Artikel-Schlagworte: „cofee“

cofee user guide

cofee ist die Abkürzung für computer online forensic evidence extractor. Das ist eine Software, die von Microsoft auf USB-Sticks an Ermittlungsbehören verteilt wird, damit diese aus Windows-XP-Rechnern mit der Hilfe einer einfachen Benutzeroberfläche und ca. 150 Kommandos forensische Daten abgreifen können.

Ich habe den user guide zu cofee als pdf hinterlegt, damit ihr mal einen Eindruck bekommt, was M$ alles macht, um in gewisse Windungen von berühmt-berüchtigten Behören kriechen zu können:

https://cipha.net/special/cofee_user_guide_v112.pdf.

Die Datei ist ca. 3,3MB gross und umfasst 46 Seiten.

Das wird die Zukunft sein der Beweismittelsammlung, denn momentan funktioniert cofee ausschließlich für XP.

Seit April gibt es auch eine Kooperation zwischen dem redmonder Softwarekonzern und Interpol, natürlich nur und ausschließlich zur Bekämpfung von Kinderpornografie…

Sicher gibts das Ganze viel viel besser und cleverer für Linux, wenn ihr backtrack, knoppix std oder phlak kennt/schonmal benutzt habt.

Microsoft kümmert sich! Überlegt immer vorher, welche Betriebssysteme/Rechner/PCs ihr für was benutzt. Sonst kommt der kleine Billy mit ein paar grünen Männern und nimmt euch eure Daten weg. Wer hat’s erfunden!?

P.S.: Checkt auch mal das verschrobene Logo im pdf, das die Software repräsentieren soll! Sieht nach einem alten Bekannten aus, der in einer sehr sehr heißen Umgebung lebt und arbeitet.

P.P.S.: In den USA ist eine ominöse Organisation der alleinige Partner von Microsoft bzgl. der Verteilung von cofee: Die nw3c. Leider gibt es kaum Informationen zu der Organisation, was nicht verwundert, wenn man sich deren Kooperationspartnerliste ansieht, aber schon der Titel klingt irgendwie verdächtig. white collar bedeutet soviel wie weißer Kragen, wasauchimmer das heisst.

[Update I, 18.11.09]

Ich habe eine Liste gefunden, welche Kommandos und Parameter von cofee benutzt werden:

arp.exe ‐a
at.exe
autorunsc.exe
getmac.exe
handle.exe ‐a
hostname.exe
ipconfig.exe /all
msinfo32.exe /report %OUTFILE%
nbtstat.exe ‐n
nbtstat.exe ‐A 127.0.0.1
nbtstat.exe ‐S
nbtstat.exe ‐c
net.exe share
net.exe use
net.exe file
net.exe user
net.exe accounts
net.exe view
net.exe start
net.exe Session
net.exe localgroup administrators /domain
net.exe localgroup
net.exe localgroup administrators
net.exe group
netdom.exe query DC
netstat.exe ‐ao
netstat.exe ‐no
openfiles.exe /query/v
psfile.exe
pslist.exe
pslist.exe ‐t
psloggedon.exe
psservice.exe
pstat.exe
psuptime.exe
quser.exe
route.exe print
sc.exe query
sc.exe queryex
sclist.exe
showgrps.exe
srvcheck \127.0.0.1
tasklist.exe /svc
whoami.exe

[via]

Also nach 150 Befehlen sieht das jetzt nicht aus. Es kursiert aber das Gerücht, dass es mehrere Versionen von cofee gibt, mit einer unterschiedlichen Anzahl der abgedeckten Kommandos.

[Update I, 15.12.09]

Okay, Respekt, das ging ziemlich schnell.

„This week two unnamed hackers released DECAF, an application that monitors a computer for any signs that COFEE is operating on the machine.

According to the Register, the program deletes temporary files or processes associated with COFEE, erases all COFEE logs, disables USB drives, and contaminates or spoofs a variety of MAC addresses to muddy forensic tracks.“

[via]

Ether spenden // Donate Ether
Bitcoin-Spenden hier akzeptiert ^^