Microsoft COFEE, v1.1.2 Опции

[.Stealth]

Убежал COFEE
Тайное оружие разработанное Майкрософт для силовиков, Microsoft COFEE, утекло в Интернет.
За него давали много, и никто не надеялся, что его когда-то удастся закачать, но вчера это произошло.

Microsoft Computer Online Forensic Evidence Extractor (COFEE) — набор инструментальных средств, команд помогающий IT-следователям и криминалистам быстро извлекать необходимую для следствия информацию (forensic data) с ПК подозреваемых для доказательства их криминальной активности. COFEE позволяет криминалистам искать по данным прямо на месте эксплуатации в автоматическом режиме. С помощью COFEE создается специальный загрузочный USB диск, который затем запускает программу собирающую улики с ПК подозреваемого.
Microsoft обещает, что с программой справится начинающий пользователь. Набор средств COFEE не является секретной или тайной программой разработанной компанией Microsoft для силовиков США И КАНАДЫ, но этот инструментарий не был общедоступен для свободного скачивания весьма длительное время, хотя польза от обладания COFEE обычным пользователем весьма сомнительна. Тем не менее заинтересованные лица смогут узнать как и какого именно рода данные способны извлечь следователи с помощью этого инструментария.

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

MICROSOFT COFEE v1.1.2 - is being made available to individuals employed by law enforcement agencies within the United States and Canada. COFEE means the Computer Online Forensic Evidence Extractor tool that fits on a USB drive and automates the execution of commands for data extraction and related documentation. Distribution is limited to law enforcement agencies. Access to the COFEE product requires verification of employment with a law enforcement agency and agreement to the terms and conditions of the Microsoft/NW3C Sublicense Agreement.

What is COFEE?
COFEE consists of three major components: the GUI interface for the investigator, the command line application to be executed on the target machine, and the individual tools which are managed by COFEE and the command line application.
There are two major types of live forensics investigation tools – Live Information Acquisition tools and Remote Online Acquisition tools. Computer Online Forensic Evidence Extractor (COFEE) is a live information and volatile data forensics acquisition system.
The GUI interface was developed for managing the tool selection, generating scripts, loading programs onto a USB device, and creating a report from the collected data.
The command line application was developed for controlling and executing a set of selected tools on the target machine.

Digital Forensics Attributes and Principles:
In any digital forensics investigation, digital forensics specialists and legal advisors should ensure the balance between the three main attributes: Reconnaissance, Relevancy and Reliability of the digital evidence. In any digital forensics investigation, the investigator should always attempt to achieve the maximum amount of data acquisition while having a minimal effect on the integrity or accuracy of the data.
When applying Reconnaissance, Relevancy and Reliability to the live forensics investigation
environment, it is paramount that any investigative tool used should operate in the least intrusive way.
It is also vital that all operations conducted on a target machine be documented to the best extent possible. This aids in the reliability of the collected data, as well as the integrity of the target machine.
Great effort was taken to ensure that the COFEE execution process leaves the smallest footprint possible on the target machine.

Volatile Information Collected:
The specific information collected by COFEE varies depending upon which profile is selected, however the type of volatile information collected includes:
• Date and Time.
• Open network connections and additional network related information.
• User account information (including the currently logged on user).
• Current processes and services.
• Open files and registry information.

Why Use COFEE?
In COFEE, the GUI interface is used for the preparation of the forensics tools and the assigning of the digital forensics execution order. According to live forensics guidelines, investigators should take into account the order of evidence volatility, while having minimal interaction with the target machine.
COFEE has been designed to provide the investigator the ability to collect evidence from a target system with the minimum of user interaction. After the GUI interface generates a COFEE USB device (copies all scripts and programs), the investigator can take the device and easily insert it onto a target machine, and begin the collection process by executing a single program.
While specific programs have been selected as part of the included profiles, COFEE allows a seasoned investigator to add or remove any program they desire, as well as create any profile to meet their specific investigative needs.

Who Should Use COFEE?
COFEE was designed to meet the needs of two distinct classes of users: the forensic examiner and the front line investigator. The GUI console, which allows the user to create profiles and generate COFEE USB devices, was designed to be operated by a computer forensic examiner. The creation of profiles requires that the user have a firm understanding of the tools to be executed and the reason behind their inclusion within the profile.
The command line application, however, requires minimal training because the scripting process has already been designed by a forensic examiner. This allows any front line investigator to use this tool and collect data. Once the data is collected, the USB device should be returned to the forensic examiner for analysis.

Вот что пишет пресса
Интерпол планирует распространить и использовать специализированное аналитическое программное обеспечение Microsoft для работы с криминалистическими данными. Соглашение об этом на днях было достигнуто между сторонами, а сейчас разработка распространяется между 187 странами-членами Интерпола.
Комплекс Cofee (Computer Online Forensic Evidence Extractor – интерактивный извлекатель доказательств из компьютеров) представляет собой USB-накопитель («флэшку»), на которой записано более 150 специализированных программ, помогающих собирать электронные доказательства нелегальной деятельности на месте преступления. По данным Microsoft, сейчас в мире Cofee используют около 2000 офицеров полиции из 15 стран.
Технически, система Cofee в большей степени ориентирована на работу с цифровыми уликами - фотографиями, записями мобильных телефонов, данными аудио и видео наблюдения. Однако, пожалуй, главным преимуществом технологии являются ее развитые аналитические возможности - Cofee способна создавать целостные данные из фрагментарных доказательных элементов таким образом, чтобы их можно было представить в суде.
Не каждый может получить в свое распоряжение флэшку с Cofee – производитель собирается тщательно контролировать распространение столь мощного инструмента. По некоторым неподтвержденным сведениям, инструменты Cofee позволяют обойти самые стойкие пароли с помощью специальных функций, тайно встроенных в Windows. Кроме того, утилиты Cofee позволяют извлечь электронные свидетельства преступлений с компьютеров таким образом, чтобы не оставлять за собой никаких следов, способных повлиять на принятие этих доказательств в суде.

Год выпуска: 2009
Разработчик: Microsoft


Залито на: Upload.com.ua | RapidShare.com

MICROSOFT COFEE (14.1 Mb)


Сообщение отредактировал .Stealth - Apr 24 2010, 19:47

[ZILOK]

ну и какие же познания получил тот кто юзал или знакомился с этой прогой? Интересно ведь знать что к чему и как бороться ведь у нас каждого кого посадют в тюрму не объясняя ни слова буде понимать в глуюине души за что его взяли...

[aryan]

как говорят люди, ничего особенного в этой тулзе нет. просто куча инструментов заточена под конкретную тему. вот цитата одного из активных "юзеров":

No need to get testy about it. I’m law enforcement (US) and have it. It is simply a bunch of FREE, fairly available bit’s of software that was put together for a specific task, and does it quickly. You can’t hide it, or do much sneaking with it, you have to have physical control of the computer to use it. Here in the U.S., that requires a search warrant. If you haven’t been doing anything illegal, it shouldn’t be any problem. Our search warrant (here) requires that electronic devices be listed in the warrant or you don’t touch (unless of course, you view something “in plain view”). I have found every single piece of software in COFEE on the web elsewhere, available for FREE. The two guys (one now works for MS) simple put them to use with a single interface that give you a result sheet. We still have to use police/law and computer skills to make any sense out of it or make a case out of it. In fact, I have used (before COFEE) many of the tools in batch files or on a linux boot CD, and YES most of them work on LINUX based OS’s, in fact, Linux guys have created plenty of neat tools to do the same on Linux. I am now seeing numerous tools for the Mac’s available for FREE. All that is being done here is that Microsoft gave cops a little boost/help and thankfully hasn’t given it out to the public, as it would surely be abused. You should be happy, as it has saved tax payers a lot of money over the PAY software that usually starts at $5,000 and goes up.

[CBO6ODA]

я был на курсах БМС консалтинг по информационной безопасности, очень интересно. чтобы много не рассказывать глянете в спойлер. Ну а для себя я понял одно... даже если уничтожил данные на своей машине то есть куча косвенных улик и можно доказать вашу причастность. Вывод: осторожность и еще раз осторожность. Ну и тестить данный продукт рекомендую после создания образа, а потестив восстановить образ удалив всё на диске где была программа...почему? ведь это может быть программа содержащая в себе модуль для сбора и обмена данными Будьте бдительны.

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

Владимир Безмалый

Анализ данных

В этой статье мы обсудим различные подходы к анализу доказательств, собранных на стадии сбора данных внутреннего расследования.

При проведении расследований часто приходится анализировать сетевые данные. При этом используется следующая процедура:
Исследовать сетевые файлы журналов на предмет наличия событий, которые могут представлять интерес. Как правило, файлы журналов содержат огромные объемы данных, так что стоит делать выборку по определенным критериям. Например, имя пользователя, дата и время либо ресурс, к которому обращались.
Исследовать систему сетевой защиты, proxy-сервер, систему обнаружения вторжения и файлы журналов служб удаленного доступа.
Рассмотреть файлы журналов сетевого монитора для определения событий, произошедших в сети.
С помощью любого сниффера рассмотреть сетевые пакеты.
Определить, зашифрованы ли сетевые подключения, которые вы исследуете.

Анализ данных рабочих станций

Данные рабочих станций включают информацию о таких компонентах, как операционная система и установленные приложения. Используйте следующую процедуру, чтобы анализировать копию данных, полученных на стадии сбора данных.
Идентифицируйте собранные материалы. Стоит учесть, что собранных с рабочих станций данных будет намного больше, чем необходимо для анализа инцидента. Следовательно, требуется заранее выработать критерии поиска событий, представляющих интерес для расследования. Например, можно использовать Microsoft Windows Sysinternals Strings tool для поиска файлов, расположенных в папке \Windows\Prefetch. Эта папка содержит информацию о том, где, когда и какие приложения были запущены.
Исследуйте данные операционной системы и любые данные, загруженные в память компьютера, чтобы определить, выполняются ли (подготовлены ли к запуску) любые приложения или процессы. Например, для того, чтобы увидеть, какие программы будут выполнены в процессе загрузки или входа в систему, можно использовать Windows Sysinternals AutoRuns.
Исследуйте выполняющиеся прикладные программы, процессы, сетевые подключения. Например, можно найти прикладные программы с соответствующими названиями, но стартовавшие из ненормативных мест. Для выполнения подобных задач можно использовать Windows Sysinternals ProcessExplorer, LogonSession и PSFile.

Анализ носителей данных

Носители данных, собранные в ходе сбора данных, будут содержать много файлов. Однако придется проанализировать эти файлы, чтобы определить их причастность (или непричастность) к инциденту. Ввиду огромного количества файлов эта процедура может быть чрезвычайно сложной.

Для того чтобы извлечь и проанализировать данные, расположенные на собранных носителях данных, можно применить следующую процедуру:
Проведите автономный анализ поразрядной копии оригинального доказательства.
Определите, использовалось ли шифрование данных (Encrypting File System, EFS) в Windows Microsoft. Для установления факта применения EFS потребуется исследование определенных разделов реестра. Как просмотреть необходимые разделы, рассказано в статье «Encrypting File System in Windows XP and Windows Server 2003» (http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx ) из Microsoft TechNet. Если вы подозреваете, что шифрование данных все же использовалось, придется определить, удастся ли прочитать зашифрованные данные. Это будет зависеть от многих обстоятельств: версии Windows, входит ли данный компьютер в домен, каким образом был развернут EFS. Для получения дополнительной информации о EFS можно обратиться к статье «The Encrypting File System» (http://www.microsoft.com/technet/security/guidance/cryptographyetc/efs.mspx ) на Microsoft TechNet. Существуют и внешние инструментальные средства восстановления EFS, например Advanced EFS Data Recovery (http://www.elcomsoft.com/aefsdr.html ) от компании Elcomsoft.
В случае необходимости распакуйте любые сжатые файлы.
Создайте дерево каталогов. Может быть очень полезно графически представить структуру каталогов и файлов на носителях данных, чтобы затем эффективно анализировать файлы.
Идентифицируйте файлы, представляющие интерес. Если вы знаете, какие файлы затронул инцидент безопасности, можно вначале сосредоточить расследование на этих файлах. Для сравнения известных файлов (входящих в состав операционной системы или прикладных программ) могут использоваться наборы хешей, созданные National Software Reference Library http://www.nsrl.nist.gov/ . Для категорирования и идентификации файлов можно использовать информационные сайты типа http://www.filespecs.com/ , Wotsit’s Format (http://www.wotsit.org/ ), http://www.processlibrary.com/ и Microsoft DLL Help (http://support.microsoft.com/dllhelp/Default.aspx ).
Исследуйте реестр для получения информации о процессе загрузки компьютера, установленных приложениях (включая загружаемые в процессе запуска) и т. д. Просмотреть информацию о системном реестре и детальное описание содержания системного реестра можно в Windows Server 2003 Resource Kit Registry Reference http://technet2.microsoft.com/WindowsServe...3.mspx?mfr=true . Для исследования реестра доступны различные инструментальные средства, включая RegEdit, входящий в состав операционной системы Windows, Windows Sysinternals RegMon for Windows http://go.microsoft.com/?linkId=6013256 и Registry Viewer <http://www.accessdata.com/products/ >от AccessData.
Исследуйте содержание всех собранных файлов, чтобы идентифицировать те из них, которые могли бы представлять интерес.
Изучите файлы метаданных, представляющие интерес, используя инструментальные средства типа Encase от Guidance Software (http://www.guidancesoftware.com/ ), The Forensic Toolkit (FTK) от AccessData (http://www.accessdata.com/ ) или ProDiscover от Technology Pathways (http://www.techpathways.com/ ). Следует учесть, что атрибуты файла (метка времени) могут показать время создания, последнего обращения и последнего изменения, которые могут быть полезны при исследовании инцидента.
Для просмотра идентифицированных файлов используйте специальные средства просмотра этих файлов, что позволит просматривать файлы без использования создавшего эти файлы оригинального приложения. Обратите внимание, что выбор средства просмотра определяется типом файла. Если средство просмотра недоступно, используйте оригинальное приложение для исследования файла.

Проанализировав всю доступную информацию, вы сможете подготовить заключение. Однако на этой стадии чрезвычайно важно быть очень осторожным и гарантировать, что вы не обвините невиновную сторону. Если вы уверены в результатах, можете приступить к подготовке отчета.

Подготовка отчета о расследовании

В данном разделе мы рассмотрим создание итогового отчета по расследованию.

Сбор и упорядочение информации для отчета

В ходе расследования на каждой стадии создавались промежуточные отчеты о совершении определенных действий. На данной стадии следует упорядочить эту информацию по соответствующим категориям. Для этого:
Соберите всю документацию и примечания, полученные на всех стадиях проведения расследования.
Идентифицируйте те части документации, которые соответствуют целям расследования.
Идентифицируйте факты, поддерживающие выводы, которые затем вы будете делать в отчете.
Создайте список всех доказательств, которые будут представлены в отчете.
Перечислите любые заключения, которые затем будут представлены в отчете.
Классифицируйте информацию для ясности и краткости отчета.

Создание отчета

После упорядочения информации ее следует использовать для создания итогового отчета. Причем необходимо учитывать аудиторию, для которой он предназначен.

В отчете должны быть следующие разделы:
Цель отчета. Ясно объясните цель отчета, опишите аудиторию, на которую он рассчитан, и причины создания данного отчета.
Авторы отчета. Перечислите всех авторов и соавторов отчета, включая их позиции и обязанности в ходе расследования.
Краткое описание инцидента. Опишите инцидент, объясните его воздействие. Описание должно быть составлено таким образом, чтобы не только технический специалист мог понять, что и как произошло.
Доказательства. Обеспечьте описания доказательств, которые были получены в ходе расследования. При описании доказательств укажите, как оно было получено, когда, кем и каким образом.
Подробности. Обеспечьте детальное описание того, как были проанализированы доказательства. Объясните результаты анализа. Перечислите процедуры, которыми сопровождалось расследование, и использованные методы анализа. Включите в отчет доказательства результатов.
Заключение. Суммируйте результат расследования. Процитируйте определенные доказательства, чтобы подтвердить заключение, однако не описывайте слишком подробно, как было получено это доказательство. Заключение должно быть максимально ясным.
Приложения. Включите любую основную информацию, упомянутую в отчете, типа сетевых диаграмм, документов, описывающих используемые компьютерные процедуры расследования, и краткие обзоры технологий, используемые при проведении расследования. Приложения должны обеспечить достаточно информации для читателя отчета, чтобы можно было понять суть инцидента настолько полно, насколько это возможно.

В таблицах приведена информация о различных инструментальных средствах, которые могут использоваться в компьютерных расследованиях.

Владимир Безмалый ([email protected] ) — руководитель программы подготовки администраторов информационной безопасности «Академии БМС Консалтинг». MVP in Windows Security

И еще...как-то тестил программу форенсик по мобильным телефонам...штука хорошая...но..или кривые руки, или шнур кто дернул и слетела прошивка телефона, ставили новую.

Сообщение отредактировал CBO6ODA - Nov 10 2009, 10:02

[ziv]

Откровенно говоря, меня, как непрофессионала в данной области, очень бы заинтересовало то, как обойти или избежать экстракции файлов данным инструментом.

[CBO6ODA]

если модуль установлен уже на вашей машине вами же..то никак. Если кто-то добрался до вашей машины с прямыми руками и спецсофтом...тоже никак.

я делаю так. стоит винда и все что нужно, сделан чистый образ этого всего. потом установлена программа Shadow Defender или аналоги. Программа не дает ничего менять и запоминать после перезагрузки компа + работаю на съемном носителе. ЭТО ПАРАНОИДАЛЬНЫЙ МЕТОД но и он может не спасти, есть же переменные среды хранения данных из которых и достают информацию.

в Канаде например, у многих провайдеров стоят такие модули и если конечный пользователь качает с варёзных сайтов его попросту блокируют. А мои друзья в Канаде наотрез отказались устанавливать ломаный софт на свои компьютеры.

Сообщение отредактировал CBO6ODA - Nov 10 2009, 10:48

[Valik_kiev]

Что-то эта програмулька мало информации выдает, и очень не удобна в использовании. Есть по лучше софт EnCase Portable

[x1shn1k]

Что-то эта програмулька мало информации выдает, и очень не удобна в использовании. Есть по лучше софт EnCase Portable

Не пишите бред. Сколько ваш EnCase стоит? Не нашел я цифр, но думаю что не мало. А сколько стоит Mircrosoft Cofee? Нисколько, потому что распространяется, похоже, бесплатно, хоть и не официально.

[Lord Mike]

2 x1shn1k
Уважаемый, скорее Ваш ответ - это бред.
Я не пробовал EnCase пользовать, но уверенность в том, что цена напрямую от качества зависит ВСЕГДА - наивность. А программа "Microsoft Cofee" не имеет рыночной стоимости, поскольку не предназначена для широкого рынка. Посему сравнивать эти программы чисто по цене - смешно. Это любой экономист подтвердит.

[x1shn1k]

А я примерно знаю что из себя представляет EnCase, потому как недавно интересовался тем что называется "Computer Forensic". И в той литературе, которую я читал, встречался этот самый EnCase. Я примерно представляю на что он способен. И сравнивать его с Microsoft Cofee - всё равно что сравнивать Тетрис(тот который устройство) с ПК.

[Zloytim]

запомнился коммент на хабре про этот кохве (не дословно)
"наши силовики настолько суровы, что не носят флешки, а забирают с собой системники"

к чему это я аа.. смысл этой софтины в том, что бы полисай имел в кармане средство для автоматического сбора инфы о компутере. история браузера, открытия файлов, содержимое МоиДокументы и тп. никаких мега-средств от самого МС по взлому учетных записей или же криптованных разделов тут нет. все что соберается этой софтиной на флешку потом передается в компетентные отделы и они уже решают нужно ли и когда начать применять метод ректального термоанализа

ЗЫ: а еще человек, который первым выложил эту програмулину, получил бонус 1.5тб на трекере, на котором аплоад проблематично набирать

Сообщение отредактировал Zloytim - Nov 10 2009, 19:39

[I00matolog]

эта штука блокируется нодом..нидает ничего выполнить

[Zloytim]

эта штука блокируется нодом..нидает ничего выполнить

видимо по просьбе МС НОД добавил в свои базы.. сразу после появления все ок было

[CBO6ODA]

в прошлом году цена полного комплекта EnCase Forensic Edition фирмы Guidance Software стоила около 1800 евро, с учетом 5 ключей и 5 модулей. Но для тех кому понятие "безпасность информации" не пустой звук (фирмы, компании) это копейки, НО буржуи склоняли в договорной форме к обязательным семинарам платным, обучению и прочему не нужному говну для "наших айтишников" которые обычно все пробуют на зуб а когда один из наших товарищей сказал на семинаре БМС Консалтинг что програмку внедренную можно отследить и убить...то буржуины призадумались.

2 Zloytim:
запомнился коммент на хабре про этот кохве (не дословно)
"наши силовики настолько суровы, что не носят флешки, а забирают с собой системники"

да, это реально

Сообщение отредактировал CBO6ODA - Nov 10 2009, 22:19

[x1shn1k]

а когда один из наших товарищей сказал на семинаре БМС Консалтинг что програмку внедренную можно отследить и убить...то буржуины призадумались.

А EnCase Forensic Edition разве внедряют? Насколько я знаю, програма нжуна для того чтобы (цитирую с шапки этой темы) "извлекать необходимую для следствия информацию (forensic data) с ПК подозреваемых для доказательства их криминальной активности." Ею пользуются уже ПОСЛЕ осуществления протиправных деяний на ПК, с целью обнаружения кто\что\когда выполнил то или иное действие. Зачем её внедрять? Забрал ПК, нашел на нём что надо, доказал вину, посадил.

Сообщение отредактировал x1shn1k - Nov 10 2009, 23:18

[CBO6ODA]

А EnCase Forensic Edition разве внедряют? Насколько я знаю, програма нжуна для того чтобы (цитирую с шапки этой темы) "извлекать необходимую для следствия информацию (forensic data) с ПК подозреваемых для доказательства их криминальной активности." Ею пользуются уже ПОСЛЕ осуществления протиправных деяний на ПК, с целью обнаружения кто\что\когда выполнил то или иное действие. Зачем её внедрять? Забрал ПК, нашел на нём что надо, доказал вину, посадил.

кроме описаных вами действий еще внедряется плюс ко всему модуль, который ведет отслеживание в реальном времени, для доказательной базы...при этом админ сети должен быть уведомленым

[The Doctor]

MS Computer Online Forensic Evidence Extractor 1.1.2 (~ 17.1 MB)
aka MS COFEE

СКАЧАТЬ

Скрытый текст. Благодарим: lukri
Для того, чтобы просмотреть скрытый текст, Вы должны зарегистрироваться!

Содержимое скрыто. Чтобы получить доступ, нажмите кнопку "СПАСИБО" внизу этого сообщения

перезалито

[loh_mat]

люди хеелп у меня когда захожу в установочный файл: COFEE v1.1.2 Installer.msi пишет: параметер задан не верно незнаю может у меня руки кривые

Сообщение отредактировал loh_mat - Jan 17 2012, 20:58