KAPE (Kroll Artifact Parser and Extractor)
¿Qué es KAPE (Kroll Artifact Parser and Extractor)?
KAPE (Kroll Artifact Parser and Extractor)Herramienta de triaje para Windows creada por Kroll que recolecta artefactos forenses de sistemas vivos o imagenes y ejecuta modulos parseadores para producir salida lista para revision.
KAPE, desarrollado por Eric Zimmerman en Kroll, es un framework de triaje gratuito para DFIR en Windows. Utiliza dos bibliotecas extensibles: Targets describe que artefactos forenses copiar (Prefetch, ramas del registro, registros de eventos, $MFT, historial del navegador, etc.) y Modules describe como parsearlos con herramientas externas como EZ Tools o Volatility. El analista ejecuta KAPE contra un endpoint en vivo, una imagen montada o una shadow copy para recolectar datos en minutos en lugar de horas, preservando marcas de tiempo y rutas de origen. La salida puede ser CSV, JSON o formatos compatibles con Timeline Explorer y Elastic. KAPE se ha vuelto estandar en los playbooks de respuesta a intrusiones.
● Ejemplos
- 01
Ejecutar `kape.exe --tsource C: --tdest D:\Triage --target KapeTriage` para recolectar artefactos basicos.
- 02
Encadenar Targets con `--module !EZParser` para obtener CSV parseados en una sola pasada.
● Preguntas frecuentes
¿Qué es KAPE (Kroll Artifact Parser and Extractor)?
Herramienta de triaje para Windows creada por Kroll que recolecta artefactos forenses de sistemas vivos o imagenes y ejecuta modulos parseadores para producir salida lista para revision. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa KAPE (Kroll Artifact Parser and Extractor)?
Herramienta de triaje para Windows creada por Kroll que recolecta artefactos forenses de sistemas vivos o imagenes y ejecuta modulos parseadores para producir salida lista para revision.
¿Cómo funciona KAPE (Kroll Artifact Parser and Extractor)?
KAPE, desarrollado por Eric Zimmerman en Kroll, es un framework de triaje gratuito para DFIR en Windows. Utiliza dos bibliotecas extensibles: Targets describe que artefactos forenses copiar (Prefetch, ramas del registro, registros de eventos, $MFT, historial del navegador, etc.) y Modules describe como parsearlos con herramientas externas como EZ Tools o Volatility. El analista ejecuta KAPE contra un endpoint en vivo, una imagen montada o una shadow copy para recolectar datos en minutos en lugar de horas, preservando marcas de tiempo y rutas de origen. La salida puede ser CSV, JSON o formatos compatibles con Timeline Explorer y Elastic. KAPE se ha vuelto estandar en los playbooks de respuesta a intrusiones.
¿Cómo defenderse de KAPE (Kroll Artifact Parser and Extractor)?
Las defensas contra KAPE (Kroll Artifact Parser and Extractor) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para KAPE (Kroll Artifact Parser and Extractor)?
Nombres alternativos comunes: Kroll Artifact Parser and Extractor.
● Términos relacionados
- forensics-ir№ 388
EZ Tools de Eric Zimmerman
Suite gratuita de herramientas DFIR para Windows, de linea de comandos e interfaz grafica, creada por Eric Zimmerman para parsear artefactos forenses y construir cronologias.
- forensics-ir№ 644
Magnet AXIOM
Plataforma comercial DFIR de Magnet Forensics que ingiere discos, fuentes moviles y en la nube, parsea artefactos y los presenta en una interfaz unica de revision.
- forensics-ir№ 366
Formato de imagen E01 (EnCase)
Formato de imagen forense introducido por Guidance Software para EnCase que almacena la copia adquirida en archivos segmentados y comprimidos con metadatos y sumas de verificacion.
- forensics-ir№ 289
dd (imagen de disco en bruto)
Copia bit a bit y plana de un dispositivo de almacenamiento producida por la utilidad Unix dd (o herramientas compatibles), sin compresion, metadatos ni hashes por bloque.
- forensics-ir№ 162
Cadena de custodia
Registro cronológico y documentado de cada persona, ubicación y acción que afecta una evidencia desde su incautación hasta su disposición final.
● Véase también
- № 153Cellebrite UFED
- № 450GrayKey