新进化论

道生一,一生二,二生三,三生万物。

  博客园 :: 首页 :: 博问 :: 闪存 :: 新随笔 :: 联系 :: 订阅 订阅 :: 管理 ::

 Cofee介绍的地址:http://www.microsoft.com/industry/government/solutions/cofee/default.aspx

据CrunchGear报道,微软的一款名为COFEE的工具近日已经泄漏到网上,对于很多人来说这是一款非常陌生的微软产品,这是微软向国际刑警组织免费提供的证据提取工具,并不面向普通用户推广……

  据CrunchGear报道,微软的一款名为COFEE的工具近日已经泄漏到网上,对于很多人来说这是一款非常陌生的微软产品,这是微软向国际刑警组织免费提供的证据提取工具,并不面向普通用户推广。

 

  

 

 

 

 

 

 

 COFEE全称为“计算机在线法庭科学证据提取器(Computer Online Forensic Evidence Extractor)”,微软是这样描述的COFEE的:“有了COFEE,没有合适的计算机取证能力的执法机构可以轻松、可靠而且高效地收集现场证据。

 

一个只有最基础的计算机知识的人也可以在不超过10分钟的时间里学会如何使用配置好的COFEE设备,执法人员可以像专家一样收集重要的犯罪证据,其复杂程度就像将USB插入计算机那样。”

  简单地说,COFEE就是一种是形似U盘的提取工具,COFEE包含了超过150个信息收集、密码破解、网络嗅探等工具,可以快速绕过所有Windows的安全措施,并破解系统密码、显示网络浏览的历史,对电脑系统进行深入地搜索来获取证据。

  对于普通用户来说COFEE并没有太大用处而且也不适合使用,考虑诸多因素微软并没有公开发布COFEE,然而近日它却泄露到了网上,大小约为15MB。 

 

Law enforcement agencies around the world face a common challenge in their fight against cybercrime, child pornography, online fraud, and other computer-facilitated crimes: They must capture important evidence on a computer at the scene of an investigation before it is powered down and removed for later analysis. "Live" evidence, such as active system processes and network data, is volatile and may be lost in the process of turning off a computer. How does an officer on the scene effectively do this if he or she is not a trained computer forensics expert?

 

 
Related links
 
 
 
Share this on:
FacebookTwitterLinkedIndel.icio.usDiggStumbleUpon
 
 
 

To help solve this problem, Microsoft has created Computer Online Forensic Evidence Extractor (COFEE), designed exclusively for use by law enforcement agencies. COFEE brings together a number of common digital forensics capabilities into a fast, easy-to-use, automated tool for first responders. And COFEE is being provided—at no charge—to law enforcement around the world.

With COFEE, law enforcement agencies without on-the-scene computer forensics capabilities can now more easily, reliably, and cost-effectively collect volatile live evidence. An officer with even minimal computer experience can be tutored—in less than 10 minutes—to use a pre-configured COFEE device. This enables the officer to take advantage of the same common digital forensics tools used by experts to gather important volatile evidence, while doing little more than simply inserting a USB device into the computer.

The fully customizable tool allows your on-the-scene agents to run more than 150 commands on a live computer system. It also provides reports in a simple format for later interpretation by experts or as supportive evidence for subsequent investigation and prosecution. And the COFEE framework can be tailored to effectively meet the needs of your particular investigation.

To help combat the growing number of ways that criminals use computers and the Internet to commit crimes, Microsoft is working with INTERPOL and the National White Collar Crime Center (NW3C) to provide COFEE at no cost to law enforcement agencies in 187 countries worldwide. INTERPOL and NW3C are also working with Florida State University and University College Dublin to continue the research and development that will help ensure that COFEE serves the needs of law enforcement, even as technology evolves.

Law enforcement can get COFEE from NW3C at www.nw3c.org or by contacting INTERPOL at COFEE@interpol.int.

If it's vital to government, it's mission critical to Microsoft.

 

Computer Online Forensic Evidence Extractor

Microsoft's COFEE Spills All Over Internet, First Exclusive Images On Internet

Read more: http://www.megaleecher.net/taxonomy/term/8322#ixzz1sDNyogYL
 

 As quite expected Microsoft's automated computer forensic utility COFEE (Computer Online Forensic Evidence Extractor) meant for law-enforcement agencies got leaked on internet and is now readily available on torrent portals and file-sharing websites.

These Are The First EXCLUSIVE Images Of COFEE Utility

The utility is designed EXCLUSIVELY for crime-investigators allowing quick and fully-automated extraction of forensic data from computers suspected of containing criminal activity evidence letting investigators search through data on-site, the utility is provided for free by Microsoft to law-enforcement agencies world-over in a USB device which executes more then 150 commands to collect forensic data offering features such as the ability to decrypt passwords, search the computer's Internet activity, and analyze the data stored on it even including the data stored in volatile memory.

Computer Online Forensic Evidence Extractor

 

How Cofee Works 

 

针对微软COFEE工具泄露事情所引起的用户质疑,微软内部有工程师进行了澄清。

  以下为邮件原文:

  各位同事:

  计算机在线法证提取工具(Computer Online Forensic Evidence Extractor,缩写为COFEE)是微软基于与国际刑警组织所签订的许可协议,为国际刑警组织所免费开发的一款在线Windows计算机系统犯罪证据提取工具。该工具包括英文、法文、德文、中文、俄罗斯文五个语言版本,于2008年交付给国际刑警组织,允许国际刑警组织187个成员国的政府相关执法人员使用(包括中国)。

  近日,该工具被泄露到互联网上,部分中文站点在翻译转载说明时,过分夸大事实,例如以下新闻内容

  “据CrunchGear报道,微软的一款名为COFEE的工具近日已经泄漏到网上,对于很多人来说这是一款非常陌生的微软产品,这是微软向国际刑警组织免费提供的证据提取工具,并不面向普通用户推广.COFEE全称为“计算机在线法庭科学证据提取器(Computer Online Forensic Evidence Extractor)”,微软是这样描述的COFEE的:

  “有了COFEE,没有合适的计算机取证能力的执法机构可以轻松、可靠而且高效地收集现场证据。 一个只有最基础的计算机知识的人也可以在不超过10分钟的时间里学会如何使用配置好的COFEE设备,执法人员可以像专家一样收集重要的犯罪证据,其复杂 程度就像将USB插入计算机那样。”

  简单地说,COFEE就是一种是形似U盘的提取工具,COFEE包含了超过150个信息收集、密码破解、网络嗅探等工具,可以快速绕过所有Windows的安全措施,并破解系统密码、显示网络浏览的历史,对电脑系统进行深入地搜索来获取证据。

  对于普通用户来说COFEE并没有太大用处而且也不适合使用,考虑诸多因素微软并没有公开发布COFEE,然而近日它却泄露到了网上,大小约为15MB。”

  导致多个用户/同事致电询问此事,认为微软在 Windows 系统中留有后门/漏洞,对 Windows 系统的安全性提出质疑。

  为了避免潜在的对于 Windows 系统后门/漏洞/安全性的质疑,在此进行COFEE的澄清说明

  1、 COFEE仅搜集计算机法证所用的相关信息,例如系统信息、用户信息、网络通讯信息等,本身力求保证原系统的完整性与数据精确性,不会对操作系统进行任何的破坏;

  2、 COFEE本身为一系列Windows resource kit/Microsoft sysinternal tools工具的集合,所调用的工具,均可以从Internet上公开下载;

  3、 COFEE在执行取证操作时,同样严格遵守操作系统的访问控制与进程操作,并非基于系统的漏洞或后门;

  4、 COFEE不能破解Bitlock/EFS加密的数据信息;

  5、 目前COFEE官方支持的操作系统为 Windows XP,但是同样可以在其他Windows 操作系统上运行。

  6、 关于 COFEE 搜集的信息,可以参考附件中的完整的样本输出报告 

  7、 其他信息,可以参考附件中的  

 

注: 但是经过测试,15M的那个是无法使用的,仅仅只能查看说明文档,真正可以安装的cofee应该是一个30.6M的文件。
经过FQ查找,找回来一个完整版的,原先的文件是放在国外网盘里面,需要FQ才能下载 
 微软COFEE v1.1.2 -正在提供给执法机构雇用在美国和加拿大的个人。 COFEE指计算机网络法医证据提取工具,在一个USB驱动器和自动适合的数据提取和相关文件命令执行。分布仅限于执法机构。访问COFEE产品需要与执法机构和协议的条款和分许可协议的Microsoft/NW3C就业条件的核查。 



什么是COFEE? 
  COFEE包括三个主要组成部分:为调查图形用户界面,命令行应用程序执行在目标机器上,以及由此所COFEE和命令行应用程序管理的个人工具。 
主要有两种类型的现场取证调查工具-现场信息采集工具和远程在线采集工具。计算机网络法医证据提取(COFEE)便是一个活生生的信息和非易失性数据采集系统取证。 
在GUI界面开发管理工具选择,生成脚本,装到USB设备的程序,并建立一个收集到的数据报告。 
命令行应用程序的开发和执行控制在目标机器上的选择工具。 

数字取证属性和原则: 
在任何数字取证调查,数字法医专家和法律顾问应确保三者之间的平衡,主要属性:侦察,相关性和数字证据的可靠性。在任何数字取证调查,调查人员应始终以实现数据采集的最高限额,同时还有一个关于完整或数据的准确性造成轻微的影响。 
当应用侦察,相关性和可靠性的现场调查取证 
环境,这是最重要的是任何调查工具应至少在经营性的方法。 
这也是至关重要的目标计算机上进行的所有操作进行记录,以最大程度地。这在收集数据的可靠性器材,以及对目标机器的完整性。 
大努力,采取了确保执行过程COFEE离开最小尺寸在目标机器上的可能。 

挥发性信息收集: 
具体信息COFEE收集各有不同,取决于选择的配置文件,但不稳定的收集的信息类型包括: 
•日期和时间。 
•开放的网络连接和其他网络相关的信息。 
•用户帐户信息(包括当前登录的用户)。 
•当前的进程和服务。 
•打开的文件和注册表信息。 

为什么要使用COFEE? 
在COFEE,GUI接口是用于法医工具的编制和分配数字取证的执行顺序。据现场取证的准则,调查人员应考虑到证据波动秩序,而因与目标机器最少的交互。 
COFEE的设计是为了提供调查的能力,收集与用户交互的最低目标系统的证据。图形用户界面后,生成一个COFEE USB设备(复制所有脚本和程序),调查人员可以在设备和方便地插入到目标机器上,并开始执行一个程序的收集过程。 
而具体的计划都作为配置文件的一部分,包括选择,咖啡允许经验丰富的调查,以添加或删除任何程序,他们的愿望,以及创建任何配置,以满足其特定需求的调查。 

谁应该使用COFEE? 
  COFEE是为了满足用户不同的两个阶层的需求:法医检验和前线调查员。图形用户界面的控制台,它允许用户创建配置文件和生成COFEE USB设备,目的是由电脑法理鉴证检验经营。在建立档案需要用户有一个确切了解的工具将被处决,其背后的内部文件中列入的理由。 
命令行应用程序,但是,需要最少的培训,因为脚本的进程已被法医检验设计。这使得任何前线调查人员使用这个工具,收集数据。一旦数据被收集,USB设备应归还法医进行分析检验。 

工具箱命令帮助IT,调查人员和法医科学家快速检索的调查()法医数据为证明自己的电脑犯罪活动嫌疑人,必要的信息。 
COFEE允许法医科学家研究直接经营模式的网站在自动数据。 
随着COFEE创建一个特殊的USB驱动器启动,然后运行犯罪嫌疑人电脑程序收集证据。微软承诺,该程序处理的新手。 
工具包COFEE并非机密或秘密计划由微软开发的安全官员,美国和加拿大,但此工具不是为公众提供免费下载一个很长的时间,虽然拥有一个COFEE普通用户的好处是很成疑问。 
不过,有兴趣的人可以学习如何和什么数据能够提取调查人员使用此工具。
posted on 2012-04-16 22:43  岌岌可危  阅读(648)  评论(0编辑  收藏  举报