KAPE (Kroll Artifact Parser and Extractor)
O que é KAPE (Kroll Artifact Parser and Extractor)?
KAPE (Kroll Artifact Parser and Extractor)Ferramenta de triagem para Windows da Kroll que coleta artefatos forenses de sistemas em execucao ou de imagens e executa modulos parseadores para gerar saida pronta para analise.
O KAPE, escrito por Eric Zimmerman na Kroll, e um framework gratuito de triagem para DFIR em Windows. Usa duas bibliotecas extensiveis: Targets descreve quais artefatos forenses copiar (Prefetch, hives do registro, logs de eventos, $MFT, historico de navegadores, etc.) e Modules descreve como parsea-los com ferramentas de terceiros como as EZ Tools ou Volatility. O analista executa o KAPE em um endpoint ativo, em uma imagem montada ou em uma shadow copy para coletar dados em minutos em vez de horas, preservando timestamps e caminhos de origem. A saida pode ser CSV, JSON ou formatos consumiveis pelo Timeline Explorer e Elastic. O KAPE virou padrao em playbooks de resposta a intrusoes.
● Exemplos
- 01
Executar `kape.exe --tsource C: --tdest D:\Triage --target KapeTriage` para coletar artefatos basicos.
- 02
Encadear Targets com `--module !EZParser` para produzir CSV parseado em uma unica execucao.
● Perguntas frequentes
O que é KAPE (Kroll Artifact Parser and Extractor)?
Ferramenta de triagem para Windows da Kroll que coleta artefatos forenses de sistemas em execucao ou de imagens e executa modulos parseadores para gerar saida pronta para analise. Pertence à categoria Forense e resposta da cibersegurança.
O que significa KAPE (Kroll Artifact Parser and Extractor)?
Ferramenta de triagem para Windows da Kroll que coleta artefatos forenses de sistemas em execucao ou de imagens e executa modulos parseadores para gerar saida pronta para analise.
Como funciona KAPE (Kroll Artifact Parser and Extractor)?
O KAPE, escrito por Eric Zimmerman na Kroll, e um framework gratuito de triagem para DFIR em Windows. Usa duas bibliotecas extensiveis: Targets descreve quais artefatos forenses copiar (Prefetch, hives do registro, logs de eventos, $MFT, historico de navegadores, etc.) e Modules descreve como parsea-los com ferramentas de terceiros como as EZ Tools ou Volatility. O analista executa o KAPE em um endpoint ativo, em uma imagem montada ou em uma shadow copy para coletar dados em minutos em vez de horas, preservando timestamps e caminhos de origem. A saida pode ser CSV, JSON ou formatos consumiveis pelo Timeline Explorer e Elastic. O KAPE virou padrao em playbooks de resposta a intrusoes.
Como se defender contra KAPE (Kroll Artifact Parser and Extractor)?
As defesas contra KAPE (Kroll Artifact Parser and Extractor) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para KAPE (Kroll Artifact Parser and Extractor)?
Nomes alternativos comuns: Kroll Artifact Parser and Extractor.
● Termos relacionados
- forensics-ir№ 388
EZ Tools de Eric Zimmerman
Conjunto gratuito de ferramentas DFIR para Windows, em linha de comando e GUI, criado por Eric Zimmerman para parsear artefatos forenses e construir linhas do tempo.
- forensics-ir№ 644
Magnet AXIOM
Plataforma DFIR comercial da Magnet Forensics que ingere discos, fontes moveis e em nuvem, parseia artefatos e os apresenta em uma interface unica de revisao.
- forensics-ir№ 366
Formato de imagem E01 (EnCase)
Formato de imagem forense introduzido pela Guidance Software para o EnCase que armazena a aquisicao em arquivos segmentados e comprimidos com metadados e somas de verificacao.
- forensics-ir№ 289
dd (imagem de disco bruta)
Copia plana, bit a bit, de um dispositivo de armazenamento gerada pelo utilitario Unix dd (ou ferramentas compativeis), sem compressao, metadados ou hash por bloco.
- forensics-ir№ 162
Cadeia de custódia
Registo cronológico e documentado de cada pessoa, local e ação que afetam uma evidência desde a apreensão até à sua disposição final.
● Veja também
- № 153Cellebrite UFED
- № 450GrayKey