Existe una función de usar módulos con Kape que puede llegar a sernos muy útil en nuestros procesos de análisis de evidencia en informática forense.
Ya hemos visto algunas funcionalidades de esta herramienta, como la de extraer información y hacer análisis forense. En este artículo veremos cómo usar módulos con Kape, que es la segunda opción que se nos presenta dentro de la plataforma.
Usar módulos con KAPE
Kape define los módulos como la ejecución de herramientas para interpretar y analizar los artefactos que hayamos sacado. La forma de usar módulos con Kape es la misma que en otras herramientas que ya hemos visto anteriormente.
Module source y module destination
Tenemos un module source, que es el lugar donde están nuestros artefactos. Esta sería la misma carpeta donde hemos extraído la información.
En el proceso de usar módulos con Kape, también tenemos el module destination o destino, que es la ruta de la carpeta donde se guardará lo que hagamos. Se debe tener cuidado, porque si activamos el checkbox de flush lo que hará el programa es que en cada ejecución nos va a borrar lo que hay, es decir, la carpeta donde hemos dicho que será el destino, cada vez que se ejecute la va a borrar y luego lo escribe.
Sección de módulos
En esta sección de usar módulos con Kape podemos ver todos los módulos que se van a ejecutar. La definición de los módulos es exactamente igual que la de los targets, pero difieren en decirle lo que queremos que nos saque; le diremos qué script queremos ejecutar y con qué comandos queremos hacerlo. Esto lo hacemos sobre la carpeta entera.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaEn este caso, la carpeta que utilizaremos será la carpeta Modules:
Dentro de todas las carpetas de Modules encontramos ficheros .mkape. Anteriormente era .tkape, por target kape, ahora cambia a .mkape, por modules kape. Existe una excepción, y es la carpeta bin, ya que, como sabemos, en esta carpeta es donde se guardan los ejecutables en todo programa.
Comandos dentro del fichero MFT
Entonces, tenemos en la carpeta EZTools todas las herramientas desarrolladas por E. Zimmerman. Digamos, por ejemplo, que queremos saber qué hay en la MFT:
¿Qué hace este comando? Le decimos que nos ejecute el fichero MFTECmd.zip. Si no le decimos una subcarpeta, él asume que el fichero está en la carpeta bin.
Lo siguiente que tenemos que preguntarnos es qué parámetro necesita. El -f es el fichero que le pasamos y se encuentra en la carpeta que le habíamos dicho de Source files (Module source).
Luego, le ponemos todos los parámetros que se necesitan para ejecutar el comando; en este caso solo son dos:
También vemos que aparece un código que dice que el archivo se exporta en formato CSV. Como vemos, uno de los comandos está en .csv y el otro en .json. Lo mejor es dejarlo en los formatos que se encuentran por defecto, porque no sabemos cuál es el CSV y cuál el JSON; más adelante podríamos crear conflictos internos si cambiáramos los formatos.
El problema es que si, por ejemplo, escogemos JSON y hay ficheros que no se ejecutan en dicho formato, sino solo en CSV, no los va a ejecutar. Por eso es mejor dejarlo todo como viene por defecto y si luego necesitamos acceder a herramientas específicas, lo hacemos manualmente.
Módulos de terceros
En el siguiente proceso de usar módulos con Kape, están los módulos que son de GitHub y de terceros, que están ya predefinidos, pero que tenemos que descargar al margen de la herramienta:
Tenemos, por ejemplo, Hayabusa:
Aquí tenemos lo mismo, pero, si nos fijamos, nos dice que el ejecutable se tiene que guardar dentro de la carpeta hayabusa\hayabusa.exe. Esto es lo que él va a ejecutar; es decir, cuando le digamos que ejecute el mkape, se va a venir a la carpeta donde esté guardada Hayabusa y dentro de esa carpeta va a buscar un binario que se llame hayabusa.exe.
Ya hemos visto cómo usar módulos con Kape. Si quieres seguir formándote para transformarte un gran profesional en áreas de ciberseguridad e informática forense, en KeepCoding tenemos la formación intensiva ideal para ti. Accede ya a nuestro Bootcamp en Ciberseguridad y descubre cómo puedes convertirte en un especialista en pocos meses con la guía de profesores expertos en el mundillo. ¡Solicita ya más información y transforma tu futuro!