Después de ver la parte más introductoria de la herramienta forense KAPE, en este segundo artículo nos centraremos en su uso mediante la terminal.

Recordemos que KAPE nos permite ejecutar la herramienta por medio de dos vías, con su interfaz gráfica, que correspondería con el ejecutable gkape.exe que hemos visto en el primer artículo al acceder a la carpeta de la herramienta, o mediante la terminal, que la arrancaremos desde el ejecutable kape.exe.

Hoy veremos la ejecución vía terminal.

Procedemos a ejecutar la línea de comandos en nuestro Windows 10 como Administrador, ya que KAPE así lo requiere, y accedemos a nuestra carpeta de KAPE.

Antes de continuar vamos a ejecutar el comando .\kape.exe –sync para sincronizar y actualizar nuestros módulos y targets con los que aparecen en la web de GitHub de Eric R. Zimmerman:

En este artículo y los siguientes vamos a conocer la herramienta de análisis forense KAPE. Hoy comenzaremos con una breve introducción sobre el desarrollo y funcionalidades de esta herramienta, y en sucesivas entradas entraremos más en detalle.

Kroll Artifact Parser and Extractor, o KAPE, es una herramienta forense para su uso en Windows Microsoft creada por Eric R. Zimmerman, desarrollador de multitud de herramientas forenses e instructor en SANS.

Esta herramienta recopila archivos de un sistema, tanto en imágenes de disco como en sistemas locales, y nos proporciona el plus con respecto a otras herramientas de que puede ser configurada para procesar los archivos recogidos con uno o más programas. KAPE permite acelerar las  primeras fases de una investigación forense, debido a que simplifica el proceso de triaje, en los que recogemos por ejemplo file system, registry hives o EventLogs cada uno con un timestamp asociado.