KAPE on 办公AI智能小助手

KAPE：数字取证神器全面解析

Wed, 05 Nov 2025 12:47:34 +0800

介绍 KAPE！

（来自手册内容，建议阅读完整手册…）

什么是 KAPE？

Kroll Artifact Parser and Extractor（KAPE）主要是一个分类程序，能够针对设备或存储位置，根据需求找到最相关的取证工件，并在几分钟内完成解析。由于其高速特性，KAPE使调查人员能够找到并优先处理案件中更关键的系统。此外，KAPE可以在成像过程开始前收集最关键的工作。在成像完成期间，KAPE生成的数据可以用于审查线索、构建时间线等。

KAPE 0.9.2.0 发布：数字取证工具的重大更新

Tue, 04 Nov 2025 20:05:03 +0800

KAPE 0.9.2.0 发布！

公告！

KAPE 已获得4Cast年度非商业软件奖提名！请花18.5秒为KAPE投票！=)

https://forensic4cast.com/forensic-4cast-awards/2020-forensic-4cast-awards/

公告结束！

注意：如果在更新或使用–sync时遇到奇怪错误，请使用–debug选项查看导致问题的文件。对大多数人来说，只需删除有问题的文件即可解决。最坏情况下，只需删除本地KAPE安装并重新下载。

KAPE 0.8.6.1发布：数字取证工具的重大更新

Tue, 04 Nov 2025 00:54:21 +0800

KAPE 0.8.6.1发布

此版本的变化包括：

使用传输选项时，当使用–zm true时，将模块输出传输到目标位置。这将模块的输出作为zip文件推送到目标服务器。您仍然可以选择性地传输目标收集内容
对于批处理模式，添加–ul开关。这代表"使用线性"，当在条目上设置时（理想情况下应该是第一个条目），KAPE将一次运行一个_kape.cli实例，而不是同时启动所有实例。对于细粒度控制批处理模式非常有用
在gkape中，通过双击查看配置时记住选定的目标和模块。这使得检查配置成为可能，而不必重新选择之前选择的所有内容
将–mvars分隔符更改为^，因为逗号经常在变量定义中使用。还调整了包含:的变量的处理方式（现在它们可以正常工作，而不是被截断）
当KAPE更新模块的输出文件以避免覆盖现有文件时，将新输出文件的名称报告给控制台，以便知道哪个输入文件对应哪个输出文件
修复模块处理中标准输出和标准错误同时写入的罕见问题
将模块中重定向StandardError到输出文件改为将其写入控制台。这防止在StdErr上混合正常输出的程序破坏输出文件
在模块的处理器部分添加了"Append"属性（可选）。如果为true，数据将附加到ExportFile的值。如果append为false，将生成新的唯一文件名以防止文件被覆盖
将日志文件、文件名等中使用的所有时间戳标准化为相同的时间戳（当KAPE执行时）而不是文件创建时。这使得将相关事物分组更容易
通过–s3*开关添加了AWS S3传输支持
通过–asu开关添加了Azure存储传输（SAS Uri）
更新了gkape以支持最新功能

亮点

文档已更新以包含所有这些功能。

KAPE 0.8.7.0发布：数字取证工具的重大更新

Sun, 02 Nov 2025 06:01:55 +0800

KAPE 0.8.7.0 发布！

变更日志

重构了 --sync 命令，以允许并尊重目标和模块中的子目录。--sync 将根据 KapeFile 仓库重新组织内容。不在 KapeFiles 仓库中的配置最终会放在 !Local 目录下
彻底改进了目标和模块的组织结构。复合目标和模块无需更新到新位置。KAPE 会根据需要动态定位基础配置
通过新的配置组织，KAPE 现在可以拉取在 --target 或 --module 中指定目录下的所有配置。这样，目录就像复合配置一样工作
tlist 和 mlist 现在期望一个路径来查找配置。使用 . 开始。提供的路径中的所有配置以及子目录都会显示
在 gkape 的目标和模块网格中添加了 Folder 列。按此列分组可以轻松查看各种文件夹中的内容
调整了传输设置验证，确保目标可写
移除了 --sow 开关
在 SFTP 服务器模式下，显示每个定义用户连接到 SFTP 服务器所需的 KAPE 开关。这使得通过复制/粘贴告诉 KAPE 推送到 SFTP 服务器变得非常容易
添加了 --sftpu 开关，默认为 TRUE，用于确定在 SFTP 服务器模式下是否显示 SFTP 服务器用户密码
在目标定义中添加了 FollowReparsePoint 和 FollowSymbolicLinks。这些是可选的，应根据需要使用的。如果不存在，两者的默认值均为 false。这是 KAPE 迄今为止的行为。设置为 true 将遵循某些程序（如 Box、OneDrive 等）使用的重解析点或符号链接
其他小调整和 nuget 更新

亮点

目标和模块的新布局

目标和模块目录都已重新组织。这将使将来在正确位置查找和添加新内容变得更加容易。新的组织结构如下所示（部分输出）：

KAPE数字取证工具v0.8.1.0版本发布：新增UNC路径支持与安全检查

Fri, 24 Oct 2025 15:56:53 +0800

KAPE v0.8.1.0 发布！

TL;DR： 使用您收到邮件时相同的URL下载更新！

0.8.1.0版本变更：

为--tsource和--tdest参数添加UNC路径支持
改进目标存储空间不足的检测
当--mdest和--tdest相同时添加检查并禁止此操作
当--msource不等于--tdest时发出警告
澄清EULA第1.3节关于使用范围的内容

让我们探索一些重要变更

UNC路径支持

首先，让我们写入UNC路径：