KAPE (Kroll Artifact Parser And Extractor) - (1) KAPE의 이해 및 설치
DFIR Programs/KAPE

KAPE (Kroll Artifact Parser And Extractor) - (1) KAPE의 이해 및 설치

※ 본 포스팅은 PLAINBIT의 KAPE 문서, KAPE 공식 문서를 참고하여 작성하였습니다.

 

Eric Zimmerman이 개발한 디지털 포렌식 도구 중 하나인 KAPE가 뭔지, 어떻게 활용할 수 있는지에 대해 포스팅해보도록 하겠습니다.

 

KAPE Logo

 

 

1. KAPE (Kroll Artifact Parser And Extractor)

 

KAPE는 이름에서 알 수 있듯이 요약하면 아티팩트를 크롤하고 뽑아낼 수 있는 도구로 보면 되겠습니다.

공식적인 문서에 의하면 주로 장치 또는 저장 위치를 대상으로 하고 가장 포렌식적으로 관련된 아티팩트를 찾고 몇 분 안에 구문 분석하는 분류 프로그램이라고 합니다.

KAPE를 활용한다면 빠른 속도로 수사관이 사건에 필요한 시스템을 찾고 우선 순위를 지정할 수 있으며, 이미징 처리를 하기 전에 가장 중요한 아티팩트를 수집하는데 사용할 수 있습니다. 이미징이 완료되는 동안 KAPE를 통해 생성된 데이터를 사전에 검토하고 계획을 잡을 수 있는 것입니다.

 

KAPE는 크게 2가지 기능을 제공합니다. 파일 수집과 수집된 파일을 추가 프로그램으로 처리하여 제공해주는 것입니다.

KAPE는 단지 사용자가 원하는 아티팩트를 획득할 수 있는 다른 프로그램을 실행시켜서 정보를 제공해주는 것입니다. 따라서 원하는 기능에 해당하는 프로그램이 있으면 플러그인처럼 덧붙혀서 사용할 수 있으므로 확장성이 용이합니다.

앞서 말한 2가지 기능은 Target과 Module로 구분지을 수 있습니다. 기본적으로 디지털 포렌식에 필요한 타겟과 모듈들은 제공되며 사용자는 별도의 타겟이나 모듈을 추가로 생성하고 사용할 수 있습니다.

 

KAPE의 가장 큰 장점은 사용자가 실행 프로그램의 기록을 분석하기 위해 Prefetch, Amcache, UserAssist 등의 아티팩트가 필요하다는 사실을 알 필요가 없는 것입니다. 왜냐하면 실행 프로그램의 데이터를 분석하는 기능을 동작하면 알아서 KAPE가 데이터를 수집하기 때문이죠. (하지만 툴쟁이가 될 순 없으니 아티팩트에 대한 기본 지식은 필요하겠죠?)

 

KAPE Process

 

KAPE 3줄 요약

  1. 원하는 정보에 대한 아티팩트를 수집할 수 있다. (Target 설정) - 잠금 파일, 원본 메타데이터 유지, 데이터 아카이빙 지원
  2. 수집한 아티팩트에 대해 사전 정의된 형태로 별도의 프로그램을 연계하여 처리한다. (Module 설정)
  3. 결과물을 분석한다.

 


 

2. KAPE 설치와 실행

 

KAPE 다운로드

https://www.kroll.com/en/services/cyber-risk/incident-response-litigation-support/kroll-artifact-parser-extractor-kape

 

Kroll Artifact Parser And Extractor (KAPE) | Cyber Risk Services

Kroll Artifact Parser and Extractor (KAPE) is an efficient and highly configurable triage program that will target essentially any device or storage location, find forensically useful artifacts, and parse them within a few minutes.

www.kroll.com

 

KAPE 설치 후

KAPE 파일과 폴더

 

  • Documentation : 사용 계약 조항, 매뉴얼이 저장된 텍스트 파일이 포함된 폴더 입니다.
  • Modules : 모듈을 사전 정의한 .mkape 파일들이 포함된 폴더입니다.
  • Targets : 타겟을 사전 정의한 .tkape 파일들이 포함된 폴더입니다.
  • ChangeLog.txt : 버전 업데이트 정보 파일입니다.
  • Get-KAPEUpdate.ps1 : 최신 버전으로 업데이트 할 수 있는 파워쉘 스크립트입니다.
  • gkape.exe : GUI 버전 KAPE 프로그램입니다.
  • gkape.settings : 프로그램 사용 시 설정한 세팅 정보가 저장된 파일입니다.
  • kape.exe : CLI 버전 KAPE 프로그램입니다.

 

gkape.exe

 

GUI 기반인 gkape.exe를 실행하면 위와 같은 화면을 확인할 수 있습니다. gkape는 kape.exe와 동일한 디렉토리에서 실행이 되어야 하며 관리자 모드로 실행될 것을 권장하고 있습니다.

좌측이 Target을 설정하는 화면, 우측이 Module을 설정하는 화면입니다.

Target과 Module은 각각 따로 수행할 수 있으며 동시에 수행할 수도 있습니다.

프로그램의 테마는 상단의 Tools -> Skin 에서 원하는 형태의 스킨을 사용할 수 있습니다.

 

Target과 Module에 대한 설명은 다음 포스팅에 이어서 진행하도록 하겠습니다.

 

 

https://ericzimmerman.github.io/KapeDocs/#!index.md

 

KAPE Documentation

 

ericzimmerman.github.io

https://github.com/EricZimmerman/KapeFiles

 

GitHub - EricZimmerman/KapeFiles: This repository serves as a place for community created Targets and Modules for use with KAPE.

This repository serves as a place for community created Targets and Modules for use with KAPE. - GitHub - EricZimmerman/KapeFiles: This repository serves as a place for community created Targets a...

github.com