Introduction to KAPE

Поділитися
Вставка
  • Опубліковано 25 лип 2024
  • As a continuation of the "Introduction to Windows Forensics" series, this episode covers an exciting new tool from Kroll and Eric Zimmerman called KAPE. From the developer, KAPE is an efficient and highly configurable triage program that will target essentially any device or storage location, find forensically useful artifacts, and parse them within a few minutes.
    ** If you enjoy this video, please consider supporting 13Cubed on Patreon at patreon.com/13cubed. **
    Introducing KAPE (Kroll Website):
    www.kroll.com/en/insights/pub...
    Introducing KAPE (Eric Zimmerman's Blog):
    binaryforay.blogspot.com/2019...
    Background Music Courtesy of Anders Enger Jensen:
    / hariboosx
    #Forensics #DigitalForensics #DFIR #ComputerForensics #WindowsForensics #KAPE
  • Наука та технологія

КОМЕНТАРІ • 27

  • @s.8494
    @s.8494 2 місяці тому

    Your videos are really valuable, thank you for the content you provide.

  • @christianjohansen9068
    @christianjohansen9068 4 роки тому

    Great intro video, thanks for taking the time!

  • @lautarob
    @lautarob 4 роки тому +1

    Excellent video, as usual. Thanks!

  • @ivanbogdasaebersold4690
    @ivanbogdasaebersold4690 5 років тому +1

    Excelent video and explanation, thank you!

  • @richmcelroy2382
    @richmcelroy2382 5 років тому +3

    Thanks. I just downloaded to test and your video made starting much easier. Keep up the good work

  • @gerardocaudillo1902
    @gerardocaudillo1902 5 років тому

    Awesome videos! Thank you so much

  • @IBITZEE
    @IBITZEE 5 років тому +2

    Great video.. Thanks...
    I was testing the EZ tools individually but this aggregation too seems more useful...
    Please make a video about he available modules and what they do...
    Thanks again...

  • @emran5897
    @emran5897 5 років тому +1

    Thanks for the video.........Sulthan

  • @TheMeltzz
    @TheMeltzz Рік тому +1

    Is so easy to understand with your video

  • @SajidKiani1
    @SajidKiani1 5 років тому

    Thanks for this great video. When you'll share the next of this for detail of all features?

  • @commandblocker2266
    @commandblocker2266 3 роки тому +1

    Thanks. great tool for fast evidence collection and finding leads. can you pl post something on creating and applying new modules?

    • @13Cubed
      @13Cubed  3 роки тому

      Interesting suggestion - I will consider a future episode that covers those topics.

  • @SecureTheWorld
    @SecureTheWorld 5 років тому

    Excellent Video, could you please list software used to edit your videos!

    • @13Cubed
      @13Cubed  5 років тому

      An iMac Pro and ScreenFlow primarily, and FCPX in the future for more advanced things.

  • @adkleiner
    @adkleiner 5 років тому +1

    When you run this on a live system, isn't there a concern of mistakenly modifying evidence? I know that this is a method of logical acquistion but I assume it can also run against targets which are mounted read only (from a physical acquisition previously done)?

    • @13Cubed
      @13Cubed  5 років тому +1

      Sure, when you run *anything* on a live system, including a memory capture, you are technically changing evidence. This cannot be helped, but the most important thing you can do is to document, document, document, especially if you suspect the investigation could be criminal or referred to law enforcement. Of course, as you stated, you could grab memory, verify encryption isn't in play, power off the system, and then create a triage image with KAPE against the drive connected via a write blocker.

  • @AnmutMossie
    @AnmutMossie Рік тому

    Target !ALL doesn't work in the newer versions. Any explanation?

  • @Calm_Energy
    @Calm_Energy 5 років тому +1

    Surprised you're not using powershell!

    • @Calm_Energy
      @Calm_Energy 5 років тому +1

      oh I see you switched to ps at the very end, just wondering if there was any particular reason not to use it from the beginning? I read cmd prompt will be getting phased out? Thanks for such great quality videos!

    • @13Cubed
      @13Cubed  5 років тому +2

      ​@@Calm_Energy No reason, I'm just old school. :)

  • @harshpanchal2202
    @harshpanchal2202 5 років тому

    Can this be used with docker?

    • @13Cubed
      @13Cubed  5 років тому +1

      Harsh Panchal Are you asking if it can be used to forensicate a Docker image, or if you can run it within Docker?

    • @harshpanchal2202
      @harshpanchal2202 5 років тому

      @@13CubedYes sorry, I meant if it can run with Docker?

    • @13Cubed
      @13Cubed  5 років тому +1

      ​@@harshpanchal2202 To be honest, I've never tried. Some testing will be required :)

    • @harshpanchal2202
      @harshpanchal2202 5 років тому

      @@13Cubed cool no worries mate. I'm planning to try that out so thought let me ask you. But please if you do let me know how it goes. Thanks

  • @kape5469
    @kape5469 4 роки тому

    My name

Наступне
Автоматичне відтворення
Windows MACB Timestamps (NTFS Forensics)28:09Windows MACB Timestamps (NTFS Forensics)
Windows MACB Timestamps (NTFS Forensics)13Cubed
Переглядів 26 тис.
Introduction to KAPE18:42Introduction to KAPE
Introduction to KAPESANS Digital Forensics and Incident Response
Переглядів 19 тис.
Prefetch Deep Dive36:15Prefetch Deep Dive
Prefetch Deep Dive13Cubed
Переглядів 16 тис.
КОЛИЧЕСТВО СЛОВ! Не говори, иначе зашьют рот 👹☠️00:36КОЛИЧЕСТВО СЛОВ! Не говори, иначе зашьют рот 👹☠️
КОЛИЧЕСТВО СЛОВ! Не говори, иначе зашьют рот 👹☠️Ная 😈👼🏻
Переглядів 3,5 млн
«Сусіди за три пакети їжі показали, що ми - родина військового». Спогади маріупольки про окупацію00:37«Сусіди за три пакети їжі показали, що ми — родина військового». Спогади маріупольки про окупацію
«Сусіди за три пакети їжі показали, що ми - родина військового». Спогади маріупольки про окупаціюСуспільне Івано-Франківськ
Переглядів 708 тис.
«Тут - прекрасна земля, і вона дає віддачу». Господар Іван Василюк про важку працю на городі00:39«Тут — прекрасна земля, і вона дає віддачу». Господар Іван Василюк про важку працю на городі
«Тут - прекрасна земля, і вона дає віддачу». Господар Іван Василюк про важку працю на городіСуспільне Івано-Франківськ
Переглядів 406 тис.
ДИНАМО - ПАРТИЗАН. Ліга чемпіонів. ПРЯМА ТРАНСЛЯЦІЯ3:08:26ДИНАМО – ПАРТИЗАН. Ліга чемпіонів. ПРЯМА ТРАНСЛЯЦІЯ
ДИНАМО - ПАРТИЗАН. Ліга чемпіонів. ПРЯМА ТРАНСЛЯЦІЯFootball Hub
Переглядів 422 тис.
Child Exploitation Investigation - Express Analysis with KAPE57:05Child Exploitation Investigation – Express Analysis with KAPE
Child Exploitation Investigation - Express Analysis with KAPEKroll
Переглядів 2,4 тис.
Introduction to Memory Forensics23:24Introduction to Memory Forensics
Introduction to Memory Forensics13Cubed
Переглядів 74 тис.
Getting Started with Plaso and Log2Timeline - Forensic Timeline Creation39:13Getting Started with Plaso and Log2Timeline - Forensic Timeline Creation
Getting Started with Plaso and Log2Timeline - Forensic Timeline Creation13Cubed
Переглядів 27 тис.
Beginner's Guide to the Bash Terminal1:14:37Beginner's Guide to the Bash Terminal
Beginner's Guide to the Bash TerminalJoe Collins
Переглядів 2,3 млн
What Causes a "Blue Screen" Crash?16:27What Causes a "Blue Screen" Crash?
What Causes a "Blue Screen" Crash?Dave's Garage
Переглядів 976 тис.
Remote Data Triage with F-Response and KAPE - Digital Forensics44:31Remote Data Triage with F-Response and KAPE - Digital Forensics
Remote Data Triage with F-Response and KAPE - Digital ForensicsKroll
Переглядів 1 тис.
Windows Application Compatibility Forensics19:02Windows Application Compatibility Forensics
Windows Application Compatibility Forensics13Cubed
Переглядів 21 тис.
Windows Memory Analysis17:50Windows Memory Analysis
Windows Memory Analysis13Cubed
Переглядів 28 тис.
Economist fact-checks Scott Galloway’s Anti-Boomer TED Talk26:05Economist fact-checks Scott Galloway’s Anti-Boomer TED Talk
Economist fact-checks Scott Galloway’s Anti-Boomer TED TalkMoney & Macro
Переглядів 41 тис.
ВСЕ процессоры 13-14 ПОКОЛЕНИЯ БРАК?! Почему теперь многие боятся собирать на Intel!29:15ВСЕ процессоры 13-14 ПОКОЛЕНИЯ БРАК?! Почему теперь многие боятся собирать на Intel!
ВСЕ процессоры 13-14 ПОКОЛЕНИЯ БРАК?! Почему теперь многие боятся собирать на Intel!Daniil Gerasimov
Переглядів 74 тис.
Какой ноутбук взять для учёбы? #msi #rtx4090 #laptop #юмор #игровой #apple #shorts00:18Какой ноутбук взять для учёбы? #msi #rtx4090 #laptop #юмор #игровой #apple #shorts
Какой ноутбук взять для учёбы? #msi #rtx4090 #laptop #юмор #игровой #apple #shortsBuy Smart┃Магазин ноутбуков
Переглядів 1,3 млн
40$ or 50$ or Typecase iPad keyboard #ipadkeyboard #ipadcase #typecase #ipad #ipadpro00:1540$ or 50$ or Typecase iPad keyboard #ipadkeyboard #ipadcase #typecase #ipad #ipadpro
40$ or 50$ or Typecase iPad keyboard #ipadkeyboard #ipadcase #typecase #ipad #ipadproTypecase
Переглядів 13 млн
🤔Думаешь S Pen легко потерять? Да, если не включить эту настройку😓00:19🤔Думаешь S Pen легко потерять? Да, если не включить эту настройку😓
🤔Думаешь S Pen легко потерять? Да, если не включить эту настройку😓Pochinka_blog
Переглядів 429 тис.
40$ or 50$ or Typecase iPad keyboard #ipadkeyboard #ipadcase #typecase #ipad #ipadpro00:1540$ or 50$ or Typecase iPad keyboard #ipadkeyboard #ipadcase #typecase #ipad #ipadpro
40$ or 50$ or Typecase iPad keyboard #ipadkeyboard #ipadcase #typecase #ipad #ipadproTypecase
Переглядів 13 млн
Infinix NOTE 40Pro+5G. НЕДОРОГОЙ СМАРТФОН С ФИШКАМИ ФЛАГМАНА13:44Infinix NOTE 40Pro+5G. НЕДОРОГОЙ СМАРТФОН С ФИШКАМИ ФЛАГМАНА
Infinix NOTE 40Pro+5G. НЕДОРОГОЙ СМАРТФОН С ФИШКАМИ ФЛАГМАНАThebox - о технике и гаджетах
Переглядів 46 тис.
Как распознать поддельный iPhone00:44Как распознать поддельный iPhone
Как распознать поддельный iPhonePEREKUPILO
Переглядів 2,2 млн
S24 Ultra and IPhone 14 Pro Max telephoto shooting comparison #shorts00:15S24 Ultra and IPhone 14 Pro Max telephoto shooting comparison #shorts
S24 Ultra and IPhone 14 Pro Max telephoto shooting comparison #shortsPhotographer Army
Переглядів 9 млн