KAPE (Kroll 工件解析与提取器)
KAPE (Kroll 工件解析与提取器) 是什么?
KAPE (Kroll 工件解析与提取器)由 Kroll 推出的 Windows 取证分流工具,可从在线系统或镜像中收集取证工件,并通过解析模块生成可直接审查的结果。
KAPE 由 Kroll 的 Eric Zimmerman 编写,是一款免费的 Windows DFIR 分流框架。它使用两个可扩展库:Targets 定义需要复制的取证工件 (如 Prefetch、注册表配置单元、事件日志、$MFT、浏览器历史等),Modules 定义如何使用 EZ Tools、Volatility 等第三方工具进行解析。调查人员可在在线终端、挂载的镜像或卷影副本上运行 KAPE,在保留时间戳与源路径的同时将数据采集从数小时缩短到数分钟。输出可以是 CSV、JSON 或可被 Timeline Explorer 与 Elastic 直接使用的格式。KAPE 已成为入侵响应剧本中的标准组件。
● 示例
- 01
运行 `kape.exe --tsource C: --tdest D:\Triage --target KapeTriage` 采集基础工件。
- 02
在 Targets 运行后串联 `--module !EZParser`,一次完成采集与解析为 CSV。
● 常见问题
KAPE (Kroll 工件解析与提取器) 是什么?
由 Kroll 推出的 Windows 取证分流工具,可从在线系统或镜像中收集取证工件,并通过解析模块生成可直接审查的结果。 它属于网络安全的 取证与应急响应 分类。
KAPE (Kroll 工件解析与提取器) 是什么意思?
由 Kroll 推出的 Windows 取证分流工具,可从在线系统或镜像中收集取证工件,并通过解析模块生成可直接审查的结果。
KAPE (Kroll 工件解析与提取器) 是如何工作的?
KAPE 由 Kroll 的 Eric Zimmerman 编写,是一款免费的 Windows DFIR 分流框架。它使用两个可扩展库:Targets 定义需要复制的取证工件 (如 Prefetch、注册表配置单元、事件日志、$MFT、浏览器历史等),Modules 定义如何使用 EZ Tools、Volatility 等第三方工具进行解析。调查人员可在在线终端、挂载的镜像或卷影副本上运行 KAPE,在保留时间戳与源路径的同时将数据采集从数小时缩短到数分钟。输出可以是 CSV、JSON 或可被 Timeline Explorer 与 Elastic 直接使用的格式。KAPE 已成为入侵响应剧本中的标准组件。
如何防御 KAPE (Kroll 工件解析与提取器)?
针对 KAPE (Kroll 工件解析与提取器) 的防御通常结合技术控制与运营实践,详见上方完整定义。
KAPE (Kroll 工件解析与提取器) 还有哪些其他名称?
常见的别称包括: Kroll Artifact Parser and Extractor。
● 相关术语
- forensics-ir№ 388
Eric Zimmerman 的 EZ Tools
由 Eric Zimmerman 维护的免费 Windows DFIR 工具集,包含命令行与 GUI 工具,用于解析常见取证工件并构建时间线。
- forensics-ir№ 644
Magnet AXIOM
加拿大 Magnet Forensics 推出的商用 DFIR 平台,可摄取磁盘、移动与云端来源,解析工件并在统一界面中提供给分析师审查。
- forensics-ir№ 366
E01 (EnCase) 取证镜像格式
由 Guidance Software 为 EnCase 推出的取证磁盘镜像格式,以分段压缩文件保存采集数据,并嵌入元数据与校验值。
- forensics-ir№ 289
dd (原始磁盘镜像)
由 Unix dd 工具 (或兼容工具) 生成的扁平、按位复制的存储设备副本,没有压缩、元数据或块级哈希。
- forensics-ir№ 162
证据保管链
对每一份证据从查扣到最终处置过程中,每位经手人、所处地点与所执行操作进行的有序、可追溯的书面记录。
● 参见
- № 153Cellebrite UFED
- № 450GrayKey