O [[KAPE]] (Kroll Artifact Parser and Extractor) é uma ferramenta especializada que automatiza a coleta e análise de [[Artefatos do Windows]]. Por meio de seus **Targets** e **Modules**, é possível obter uma grande quantidade de evidências, como por exemplo, logs de [[WMI]], [[Eventos do Windows]], [[Artefatos do Windows|Prefetch]], [[Amcache]] e outros registros relevantes à investigação que veremos a seguir. Isso facilita a aquisição e o processamento dos dados em um único fluxo de trabalho. ## Principais Funcionalidades - Coleta automatizada de artefatos forenses com **Targets**. - Processamento de dados coletados por meio de **Modules**. - Suporte a múltiplos tipos de artefatos: logs de eventos, Prefetch, Amcache, Shimcache, SRUM, entre outros. - Execução em linha de comando para fácil integração em fluxos de trabalho forenses. ## Comandos Básicos ### Sintaxe básica: ```cmd kape.exe --source <origem> --target <alvo> --module <módulo> [opções] ``` ### Parâmetros Importantes: | Parâmetro | Descrição | | ------------------ | -------------------------------------------------------- | | `--source` | Especifica a origem dos dados (disco, imagem, diretório) | | `--target` | Define os artefatos a serem coletados. | | `--module` | Módulos para processar os artefatos coletados. | | `--output` | Pasta de saída para os resultados. | | `--tsv`<br>`--csv` | Formatos de saída para os relatórios. | ## Exemplos de Uso ### 1. Coletar artefatos básicos de um sistema live ```cmd 1kape.exe --source C --target %kape%\Targets\Basic --module %kape%\Modules\PE --output C:\KAPE_Output ``` Coleta artefatos com o **Target** `Basic` da unidade `C:` e processa os dados com o módulo `PE`, salvando a saída em `C:\KAPE_Output`. ### 2. Analisar uma imagem forense ```cmd 1kape.exe --source E01:C:\path\to\image.E01 --target %kape%\Targets\Windows --module %kape%\Modules\All --output D:\Analysis_Output ``` Extrai artefatos de uma imagem forense `.E01` localizada em `C:\path\to\image.E01`, utilizando os **Targets** para Windows e processando com todos os **Modules** disponíveis. ### 3. Coletar artefatos específicos ```cmd 1kape.exe --source C --target %kape%\Targets\Logs --module %kape%\Modules\Logs --output C:\Logs_Output --csv` ``` Coleta logs do sistema na unidade `C:` e processa com o módulo de Logs, gerando relatórios em CSV na pasta `C:\Logs_Output`. ### 4. Coletar todas as opções disponíveis: ```bash .\kape.exe --tsource C:\ --tdest D:\ --target Bitdefender,WindowsDefender,1Password,AceText,AnyDesk,FileZilla,LogMeIn,OneDrive,BrowserCache,Chrome,ChromeExtensions,Edge,Firefox,InternetExplorer,!BasicCollection,!SANS_Triage,Antivirus,EvidenceOfExecution,FileSystem,KapeTriage,RegistryHives,WebBrowsers,ApacheAccessLog,IISLogFiles,PowerShellConsole,$Boot,$J,$LogFile,$MFT,$MFTMirr,$SDS,$T,Amcache,ApplicationEvents,EventLogs,EventLogs-RDP,EventTraceLogs,LnkFilesAndJumpLists,LogFiles,MemoryFiles,MOF,Prefetch,RDPCache,RDPLogs,RecentFileCache,RecycleBin,RegistryHivesSystem,RegistryHivesUser,ScheduledTasks,Syscache,ThumbCache,WER,WindowsFirewall,WindowsIndexSearch,WindowsNotificationsDB,WindowsStickyNotes,WindowsTimeline ``` ## Artefatos Suportados (Exemplos) | Tipo de Artefato | Descrição | | ---------------- | ------------------------------------------- | | Logs de Eventos | Registros de eventos de segurança e sistema | | Prefetch | Informações sobre aplicativos executados | | Amcache | Histórico de execução de programas | | Shimcache | Cache de compatibilidade de aplicativos | | SRUM | Gerenciamento de recursos do sistema | | MFT | Tabela Mestre de Arquivos do NTFS |