O COFEE permite capturar evidências importantes do computador na cena de investigações sobre delitos cibernéticos, sem perícia forense especial.
Os dados voláteis são muitos importantes em uma investigação de crime digital e o COFEE faz exatamente a analise desses dados.
O COFFE vem em um PEN Drive e não passa de 40MB projetado para ser fácil de usar e rápido para os agentes da lei.
O programa contém mais de 150 comandos.
Microsoft’s Computer Online Forensic Evidence Extractor (COFEE).
Agora, a verdade é que o COFEE nada mais é do que uma ferramenta sysinfo glorificado que executa um monte de utilitários de comando publicamente disponíveis linha de sysinternals e nativos para o OS, alguns dos quais são:
arp.exe
at.exe
cmd.exe
getmac.exe
hostname.exe
ipconfig.exe
ipxroute.exe
msinfo32.exe
nbtstat.exe
net.exe
netstat.exe
openfiles.exe
quser.exe
route.exe
sc.exe
srvcheck.exe
systeminfo.exe
tasklist.exe
autorunsc.exe
cipher.exe
handle.exe
netdom.exe
netstat.exe
NW3C_SHA1.exe
pausep.exe
psfile.exe
pslist.exe
psloggedon.exe
psservice.exe
pstat.exe
psuptime.exe
SCLIST.EXE
SHOWGRPS.EXE
uptime.exe
whoami.exe
Segue uma tela do Software:
Algumas outras ferramentas de forense para Windows:
- Incident Response Collection Report (IRCR)
- First Responder Evidence Disk (FRED)
- Windows Forensics Toolchest (WFT)
- Forensic Acquisition Utilities
- Windows Forensic Toolkit
- Windows Memory Forensics Toolkit
- The Forensic Toolkit (Windows NT 4.0 SP3)
(Credit: Microsoft)
Existe uma ferramente anti forense projetada para combater o Cofee, que é chaamda de DECAF: LINK
A ferramenta não pode ser oficilamente baixada, ela é de uso restrito, mas…
DOWNLOAD – Enjoy!
Mundo Tecnológico 