KAPE

Capacidades
Para extraer artefactos relevantes del sistema y del browser de la manera más rápida posible
Documentación
​https://ericzimmerman.github.io/KapeDocs/#!index.md​
Recursos
​https://github.com/AndrewRathbun/Awesome-KAPE​
Comandos
Modo Interfaz
# [UI] gkape.exe
Use Target options > Target source # (Normalmente un DiskImage.img)
Use Target options > Target destination # (Normalmente un almacenamiento externo)
Select collections
# Y otras opciones
Obtener todas las evidencias del sistema
.\kape.exe --tsource C: --target !ALL --tdest "Z:\Case4" --tflush --vss --vhdx Case4
Obtener registros del sistema
.\kape.exe --tsource C: --target RegistryHives --tdest "Z:\Case1\RegFiles" --tflush
Obtener evidencias de ejecución en formato VHDX
.\kape.exe --tsource C: --tdest Z:\Case2 --tflush --target EvidenceOfExecution --vss --vhdx Exercise2
Obtener Filesystem, Event Logs en formato VHDX
.\kape.exe --tsource C: --tdest Z:\Case3 --tflush --target FileSystem,EventLogs --vss --vhdx Exercise3
Obtener evidencias de Cloud
.\kape.exe --tsource C: --tdest Z:\CASE_CLOUD --tflush --target CloudStorage_All --vss --vhdx CLOUD
Obtener evidencias de ejecución en formato ZIP
.\kape.exe --tsource C: --tdest Z:\Evidence\DIY2%m --tflush --target EvidenceOfExecution --vss --zip
Obtener evidencias de WebBrowser y guardar el output en un punto de red
.\kape.exe --tsource C: --tdest \\VBOXSVR\tech\Evidence\DIY3 --tflush --target WebBrowsers --vss --vhdx ALL_%m
Recuerda analizar los resultados utilizando los módulos correspondientes al mismo tiempo que extraes la información del target!

Última actualización 1yr ago