Herkese selam! Bu yazımda ele aldığım konu Kroll Artifact Parser and Extractor (KAPE) NEDİR? , Keyifli Okumalar. 🙂
KAPE, Eric Zimmerman tarafından yazılmış ücretsiz bir araçtır. Türkçe karşılığı olarak Ayrıştırıcı ve Çıkarıcı anlamına gelir.
Peki bu araç ne yapar?
KAPE, herhangi bir cihazı veya depolama alanını hedefleyerek, adli açıdan önemli bulgular bularak ve bunları birkaç dakika içinde ayrıştırarak, verimli ve yüksek düzeyde yapılandırılabilir bir açık kaynaklı triyaj programıdır.
KAPE öncelikle dosyaları toplar ve ardından toplanan dosyaları bir veya daha fazla program ile işler. KAPE, işini yapmak için Hedefler ve Modüller kavramlarını kullanır.
Yukarıda ki resimde KAPE’in nasıl çalıştığı anlatılmaktadır
Önce hedefler KAPE’in nasıl okunacağını ve bunların bir hedef konumunda bulunan dosya ve dizinlerin nasıl genişleteceğini bilir.
Tüm hedefleri işledikten sonra bir dosya listesi oluşturduğunda listeyi işlemeye başlar.
Dosyayı hedeften kaynak dizine kopyalar.
Burada modüller bir sistem üzerinde çalıştırmak istediğiniz diğer program türlerinin yanı sıra hedef ve toplanan dosyalar da dahil olmak üzere her şeyi hedefleyebilir.
KAPE’in çalışma mantığı ve kendisi hakkındı bilgi verdiğimize göre kurulumuna geçebiliriz
KAPE KURMA
KAPE’in sitesine girerek Download KAPE diyoruz ardından bizden Ad, soyad vb. bilgilerimizi istiyor bunları girdikten sonra mailimize gelen link ile indirme işlemi başlıyor.
Ardından zip halinde inen dosyamızı ayıklıyoruz
KAPE’yi çalıştırırken, komut istemininden Yönetici olarak çalıştırıyoruz.
Ardından dir komutunu girerek dosya ve alt klasörlere bakıyoruz.
“kape” komutunu girerek KAPE’de bulunan tüm seçenekleri görebiliriz.
KAPE, kaynaklardan toplanan veriler ile hedef terimini kullanır. Modüller, bu hedeflere yönelik bazı eylemleri gerçekleştirmek için kullanılır.
Bu modülleri dosyanın içine girerek görebiliriz
Yukarıda ki görselde KAPE de bulunan modüllerdir.
Yukarıda ki görselde KAPE de bulunan hedeflerdir.
Yukarıdaki görsel ise Registry Hives’in (Kayıt defteri) makineden nasıl alınacağını ve kaydedileceğini gösterir bize.
— tsource — Hedef kaynak anlamına gelir.
— tdest — Hedef anlamına gelir
— target — Bilginin çıkarıldığı hedeftir.
Gördüğümüz gibi tüm Registry Hives’ı elde edebildik ve çok kısa bir süre içinde bize sundu.
Masaüstümüze geldiğimizde ise dosyayı görebiliyoruz.
Gördüğünüz gibi, gerekli dosyaları hedeflerden çektikten sonra ise ilgili bilgileri oradan çıkarmak için modülleri kullanabiliyoruz.
Bu işlemleri yaptıktan sonra “Mod” diye bir dosya dizini masaüstünde oluşacaktır oluşan dosyadaki belgeleri inceleyerek isteğimiz bilgilere ulaşmamız mümkün olacaktır. Örneğin açtığınız dosyada belirli bir zamanda yaptığınız işlemleri görebilirsiniz. Makineye edilmiş cihazları vb. bilgilere ulaşabilirsiniz.
KAPE KULLANICI ARAYÜZÜ
Grafik KAPE ayrıca aynı işlevlere sahiptir. Hedefler ve modüller için kaynaklar, hedefler belirleyebiliriz.
Ek bilgi.
Eğer kullandığınız sürümün güncel değil ise hedefleri ve modülleri GitHub deposundaki en son sürümlerle güncellemek için –-sync parametresini kullanabilirsiniz.
Örnek olarak:
“kape.exe –sync Kape version 1.2.0.0 Author: Eriz Zimmerman ([email protected])” dedikten sonra sürünümünüz güncellenecektir.
Okuduğunuz için teşekkürler. 🙂
Share this content:
Eline sağlık kardeşim, çok açıklayıcı olmuş.
Teşekkürler kardeşim