20 mar. 2021

Kroll Artifact Parser and Extractor (KAPE) - Análisis forense

En este artículo y los siguientes vamos a conocer la herramienta de análisis forense KAPE. Hoy comenzaremos con una breve introducción sobre el desarrollo y funcionalidades de esta herramienta, y en sucesivas entradas entraremos más en detalle.

Kroll Artifact Parser and Extractor, o KAPE, es una herramienta forense para su uso en Windows Microsoft creada por Eric R. Zimmerman, desarrollador de multitud de herramientas forenses e instructor en SANS.

Esta herramienta recopila archivos de un sistema, tanto en imágenes de disco como en sistemas locales, y nos proporciona el plus con respecto a otras herramientas de que puede ser configurada para procesar los archivos recogidos con uno o más programas. KAPE permite acelerar las primeras fases de una investigación forense, debido a que simplifica el proceso de Triage, en los que recogemos por ejemplo File System, Registry Hives o EventLogs cada uno con un Timestamp asociado.

Como ya hemos comentado, KAPE no solo sirve para recoger pruebas, si no también para procesarlas. Para esto se hace servir de los directorios de targets y módulos, que veremos en profundidad más adelante. El concepto de Target se refiere al tipo de datos que vamos a recoger con KAPE, es decir, nuestro objetivo. Por otro lado, los Módulos se utilizan para realizar acciones sobre la colección de datos recogidos por los targets, para el análisis de su contenido mediante programas que podemos elegir.

Esto genera una pequeña línea temporal de los acontecimientos, que nos guiara en el estudio de dichos datos y como utilizar esas líneas temporales.

Más i:

Suscríbete a nuestro Boletín

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!