Комментарии 113
А что за кофе то?
Неплохо было бы еще написать, что это вообще такое. Я например не знал :)
Computer Online Forensic Evidence Extractor (COFEE) — модифицированный загрузочный USB диск помогающий следователям быстро извлекать необходимую для суда информации (forensic data), с компьютеров, которые могут хранить доказательства криминальной активности. Он позволяет следователелям искать по данным прямо на месте эксплуатации в автоматическом режиме.
Больше подробностей в английской вики.
Вообще да, для обычных пользователей вещь бесполезная, хотя очень интересно было бы посмотреть, по каким алгоритмам они это делают. Неужто полнотекстовой поиск по файлам компьютера на предмет наличия слов: терроризм, бомба, Путин :)
Computer Online Forensic Evidence Extractor (COFEE) — модифицированный загрузочный USB диск помогающий следователям быстро извлекать необходимую для суда информации (forensic data), с компьютеров, которые могут хранить доказательства криминальной активности. Он позволяет следователелям искать по данным прямо на месте эксплуатации в автоматическом режиме.
Больше подробностей в английской вики.
Вообще да, для обычных пользователей вещь бесполезная, хотя очень интересно было бы посмотреть, по каким алгоритмам они это делают. Неужто полнотекстовой поиск по файлам компьютера на предмет наличия слов: терроризм, бомба, Путин :)
Добавил краткое описание.
Набросал быстренько статью в русскую вики (перевод английской)-
ru.wikipedia.org/wiki/Cofee
Насколько я понял — это куча инструментов для автоматизированного дерганья информации с компьютера, плюс некие возможности по расшифровке. То есть, быстро, но вряд ли качественно. Так сказать, подходит для " быстро разобраться на месте".
ru.wikipedia.org/wiki/Cofee
Насколько я понял — это куча инструментов для автоматизированного дерганья информации с компьютера, плюс некие возможности по расшифровке. То есть, быстро, но вряд ли качественно. Так сказать, подходит для " быстро разобраться на месте".
На русском трудно найти информацию, смысл и том, что милиционер Вася умеющий работать с ПК на уровне начинающего пользователя, втыкает в комп подозреваемого флешку USB, запускает COFFEE и собирает улики его причастности к преступлению, совершенному с его компа.
После чего млиционера Васю выгоняют нахрен с должности. поскольку демон опознал продукт и перезаписал заветный раздел всяким хламом. А Вася ещё радуется, что его не размазал по стенке адвокат обвиняемого, бо все данные получены с нарушением законодательства и не могут быть использованы в суде.
COFEE не содержит никаких «особенных» утилит, сверхсекретных разработок и так далее.
Собственно, единственное, что делает программа — просто сбор текущей информации о системе нарушителя (ТТХ компьютера, сведения о запущенных программах, подключениях).
ЗЫ. Кофе перезалили на ту же Бухту, кто заинтересован — посмотрите :)
Собственно, единственное, что делает программа — просто сбор текущей информации о системе нарушителя (ТТХ компьютера, сведения о запущенных программах, подключениях).
ЗЫ. Кофе перезалили на ту же Бухту, кто заинтересован — посмотрите :)
А почему в заголовке две FF?
Еще один повод валить на линукс?
Под Linux можно делать криминальные делишки без шанса быть уличенным в этом? :)
Для сбора улик на Линуксе наверное напишут GPL-ный софт :)
который следователь должен будет скомпилировать на машине подозреваемого
предварительно удовлетворив все зависимости, что будет являться самым сложным в работе следователя
Предваритеьно, который должен быть исправлен от ошибок той или иной версии компилятора на машине. после чего установить все зависимости. исходники оных находятся на самом секретном компьютере в фсб… ну а дальше компилим. Нет ничего проще)
Или просто скачать ебилд для генты
Или просто скачать ебилд для генты
Уже.
www.caine-live.net/
www.caine-live.net/
Шутки шутками, но существуют специальные так называемые судебные дистрибутивы Linux. Например, CAINE (Computer Aided INvestigative Environment).
Репозиторий ftp://mirror.fsb.ru/
на никсах она есть называется find ))
Да, можно — есть шифрованые ФС
Да, есть на бухте, 15мб.
У меня даже зародилась мысля: не является ли эта утечка преднамеренной, для повышения интереса к продукту и обкатки на обычных пользователях фич, которые должны работать для силовиков без сучка и задоринки?
а что, есть куда слать багрепорты? :)
Вообще в microsoft имеется специальный отдел который отслеживает отзывы (багрепорты) в интернете. Создан он для отслеживания ситуаций, когда что-то ломается после апдейтов, ибо по статистике чуть ли не половина обнаруженных проблем просто не доходит до call центров и посему им приходится отслеживать это самостоятельно.
Хотя в конкретно данном случае, это и сомнительно, программа навярняка покрывает большую часть запросов которые необходимы силовым структурам, а все остальное — тонкая работа специалистов на месте.
Хотя в конкретно данном случае, это и сомнительно, программа навярняка покрывает большую часть запросов которые необходимы силовым структурам, а все остальное — тонкая работа специалистов на месте.
Что-то вроде: — Установи эту программу своим друзьям и получи амнистию.
Грустно.
Грустно.
Если бы это был цельный продукт, можно было собирать отзывы. А это лишь кучка бинарников, которые запускаются подряд и всё в файл пишут на флешке. ПОтом этот файл расшифровывается и генерируется отчёт в html. При этом сами эти бинарники — это тривиальные вызовы типа «net.exe view», «sclist» и так далее. То есть по сути снимок системного окружения. Как это поможет потом в суде, для меня загадка.
Качал с бухты. при запуске установщика пишет: Параметр задан неверно.
Что бы это могло быть?
Что бы это могло быть?
Я думаю, все в порядке, данные переданы.
не докачалось?
Возможно Вам поможет хитрый MSI extractor.
У меня тоже самое. (Вин7)
Однако согласитесь, документация приложенная к файлам сомнений не вызывает :)
Однако согласитесь, документация приложенная к файлам сомнений не вызывает :)
Кстати под этим предлогом можно запросто выложить на торренты троян. Все равно никто не знает как программа должна выглядеть и что конкретно делать. Добро пожаловать в ботнет :)
НЛО прилетело и опубликовало эту надпись здесь
неудивительно будет что ms сам слил это продукт.
thepiratebay.org/torrent/5150926/COFEE-Microsoft_Forensic_Tools
Такое выдало на пиратбее, что ли скачать проверить, конечно велика верятность что просто вирусняков выложили там, но попытка не пытка.
Такое выдало на пиратбее, что ли скачать проверить, конечно велика верятность что просто вирусняков выложили там, но попытка не пытка.
я скачал. вроде вирусов там нет, но установщик не запускается. достал все из msi, тогда заработало
Подскажи как достать из msi.
Да, антивирусы реагируют нормально www.virustotal.com/ru/analisis/bff4bc734b0a0319dcfd3f982f0e8a47ee48ad844502f5edbd774aa8a1236822-1257591167
Да, антивирусы реагируют нормально www.virustotal.com/ru/analisis/bff4bc734b0a0319dcfd3f982f0e8a47ee48ad844502f5edbd774aa8a1236822-1257591167
Работает?
скачал вчера с того самого закрытого трекера. под виртуалбоксом не запустилось. видимо, только под реальные машины. да и вообще это просто логгер. кстати, как на него антивирусы реагируют?
В той. что на пиратбее — System requiremtns: Target machine: OS: Windows XP — хреновая тулза какая-то.
Не, по моему это все же фейк, ну не может быть такого, чтобы эта прога просто была набором программ типа netstatб autoruns и т д, еще и ребующих работающей винды.
MSI extractor под Win 7 не работает :(
Судя по описанию софтины на Бухте, Microsoft компиляют её под mingw.
> Not a lot to see, mostly basic *nix stuff
> Documentation was HUGE and [...] It's basically man pages anyway
> Not a lot to see, mostly basic *nix stuff
> Documentation was HUGE and [...] It's basically man pages anyway
Ха! Обратите внимание, что из runner.exe и некоторых других утилит не вырезана отладочная информация!
Для чего эти огромные xls файлы? Бред какой-то.
www.pcnews.ru/news/microsoft-cofee-computer-online-forensic-evidence-extractor-usb-150-backdoor-windows-bitlocker-225167.html
Устройство получило название COFEE (Computer Online Forensic Evidence Extractor), – средство для сбора судебных компьютерных улик. USB-гаджет содержит в себе около 150 инструментов, находящихся в открытом доступе, он позволяет сохранять содержимое оперативной памяти компьютера, прежде чем последний будет отключен и конфискован.
Устройство получило название COFEE (Computer Online Forensic Evidence Extractor), – средство для сбора судебных компьютерных улик. USB-гаджет содержит в себе около 150 инструментов, находящихся в открытом доступе, он позволяет сохранять содержимое оперативной памяти компьютера, прежде чем последний будет отключен и конфискован.
Сенсация! Засекреченная утилита от Microsoft оказалась сборником свободно распространяемых программ! :)
Ну вы же на самом деле не ожидали, что там будут какие то сверхродвинутые технологии искусственного интеллекта сами разыскивающие криминальное содержимое на компьютере.
Ну вы же на самом деле не ожидали, что там будут какие то сверхродвинутые технологии искусственного интеллекта сами разыскивающие криминальное содержимое на компьютере.
Это типа сниффер+кейлогер, которые можно записать на usb-носитель и включить автозапуск? А если автозапуск отключен?
Паяльник в бою надежнее :)
За полтора терабайта рейта можно было и самому уже написать за это время.
Можно ожидать, что скоро COFEE появиться
Производитель обещает, что с программой справиться начинающий пользователь.
Грамотей, минусую.
Скоро COFEE что сделает? Появится!
С программой что сделает? Справится!
Ваш Grammar Nazi.
Исправил.
Это уже не имеет значения, ваша грамотность уже продемонстрирована, а я к вам в редакторы не нанимался. Удачи в обучении.
Вам знакома эта запись?
Grammar Nazi, не желаете ли начать с себя прежде чем беспардонно тыкать в чужие ошибки? Если бы не эта беспардонность я был бы благодарен за указанную ошибку, а так…
Насчёт масштабируемости пространства там не очень понятно. По-моему оно быстро захламится без постоянного вмешательства и распределения волн по папочкам, что немного противоречит позиционированию как мессенджера (но его вроде и нет). Зато поиск хороший и он часть одной из самых активных зон в интерфейсе — наверное он решаетт эту проблему.
Grammar Nazi, не желаете ли начать с себя прежде чем беспардонно тыкать в чужие ошибки? Если бы не эта беспардонность я был бы благодарен за указанную ошибку, а так…
Это просто идиотизм:
а) искать что-нибудь, чтобы до**аться,
б) не различать опечатки и ошибки.
а) искать что-нибудь, чтобы до**аться,
б) не различать опечатки и ошибки.
«Писать безграмотно — значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. Нельзя терпеть неграмотных чиновников, секретарей, машинисток, переписчиков и т.д., и т.д.»
Лев Владимирович Щерба. Безграмотность и её причины. (Избранные работы по русскому языку, 1957)
БЕЗГРАМОТНОСТЬ И ЕЕ ПРИЧИНЫ
БЕЗГРАМОТНОСТЬ И ЕЕ ПРИЧИНЫ
Интересная программка, очень было бы интересно с ней поиграться!
Вы не в курсе, по какой системе работает так называемый «сбор улик»? Однажды я находился на частной квартире, в которой занималась бизнесом одна контора — и туда нагрянули бравые ребята из ОБЭП'а. Они искали так называемые «улики» через поиск в windows (:
Теперь суть: Флешка создается для поиска «улик» по конкретному делу, с конкретными ключевыми словами?
P.S. Поправьте, пожалуйста, «в течение полутора лет»
Теперь суть: Флешка создается для поиска «улик» по конкретному делу, с конкретными ключевыми словами?
P.S. Поправьте, пожалуйста, «в течение полутора лет»
НЛО прилетело и опубликовало эту надпись здесь
мда, прежде чем писать — какая крутая прога и я хочу ей попользоваться — нужно скачать было и попользоваться ей.
Я скачал, посмотрел, удалил.
Анализатор системы от nod32 (который кстате бесплатный esetnod32.ru/download/sysinspector.php ) для меняя более информативен, чем эти текстовые файлики которые создаются с отчетом.
Ну собрал он инфу о службах, какие процессы работают сейчас, сетевую информацию, про устройства, и еще всякую фигню которая доступна из «панели управления».
Сохранил просто весь реест, диспетчер устройств, службы, ipconfig /all и еще мелочь — в текстовый файл. Круто просто :)
Я скачал, посмотрел, удалил.
Анализатор системы от nod32 (который кстате бесплатный esetnod32.ru/download/sysinspector.php ) для меняя более информативен, чем эти текстовые файлики которые создаются с отчетом.
Ну собрал он инфу о службах, какие процессы работают сейчас, сетевую информацию, про устройства, и еще всякую фигню которая доступна из «панели управления».
Сохранил просто весь реест, диспетчер устройств, службы, ipconfig /all и еще мелочь — в текстовый файл. Круто просто :)
НЛО прилетело и опубликовало эту надпись здесь
Ну вот, а ещё говорят, что у Microsoft нет опыта по сбору конфиденциальной информации )))
Не знаю что Microsoft имеет ввиду под уликами, но скорее всего скачать можно историю посещения браузеров, историю общения в клиентах по типу icq, skype и определенные файлы (ясен перец что не все автоматом, а только выборочно). Это не новинка, создать флешку-граббер не так сложно. К примеру, есть публикация в журнале Хакер за август этого года («Злобный комп и флешка-граббер» называется) — там описано как сделать флешку-граббер которя соберет такую инфу при подключение через интерфейс USB. Софтина писалась на С#, ганяет по папкам/ключам реестра где программы хранят пароли и все необходимое — и сбрасывает в определенную папку. Вариаций много, но все это реально и не сложно.
З.Ы. Возможно об этом више писали уже, не читал все комментарии.
З.Ы.Ы. Хотелось бы заиметь эту тулзу от Майкрософта и все же потестить ее ;)
З.Ы. Возможно об этом више писали уже, не читал все комментарии.
З.Ы.Ы. Хотелось бы заиметь эту тулзу от Майкрософта и все же потестить ее ;)
В User Guide for COFEE на 43 странице приведен перечень команд одного из режимов работы. Можно прикинуть какая информация собирается тулзой.
forum.0day.kiev.ua/index.php?showtopic=142450
Может уже писалось выше конечно, но вот уже во всю вылаживают…
Может уже писалось выше конечно, но вот уже во всю вылаживают…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Убежал COFEE