※ 본 포스팅은 PLAINBIT의 KAPE 문서, KAPE 공식 문서를 참고하여 작성하였습니다.
Eric Zimmerman이 개발한 디지털 포렌식 도구 중 하나인 KAPE가 뭔지, 어떻게 활용할 수 있는지에 대해 포스팅해보도록 하겠습니다.
1. KAPE (Kroll Artifact Parser And Extractor)
KAPE는 이름에서 알 수 있듯이 요약하면 아티팩트를 크롤하고 뽑아낼 수 있는 도구로 보면 되겠습니다.
공식적인 문서에 의하면 주로 장치 또는 저장 위치를 대상으로 하고 가장 포렌식적으로 관련된 아티팩트를 찾고 몇 분 안에 구문 분석하는 분류 프로그램이라고 합니다.
KAPE를 활용한다면 빠른 속도로 수사관이 사건에 필요한 시스템을 찾고 우선 순위를 지정할 수 있으며, 이미징 처리를 하기 전에 가장 중요한 아티팩트를 수집하는데 사용할 수 있습니다. 이미징이 완료되는 동안 KAPE를 통해 생성된 데이터를 사전에 검토하고 계획을 잡을 수 있는 것입니다.
KAPE는 크게 2가지 기능을 제공합니다. 파일 수집과 수집된 파일을 추가 프로그램으로 처리하여 제공해주는 것입니다.
KAPE는 단지 사용자가 원하는 아티팩트를 획득할 수 있는 다른 프로그램을 실행시켜서 정보를 제공해주는 것입니다. 따라서 원하는 기능에 해당하는 프로그램이 있으면 플러그인처럼 덧붙혀서 사용할 수 있으므로 확장성이 용이합니다.
앞서 말한 2가지 기능은 Target과 Module로 구분지을 수 있습니다. 기본적으로 디지털 포렌식에 필요한 타겟과 모듈들은 제공되며 사용자는 별도의 타겟이나 모듈을 추가로 생성하고 사용할 수 있습니다.
KAPE의 가장 큰 장점은 사용자가 실행 프로그램의 기록을 분석하기 위해 Prefetch, Amcache, UserAssist 등의 아티팩트가 필요하다는 사실을 알 필요가 없는 것입니다. 왜냐하면 실행 프로그램의 데이터를 분석하는 기능을 동작하면 알아서 KAPE가 데이터를 수집하기 때문이죠. (하지만 툴쟁이가 될 순 없으니 아티팩트에 대한 기본 지식은 필요하겠죠?)
KAPE 3줄 요약
- 원하는 정보에 대한 아티팩트를 수집할 수 있다. (Target 설정) - 잠금 파일, 원본 메타데이터 유지, 데이터 아카이빙 지원
- 수집한 아티팩트에 대해 사전 정의된 형태로 별도의 프로그램을 연계하여 처리한다. (Module 설정)
- 결과물을 분석한다.
2. KAPE 설치와 실행
KAPE 다운로드
KAPE 설치 후
- Documentation : 사용 계약 조항, 매뉴얼이 저장된 텍스트 파일이 포함된 폴더 입니다.
- Modules : 모듈을 사전 정의한 .mkape 파일들이 포함된 폴더입니다.
- Targets : 타겟을 사전 정의한 .tkape 파일들이 포함된 폴더입니다.
- ChangeLog.txt : 버전 업데이트 정보 파일입니다.
- Get-KAPEUpdate.ps1 : 최신 버전으로 업데이트 할 수 있는 파워쉘 스크립트입니다.
- gkape.exe : GUI 버전 KAPE 프로그램입니다.
- gkape.settings : 프로그램 사용 시 설정한 세팅 정보가 저장된 파일입니다.
- kape.exe : CLI 버전 KAPE 프로그램입니다.
GUI 기반인 gkape.exe를 실행하면 위와 같은 화면을 확인할 수 있습니다. gkape는 kape.exe와 동일한 디렉토리에서 실행이 되어야 하며 관리자 모드로 실행될 것을 권장하고 있습니다.
좌측이 Target을 설정하는 화면, 우측이 Module을 설정하는 화면입니다.
Target과 Module은 각각 따로 수행할 수 있으며 동시에 수행할 수도 있습니다.
프로그램의 테마는 상단의 Tools -> Skin 에서 원하는 형태의 스킨을 사용할 수 있습니다.
Target과 Module에 대한 설명은 다음 포스팅에 이어서 진행하도록 하겠습니다.
https://ericzimmerman.github.io/KapeDocs/#!index.md
https://github.com/EricZimmerman/KapeFiles