introduzione

Abbiamo trattato KAPE come strumento informatico forense per estrarre artefatti forensi ed elaborarli per indagini forensi.

Kroll Artifact Parser and Extractor (KAPE) analizza ed estrae gli artefatti forensi di Windows. È uno strumento che può ridurre significativamente il tempo necessario per rispondere a un incidente fornendo artefatti forensi da un sistema attivo o da un dispositivo di archiviazione molto prima del completamento del processo di imaging.

KAPE ha due scopi principali: 1) raccogliere file e 2) elaborare i file raccolti secondo le opzioni fornite. Per raggiungere questi scopi, KAPE utilizza il concetto di obiettivi e moduli. Gli obiettivi possono essere definiti come gli artefatti forensi che devono essere raccolti. I moduli sono programmi che elaborano gli artefatti raccolti ed estraggono informazioni da essi. Li impareremo nei prossimi compiti.

Ottieni appunti di informatica forense

Risposte alle sfide

Quale binario viene utilizzato per eseguire la versione GUI di KAPE?
Qual è l'estensione del file KAPE Obiettivi?
Che tipo di Bersaglio utilizzeremo se vogliamo raccogliere più artefatti con un singolo comando?
Qual è l'estensione del file Moduli File?

Qual è il nome della directory in cui sono archiviati i file binari, che potrebbero non essere presenti su un sistema tipico, ma sono richiesti per un particolare modulo KAPE?

Nel penultimo screenshot qui sopra, quale target abbiamo selezionato per la raccolta?

Nel penultimo screenshot qui sopra, quale modulo abbiamo selezionato per l'elaborazione?

Quale opzione deve essere selezionata per aggiungere le informazioni su data e ora al nome della cartella di valutazione?

Quale opzione deve essere selezionata per aggiungere informazioni sulla macchina al nome della cartella di triage?

Esegui il comando kape.exe in un guscio elevato. Dai un'occhiata ai diversi interruttori e variabili. Quale variabile aggiunge il timestamp della raccolta alla destinazione di destinazione?

Quale variabile aggiunge le informazioni sulla macchina alla destinazione di destinazione?

Quale interruttore può essere utilizzato per mostrare le informazioni di debug durante l'elaborazione?

Quale interruttore viene utilizzato per elencare tutti i target disponibili?

Quale flag, se utilizzato con la modalità batch, eliminerà i file _kape.cli, target e moduli al termine dell'esecuzione?

Due dispositivi di archiviazione di massa USB sono stati collegati a questa macchina virtuale. Uno aveva un numero di serie 0123456789ABCDE. Qual è il numero di serie dell'altro dispositivo USB?

7zip, Google Chrome e Mozilla Firefox sono stati installati da una posizione dell'unità di rete sulla macchina virtuale. Qual era la lettera dell'unità e il percorso della directory da cui sono stati installati questi software?

Qual è la data e l'ora di esecuzione di CHROMESETUP.EXE nel formato MM/GG/AAAA HH:MM?

Quale query di ricerca è stata eseguita sul sistema?

Quando è stata collegata per la prima volta la rete denominata Rete 3?

KAPE è stato copiato da un'unità rimovibile. Riesci a scoprire qual era la lettera dell'unità da cui è stato copiato KAPE?

Videoprocedura dettagliata

, , ,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli