⌨️Kape CLI

📝 Commande de Base

Cette commande exécute le fichier "kape.exe", en spécifiant la source, la destination, la cible, la destination du module et le module à utiliser: 

kape.exe --tsource [source] --tdest [destination] --target [target] --mdest [module destination] --module [module]

Paramètres :

  • --tsource [source] : Spécifie la source des données à collecter.

  • --tdest [destination] : Définit le répertoire de destination pour les données collectées.

  • --target [target] : Sélectionne la cible à collecter (artefacts).

  • --mdest [module destination] : Indique le répertoire de destination pour les données traitées par les modules.

  • --module [module] : Sélectionne le module à utiliser pour traiter les données collectées.

Options Avancées :

  • --tflush : Supprime tout le contenu de la destination cible avant de copier les données.

  • --no-mir : Désactive la résolution des noms de répertoire courts.

  • --transfer [container] : Transfère les artefacts collectés via un serveur SFTP ou un bucket S3 dans un conteneur spécifié (Zip, VHD ou VHDX).

  • --mname [base name] : Définit un nom de base pour tous les fichiers créés lors du transfert ou de l'emballage dans un conteneur.

  • --exclude [SHA-1] : Exclut les fichiers avec le SHA-1 spécifié de la collecte.

Exemple :

kape.exe --tsource C:\ --tdest D:\ForensicData --target KapeTriage --mdest D:\ProcessedData --module !EZParser

Cette commande collecte des artefacts à partir de la source C:, les enregistre dans le répertoire de destination D:\ForensicData, traite les données collectées avec le module !EZParser, et enregistre les résultats dans le répertoire de destination D:\ProcessedData.

🧩 Mode Batch

Le mode batch de KAPE permet d'exécuter plusieurs commandes de manière automatique à partir d'un fichier spécifié. Voici un guide complet pour utiliser le mode batch avec KAPE :

Création du Fichier Batch :

  • Ouvrez un éditeur de texte tel que le Bloc-notes.

  • Saisissez les commandes KAPE que vous souhaitez exécuter, une par ligne, dans le fichier. Par exemple :

--tsource C: --target KapeTriage --tdest C:\Users\thm-4n6\Desktop\Target --mdest C:\Users\thm-4n6\Desktop\module --module !EZParser

  • Enregistrez le fichier avec l'extension .cli, par exemple commands.cli.

Placement du Fichier Batch :

  • Placez le fichier .cli dans le même répertoire que l'exécutable de KAPE (kape.exe). Cela permet à KAPE de trouver et d'exécuter les commandes automatiquement.

Exécution de KAPE en Mode Batch :

  • Assurez-vous que le fichier .cli est bien placé dans le répertoire de KAPE.

  • Faites un clic droit sur l'exécutable KAPE (kape.exe).

  • Sélectionnez "Exécuter en tant qu'administrateur" dans le menu contextuel. Cela est nécessaire pour que KAPE ait les autorisations nécessaires pour collecter les données.

  • Attendez que KAPE exécute toutes les commandes spécifiées dans le fichier .cli.

Vérification des Résultats :

  • Une fois que KAPE a terminé l'exécution des commandes, vérifiez les résultats dans les répertoires de destination spécifiés dans les commandes. Vous trouverez les données collectées et traitées selon les spécifications.

Conseils Importants :

  • Assurez-vous que les chemins spécifiés dans les commandes sont corrects et accessibles.

  • Veillez à ce que le fichier .cli soit correctement formaté avec une commande par ligne, sans espaces supplémentaires ni caractères indésirables.

  • Pour exécuter des commandes supplémentaires, il vous suffit d'ajouter des lignes supplémentaires au fichier .cli avec les commandes correspondantes.

📋Résumé syntaxe

Collecte de données

Syntaxe
Description

tsource

Spécifie la source des données à collecter.

target

Sélectionne la cible à collecter (artefacts).

tdest

Définit le répertoire de destination pour les données collectées.

tlist

Liste les cibles disponibles. Utilisez "." pour le répertoire des cibles ou le nom du sous-répertoire sous Cibles.

tdetail

Affiche les détails du fichier cible.

tflush

Supprime tous les fichiers dans 'tdest' avant la collecte.

tvars

Fournit une liste de paires clé:valeur à utiliser pour le remplacement de variables dans les cibles. Exemple: --tvars user:eric permet d'utiliser %user% dans une cible qui est remplacé par eric à l'exécution.

tdd

Déduplicate les fichiers de --tsource (et les VSC, si activés) basés sur SHA-1. Le premier fichier trouvé l'emporte. Par défaut, TRUE.

Traitement des données

Syntaxe
Description

msource

Répertoire contenant les fichiers à traiter. Si vous utilisez des cibles et que cela est laissé vide, il sera défini sur --tdest automatiquement.

module

Sélectionne la configuration de module à utiliser.

mdest

Répertoire de destination pour enregistrer la sortie.

mlist

Liste les modules disponibles. Utilisez "." pour le répertoire des modules ou le nom du sous-répertoire sous Modules.

mdetail

Affiche les détails des processeurs de module.

mflush

Supprime tous les fichiers dans 'mdest' avant d'exécuter les modules.

mvars

Fournit une liste de paires clé:valeur à utiliser pour le remplacement de variables dans les modules. Exemple: --mvars foo:bar permet d'utiliser %foo% dans un module qui est remplacé par bar à l'exécution.

mef

Format d'exportation (csv, html, json, etc.). Remplace ce qui est dans la configuration du module.

Options avancées

Syntaxe
Description

sim

Ne copie pas réellement les fichiers dans --tdest. Par défaut, FALSE.

vss

Traite toutes les copies de volume qui existent sur --tsource. Par défaut, FALSE.

vhdx

Nom de base du fichier VHDX à créer à partir de --tdest. Cela doit être un identifiant, PAS un nom de fichier. Utilisez ceci ou --vhd ou --zip.

vhd

Nom de base du fichier VHD à créer à partir de --tdest. Cela doit être un identifiant, PAS un nom de fichier. Utilisez ceci ou --vhdx ou --zip.

zip

Nom de base du fichier ZIP à créer à partir de --tdest. Cela doit être un identifiant, PAS un nom de fichier. Utilisez ceci ou --vhdx ou --vhd.

PreviousKAPENextKAPE GUI

Last updated