KAPE

Kroll Artifact Parser and Extractor

Overview

KAPE ist ein portables Windows-Forensik-Tool zur schnellen Sammlung und Verarbeitung digitaler Artefakte. Es dient vor allem der Triage-Analyse in Incident-Response-Szenarien, bei denen Zeit eine entscheidende Rolle spielt. KAPE kann sowohl auf Live-Systemen als auch auf Images eingesetzt werden und erlaubt die automatisierte Extraktion und Analyse relevanter Spuren.

Zentrale Funktionen:

• Targets: Definieren, welche Dateien gesammelt werden sollen (z. B. Registry, Prefetch, Eventlogs).

• Modules: Verarbeiten die gesammelten Dateien mit passenden Tools (z. B. PECmd für Prefetch, RegRipper für Registry-Hives).

---

Basic Concepts & Workflow

Um KAPE effektiv nutzen zu können, ist es essenziell, die grundlegenden Komponenten und deren Zusammenspiel zu verstehen. Die Arbeit mit KAPE folgt einem festen Ablauf, der in fünf Phasen unterteilt ist:

🧹 Begriffserklärung

Begriff	Beschreibung
Source	Die Quelle, von der Artefakte gesammelt werden. Das kann ein Live-System, ein gemountetes Image oder ein über F-Response angebundenes System sein.
Target	Definition, welche forensischen Artefakte gesammelt werden sollen (z. B. Registry, Prefetch, Browserdaten).
Destination	Zielordner, in den die mit dem Target gesammelten Artefakte geschrieben werden.
Module	Werkzeuge, die auf die gesammelten Artefakte angewendet werden (z. B. Parser, Decoder).
Module Output	Zielordner, in dem die analysierten/aufbereiteten Ergebnisse der Module gespeichert werden.

🔄 Ablauf mit Beispiel

1. Source definieren: Das Dateisystem des betroffenen Systems (z. B. C:).

2. Target auswählen: Z. B. KapeTriage (Compound Target), um viele wichtige Artefakte auf einmal zu sammeln.

3. Destination angeben: Ordner für die Sammlung, z. B. C:\triage.

4. Module auswählen: Z. B. !EZParser, um die gesammelten Artefakte direkt weiterzuverarbeiten.

5. Module Output angeben: Z. B. C:\analyse, wo die Ergebnisse in Form von CSVs, TXT-Dateien etc. abgelegt werden.

Beispielbefehl (CLI):

kape.exe --tsource C: --target KapeTriage --tdest C:\triage --module !EZParser --mdest C:\analyse

🔍 Visualisiert

Schritt	Beschreibung
1. Source	Zugriff auf Live-System oder Image
2. KAPE (Target)	Auswahl der zu sammelnden Artefakte
3. Destination	Zielort der Sammlung
4. KAPE (Module)	Verarbeitung der Sammlung (optional)
5. Module Output	Analyse-Ergebnisse

---

Use Cases

Szenario	Nutzen von KAPE
Incident Response in Echtzeit	Rasche Triage auf kompromittierten Systemen
Forensische Analyse	Automatisierte Extraktion und Interpretation wichtiger Spuren
Erkennung von Richtlinienverstößen	Analyse von Geräteeinsatz, Softwareinstallationen, Netzwerkverbindungen
Schulung & CTF	Simulation realer Forensik-Prozesse mit praktischen Artefakten

---

Targets – Datei-Sammlung

Dateiendung: .tkape Funktion: Kopieren definierter Artefakte aus dem System. Beispiel:

--tsource C: --target KapeTriage --tdest C:\triage

Compound Targets: Zusammenfassung mehrerer Einzel-Targets, z. B.:

• KapeTriage

• !SANS_Triage

• !BasicCollection

Hinweis: Targets befinden sich im Ordner KAPE\Targets. Eigene Targets können erstellt und unter !Local abgelegt werden.

---

Modules – Analyse von Artefakten

Dateiendung: .mkape Funktion: Werkzeuge wie PECmd oder AutorunsCLI ausführen, um gesammelte Daten zu verarbeiten.

Beispiel:

--mdest C:\analyse --module !EZParser

Hinweis: Module nutzen die Tools aus dem bin-Verzeichnis. Diese beinhalten z. B. Eric Zimmerman's Tools.

---

Praktische Optionen & Variablen

Option	Beschreibung
--tsource	Quelle der Artefakte (z. B. C:)
--tdest	Zielverzeichnis für gesammelte Daten
--target	Name des zu verwendenden Targets
--module	Name des Moduls zur Analyse
--mdest	Zielverzeichnis für Module-Ergebnisse
--tflush	Zielordner vor Sammlung leeren
%d	Zeitstempel im Ordnernamen
%m	Maschinenname im Ordnernamen
--debug	Zeigt Debug-Informationen
--tlist	Listet alle verfügbaren Targets
--cu	Löscht CLI-Datei und andere Artefakte nach Ausführung

---

Best Practices

{% hint style="info" %} Immer als Administrator starten! Viele Artefakte (Registry, Prefetch, Shadow Copies) benötigen erhöhte Rechte. {% endhint %}

Empfehlungen:

• Verwende Compound Targets für schnelle, vollständige Triage.

• Deaktiviere Flush, wenn frühere Daten erhalten bleiben sollen.

• Nutze %d und %m für nachvollziehbare Ergebnisordner.

• Validierung der Ergebnisse mit Tools wie EZViewer oder Timeline Explorer.

---

Beispiel: Richtlinienverstoß erkennen

Fallbeschreibung:

Ein Mitarbeiter hat potenziell gegen die Acceptable Use Policy verstoßen (z. B. USB genutzt, Software installiert, unbekannte Netzwerke verbunden).

Vorgehen mit KAPE:

kape.exe --tsource C: --target KapeTriage --tdest C:\triage --mdest C:\analyse --module !EZParser

Ermittelte Spuren:

Artefakt	Fundstelle	Erkenntnis
USB-Serials	Registry/USBSTOR	2 Devices verbunden
Install-Pfade	Registry/RecentApps	Installationen über Z:\setups
Netzwerke	Registry/KnownNetworks	Verbindung zu Network 3
Suchverläufe	Registry/WordWheelQuery	Nach Script RunWallpaperSetup.cmd gesucht
Programmausführung	Prefetch, AppCompatCache	CHROMESETUP.EXE wurde am 11/25/2021 3:33 ausgeführt

---

Batch Mode

Ein _kape.cli-File kann mit den gewünschten Optionen befüllt werden:

--tsource C: --target KapeTriage --tdest C:\triage --mdest C:\analyse --module !EZParser

Beim Ausführen von kape.exe im selben Verzeichnis wird dieses automatisch genutzt.

---

Fazit

KAPE ist ein zentrales Werkzeug in der Windows-Forensik und erlaubt sowohl schnelle Triage als auch tiefgehende Analysen. In Kombination mit Modulen und Tools wie EZViewer oder Timeline Explorer lassen sich Policy-Verstöße, Malware-Aktivitäten oder Insider-Bedrohungen effektiv aufdecken.