DFIR Programs/KAPE

    KAPE (Kroll Artifact Parser And Extractor) - (5) mkape 구조의 이해와 활용
    DFIR Programs/KAPE

    KAPE (Kroll Artifact Parser And Extractor) - (5) mkape 구조의 이해와 활용

    ※ 본 포스팅은 PLAINBIT의 KAPE 문서, KAPE 공식 문서를 참고하여 작성하였습니다. tkape 구조의 이해와 활용에 이어서 이번에는 mkape의 구조에 대해 알아보고 커스터마이징을 하는 방법에 대해 포스팅해보겠습니다. 10. .mkape KAPE 설치 경로 폴더에서 Modules 폴더의 내부를 보면 위와 같은 폴더와 파일들이 있는 것을 확인할 수 있습니다. Module의 항목 별로 폴더가 구성되어 있으며 폴더에 진입하면 .mkape 파일들을 확인할 수 있습니다. bin 폴더에는 모듈에 사용될 실행 프로그램들이 저장되어 있습니다. 모듈은 특정 유형의 파일을 찾는다는 점에서 Target과 유사한 방식으로 작동하지만, 다른 곳에 복사하는 것은 아닙니다. 모듈의 작업은 Target에 의해 복사된 폴..

    KAPE (Kroll Artifact Parser And Extractor) - (4) tkape 구조의 이해와 활용
    DFIR Programs/KAPE

    KAPE (Kroll Artifact Parser And Extractor) - (4) tkape 구조의 이해와 활용

    ※ 본 포스팅은 PLAINBIT의 KAPE 문서, KAPE 공식 문서를 참고하여 작성하였습니다. 지난 포스팅들을 통해 KAPE와 KAPE의 Target, Module이 무엇인지에 대해 알아보았습니다. Target 설정은 .tkape, Module 설정은 .mkape 파일을 생성하여 진행할 수 있습니다. 이번 포스팅에서는 .tkape, .mkape 파일의 구조에 대해 살펴보고 커스터마이징하는 방법을 알아보도록 하겠습니다. 8. .tkape KAPE 설치 경로 폴더에서 Targets 폴더의 내부를 보면 위와 같은 폴더와 파일들이 있는 것을 확인할 수 있습니다. Target의 항목 별로 폴더가 구성되어 있으며 폴더에 진입하면 .tkape 파일들을 확인할 수 있습니다. Target은 주로 지정된 볼륨의 경로를 ..

    KAPE (Kroll Artifact Parser And Extractor) - (3) Module의 이해 및 실행
    DFIR Programs/KAPE

    KAPE (Kroll Artifact Parser And Extractor) - (3) Module의 이해 및 실행

    ※ 본 포스팅은 PLAINBIT의 KAPE 문서, KAPE 공식 문서를 참고하여 작성하였습니다. 지난 KAPE의 Target 포스팅에 이어 Module에 대해 알아보도록 하겠습니다. 5. KAPE 의 Module Module도 Target과 화면 구성이 비슷해서 사용하는데는 큰 어려움이 없을 것입니다. Use Module options : Module 설정을 활성화합니다. (Target과 Module의 창을 모두 활성화하여 동시에 수행할 수 있습니다.) Module options Module source : 모듈 대상 경로를 지정합니다. (Target과 Module을 동시에 수행하는 경우 비워도 괜찮습니다.) Target Container 옵션이 None인 경우 : 처리할 파일들이 모두 포함된 디렉터리를..

    KAPE (Kroll Artifact Parser And Extractor) - (2) Target의 이해 및 실행
    DFIR Programs/KAPE

    KAPE (Kroll Artifact Parser And Extractor) - (2) Target의 이해 및 실행

    ※ 본 포스팅은 PLAINBIT의 KAPE 문서, KAPE 공식 문서를 참고하여 작성하였습니다. 지난 포스팅에 이어 KAPE의 Target에 대해 알아보도록 하겠습니다. 3. KAPE 의 Target gKAPE의 Target UI를 위에서부터 하나씩 내려가면서 살펴보도록 하겠습니다. Use Target options : 타겟 설정을 활성화합니다. Target options Target Source : 타겟이 될 대상 볼륨을 선택합니다. (이미지 파일을 대상으로 하기 위해서는 Arsenal Imgae Mounter 도구처럼 이미지를 볼륨으로 마운트할 수 있는 도구를 사용하여 마운트 후 볼륨을 지정해주어야 합니다.) Target Destination : 추출된 아티팩트가 저장될 경로를 선택합니다. Flush..

    KAPE (Kroll Artifact Parser And Extractor) - (1) KAPE의 이해 및 설치
    DFIR Programs/KAPE

    KAPE (Kroll Artifact Parser And Extractor) - (1) KAPE의 이해 및 설치

    ※ 본 포스팅은 PLAINBIT의 KAPE 문서, KAPE 공식 문서를 참고하여 작성하였습니다. Eric Zimmerman이 개발한 디지털 포렌식 도구 중 하나인 KAPE가 뭔지, 어떻게 활용할 수 있는지에 대해 포스팅해보도록 하겠습니다. 1. KAPE (Kroll Artifact Parser And Extractor) KAPE는 이름에서 알 수 있듯이 요약하면 아티팩트를 크롤하고 뽑아낼 수 있는 도구로 보면 되겠습니다. 공식적인 문서에 의하면 주로 장치 또는 저장 위치를 대상으로 하고 가장 포렌식적으로 관련된 아티팩트를 찾고 몇 분 안에 구문 분석하는 분류 프로그램이라고 합니다. KAPE를 활용한다면 빠른 속도로 수사관이 사건에 필요한 시스템을 찾고 우선 순위를 지정할 수 있으며, 이미징 처리를 하기 ..

티스토리툴바