KAPE (Kroll Artifact Parser and Extractor)
Что такое KAPE (Kroll Artifact Parser and Extractor)?
KAPE (Kroll Artifact Parser and Extractor)Инструмент триажа для Windows от Kroll, который собирает криминалистические артефакты с работающих систем или образов и запускает модули-парсеры, выдавая готовый для анализа вывод.
KAPE, написанный Эриком Циммерманом в Kroll, — бесплатный фреймворк триажа для Windows DFIR. Он использует две подключаемые библиотеки: Targets описывает, какие криминалистические артефакты копировать (Prefetch, кусты реестра, журналы событий, $MFT, история браузеров и т. п.), а Modules — как разбирать их сторонними инструментами, такими как EZ Tools или Volatility. Аналитики запускают KAPE на работающем хосте, смонтированном образе или теневой копии тома, собирая данные за минуты вместо часов, сохраняя при этом метки времени и исходные пути. Результат может быть в CSV, JSON или форматах, понятных Timeline Explorer и Elastic. KAPE стал стандартом плейбуков реагирования на инциденты.
● Примеры
- 01
Запуск `kape.exe --tsource C: --tdest D:\Triage --target KapeTriage` для сбора базовых артефактов.
- 02
Связка Targets с `--module !EZParser` для получения разобранных CSV за один проход.
● Частые вопросы
Что такое KAPE (Kroll Artifact Parser and Extractor)?
Инструмент триажа для Windows от Kroll, который собирает криминалистические артефакты с работающих систем или образов и запускает модули-парсеры, выдавая готовый для анализа вывод. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает KAPE (Kroll Artifact Parser and Extractor)?
Инструмент триажа для Windows от Kroll, который собирает криминалистические артефакты с работающих систем или образов и запускает модули-парсеры, выдавая готовый для анализа вывод.
Как работает KAPE (Kroll Artifact Parser and Extractor)?
KAPE, написанный Эриком Циммерманом в Kroll, — бесплатный фреймворк триажа для Windows DFIR. Он использует две подключаемые библиотеки: Targets описывает, какие криминалистические артефакты копировать (Prefetch, кусты реестра, журналы событий, $MFT, история браузеров и т. п.), а Modules — как разбирать их сторонними инструментами, такими как EZ Tools или Volatility. Аналитики запускают KAPE на работающем хосте, смонтированном образе или теневой копии тома, собирая данные за минуты вместо часов, сохраняя при этом метки времени и исходные пути. Результат может быть в CSV, JSON или форматах, понятных Timeline Explorer и Elastic. KAPE стал стандартом плейбуков реагирования на инциденты.
Как защититься от KAPE (Kroll Artifact Parser and Extractor)?
Защита от KAPE (Kroll Artifact Parser and Extractor) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия KAPE (Kroll Artifact Parser and Extractor)?
Распространённые альтернативные названия: Kroll Artifact Parser and Extractor.
● Связанные термины
- forensics-ir№ 388
EZ Tools Эрика Циммермана
Бесплатный набор инструментов DFIR для Windows (CLI и GUI) от Эрика Циммермана для разбора распространённых криминалистических артефактов и построения таймлайнов.
- forensics-ir№ 644
Magnet AXIOM
Коммерческая DFIR-платформа канадской Magnet Forensics: загружает данные с дисков, мобильных и облачных источников, разбирает артефакты и представляет их в едином интерфейсе анализа.
- forensics-ir№ 366
Формат образа E01 (EnCase)
Криминалистический формат образа диска, изначально предложенный Guidance Software для EnCase: сжатые сегментированные файлы с метаданными и контрольными суммами.
- forensics-ir№ 289
dd (сырой образ диска)
Плоская побитовая копия носителя, созданная утилитой Unix dd (или совместимыми инструментами), без сжатия, метаданных и поблочных хешей.
- forensics-ir№ 162
Цепочка хранения доказательств
Хронологически задокументированный след всех лиц, мест и действий, влиявших на доказательство от изъятия до окончательного распоряжения им.
● См. также
- № 153Cellebrite UFED
- № 450GrayKey