batch, supprimera les fichiers _kape.cli, cibles et modules une fois l'exécution terminée ?

Deux périphériques de stockage de masse USB étaient connectés à cette machine virtuelle. L’un d’entre eux portait le numéro de série 0123456789ABCDE. Quel est le numéro de série de l'autre périphérique USB ?

7zip, Google Chrome et Mozilla Firefox ont été installés à partir d'un emplacement de lecteur réseau sur la machine virtuelle. Quelle était la lettre de lecteur et le chemin du répertoire à partir duquel ces logiciels ont été installés ?

Quelle est la date et l'heure d'exécution de CHROMESETUP.EXE en MM/JJ/AAAA HH:MM ?

Quelle requête de recherche a été exécutée sur le système ?

À quelle date le réseau nommé Network 3 a-t-il été connecté pour la première fois ?

KAPE a été copié à partir d'un lecteur amovible. Pouvez-vous découvrir quelle était la lettre du lecteur à partir duquel KAPE a été copié ?

Vidéo pas à pas

, , ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles