→
Hvad det er
KAPE har to faser. Targets definerer hvilke artefakter der kopieres (registry-hives, event logs, prefetch, browser-historik osv.) — selv låste systemfiler, via raw disk-adgang. Modules kører bagefter parsing-værktøjer (mange af Eric Zimmermans EZ Tools) mod de indsamlede data og producerer læsbare CSV/JSON.
Licens-ærlighed: KAPE er gratis at bruge, men ikke open source — det er underlagt Krolls EULA og kræver registrering for download. Det hører strengt taget ikke hjemme i et "open source"-katalog, men er inkluderet fordi det er centralt i moderne DFIR-triage. Targets/Modules-definitionerne (.tkape/.mkape) er derimod community-vedligeholdt på GitHub under MIT.
→
Setup
WindowsTrin
# 1. Download fra kroll.com/kape (kræver registrering)
# 2. Udpak ZIP — KAPE er portable, ingen installation
# 3. Kør Get-KAPEUpdate.ps1 for nyeste Targets/Modules
# 4. gkape.exe = GUI · kape.exe = kommandolinjeKør fra en USB/eksternt drev for at minimere aftryk på target-systemet.
Opdatér definitioner
.\Get-KAPEUpdate.ps1→
Targets — indsamling
Targets (.tkape) er YAML-lignende definitioner af hvilke filer/stier der skal kopieres. Compound targets samler flere til ét.
| Target | Indsamler |
|---|---|
!SANS_Triage | Compound — bredt triage-sæt anbefalet som standard |
!BasicCollection | Kerne-artefakter: registry, logs, prefetch, $MFT |
RegistryHives | SYSTEM, SOFTWARE, SAM, SECURITY, NTUSER.dat |
EventLogs | Windows .evtx event logs |
Prefetch | .pf-filer (programkørsel-beviser) |
FileSystem | $MFT, $LogFile, $UsnJrnl, $J |
WebBrowsers | Chrome/Edge/Firefox historik, cache, cookies |
LNKFilesAndJumpLists | Genvej- og jumplist-artefakter |
→
Modules — parsing
Modules (.mkape) kører eksterne værktøjer mod de indsamlede artefakter. Mange wrapper Eric Zimmermans EZ Tools.
| Modul / værktøj | Funktion |
|---|---|
!EZParser | Compound — kører hele EZ Tools-suiten mod targets |
PECmd | Parse Prefetch → programkørsel-tidslinje |
MFTECmd | Parse $MFT / $J → fil-tidslinje |
EvtxECmd | Parse event logs → normaliseret CSV |
RECmd | Registry-parsing med batch-plugins |
AmcacheParser | Amcache.hve → installeret/kørt software |
LECmd / JLECmd | LNK- og JumpList-parsing |
SBECmd | ShellBags → mappe-browsing-historik |
Efter parsing: Mange åbner CSV-output i Timeline Explorer (også EZ Tools) eller indlæser i Elastic/Splunk. Kombinér med Autopsy til dybere disk-analyse af samme image.
→
CLI-eksempler
Triage live C: med SANS-target
kape.exe --tsource C: --target !SANS_Triage \
--tdest E:\out\%m --guiIndsaml + parse i ét hug
kape.exe --tsource C: --target !SANS_Triage \
--tdest E:\out \
--module !EZParser --mdest E:\parsed%m = maskinnavn · %d = timestamp i destinationssti
| Flag | Funktion |
|---|---|
--tsource | Kilde (drevbogstav, image eller mappe) |
--target | Target(s) der skal indsamles |
--tdest | Destination for indsamlede artefakter |
--module | Modul(er) der skal køres til parsing |
--mdest | Destination for parset output |
--vhdx / --zip | Pak indsamling som VHDX-container eller ZIP |
--vss | Inkludér Volume Shadow Copies |
--debug / --trace | Detaljeret logging |
→
Triage-flow
Klassisk IR-rækkefølge: KAPE samler artefakter på minutter (Targets) → parser dem til CSV (Modules/!EZParser) → analytiker triager i Timeline Explorer → mistænkelige maskiner får dyb disk-analyse i Autopsy eller live-respons via Velociraptor. KAPE er "hurtigt overblik", de andre er "dybt dyk".