Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 649

KAPE (Kroll Artifact Parser and Extractor)

Revisado porCybersecurity entrepreneur & security researcher

O que é KAPE (Kroll Artifact Parser and Extractor)?

KAPE (Kroll Artifact Parser and Extractor)Ferramenta de triagem para Windows da Kroll que coleta artefatos forenses de sistemas em execucao ou de imagens e executa modulos parseadores para gerar saida pronta para analise.


O KAPE, escrito por Eric Zimmerman na Kroll, e um framework gratuito de triagem para DFIR em Windows. Usa duas bibliotecas extensiveis: Targets descreve quais artefatos forenses copiar (Prefetch, hives do registro, logs de eventos, $MFT, historico de navegadores, etc.) e Modules descreve como parsea-los com ferramentas de terceiros como as EZ Tools ou Volatility. O analista executa o KAPE em um endpoint ativo, em uma imagem montada ou em uma shadow copy para coletar dados em minutos em vez de horas, preservando timestamps e caminhos de origem. A saida pode ser CSV, JSON ou formatos consumiveis pelo Timeline Explorer e Elastic. O KAPE virou padrao em playbooks de resposta a intrusoes.

Exemplos

  1. 01

    Executar `kape.exe --tsource C: --tdest D:\Triage --target KapeTriage` para coletar artefatos basicos.

  2. 02

    Encadear Targets com `--module !EZParser` para produzir CSV parseado em uma unica execucao.

Perguntas frequentes

O que é KAPE (Kroll Artifact Parser and Extractor)?

Ferramenta de triagem para Windows da Kroll que coleta artefatos forenses de sistemas em execucao ou de imagens e executa modulos parseadores para gerar saida pronta para analise. Pertence à categoria Forense e resposta da cibersegurança.

O que significa KAPE (Kroll Artifact Parser and Extractor)?

Ferramenta de triagem para Windows da Kroll que coleta artefatos forenses de sistemas em execucao ou de imagens e executa modulos parseadores para gerar saida pronta para analise.

Como se defender contra KAPE (Kroll Artifact Parser and Extractor)?

As defesas contra KAPE (Kroll Artifact Parser and Extractor) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Quais são outros nomes para KAPE (Kroll Artifact Parser and Extractor)?

Nomes alternativos comuns: Kroll Artifact Parser and Extractor.

Termos relacionados

Ver também