Un vistazo a Microsoft Cofee (Computer Online Forensic Evidence Extractor)

Recientemente, podemos ver en la Red diversas noticias que informan que la herramienta Microsoft Cofee (Computer Online Forensic Evidence Extractor) ha sido filtrada en Internet y, efectivamente, podemos corroborar que hoy por hoy sigue siendo posible descargarla de una forma relativamente sencilla.




Lo que quizás impresiona más es saber que se trata de la suite forense que Microsoft lleva regalando a numerosas entidades policiales desde Junio del año 2007.
Por lo demás, podemos decir que no se trata de una herramienta mágica, si no de otra utilidad forense (buena) comparable a otras disponibles.

De hecho, en nuestro caso llevamos tiempo utilizando una herramienta propia que cubre estas y más funcionalidades para sistemas Windows. Está hecha en perl-tk y durante el año que viene esperamos poder publicarla:



Volviendo a Microsoft Cofee y para ampliar información, decir que normalmente se carga en un pendrive USB e incluye comandos (incluido utilidades de sysinternals) que permiten la automatización en la obtención de evidencias digitales. De momento sólo se puede utilizar contra sistemas XP, 2000 y 2003 y se habla de que ya se está trabajando en la versión para Windows 7.

También tiene un funcionamiento bastante sencillo, resumiendo: tras conectar el pendrive al equipo, se lanza un ejecutable (‘Runme.exe’) que va llamando a cada uno de los comandos (ver lista de abajo) y almacenando la información en un directorio con la fecha actual y el nombre de equipo.

Una vez descargada la información podemos generar un informe HTML:





Por último, os muestro la lista de comandos ejecutados por Cofee contra mi equipo:

at.exe
autorunsc.exe
arp.exe –a
getmac.exe

hostname.exe

ipconfig.exe /all
msinfo32.exe /report %OUTFILE%

nbtstat.exe -A 127.0.0.1

nbtstat.exe –S

nbtstat.exe –c
nbtstat.exe –n

net.exe user

net.exe file
net.exe accounts

net.exe view

net.exe start

net.exe session

net.exe localgroup administrators /domain

net.exe localgroup

net.exe share

net.exe use

net.exe localgroup administrators

net.exe group
netdom.exe query DC
openfiles.exe /query /v

psfile.exe
pslist.exe –t
pslist.exe

psloggedon.exe

psservice.exe
pstat.exe
psuptime.exe
quser.exe

route.exe
sclist.exe
sc.exe query

sc.exe queryex

showgrps.exe
srvcheck.exe \\127.0.0.1
tasklist.exe /svc
whoami.exe
handle.exe –a
netstat.exe –no

netstat.exe –ao

Comentarios