Lo que quizás impresiona más es saber que se trata de la suite forense que Microsoft lleva regalando a numerosas entidades policiales desde Junio del año 2007.
Por lo demás, podemos decir que no se trata de una herramienta mágica, si no de otra utilidad forense (buena) comparable a otras disponibles.
De hecho, en nuestro caso llevamos tiempo utilizando una herramienta propia que cubre estas y más funcionalidades para sistemas Windows. Está hecha en perl-tk y durante el año que viene esperamos poder publicarla:

Volviendo a Microsoft Cofee y para ampliar información, decir que normalmente se carga en un pendrive USB e incluye comandos (incluido utilidades de sysinternals) que permiten la automatización en la obtención de evidencias digitales. De momento sólo se puede utilizar contra sistemas XP, 2000 y 2003 y se habla de que ya se está trabajando en la versión para Windows 7.
También tiene un funcionamiento bastante sencillo, resumiendo: tras conectar el pendrive al equipo, se lanza un ejecutable (‘Runme.exe’) que va llamando a cada uno de los comandos (ver lista de abajo) y almacenando la información en un directorio con la fecha actual y el nombre de equipo.
Una vez descargada la información podemos generar un informe HTML:
Por último, os muestro la lista de comandos ejecutados por Cofee contra mi equipo:
at.exe
autorunsc.exe
arp.exe –a
getmac.exe
hostname.exe
ipconfig.exe /all
msinfo32.exe /report %OUTFILE%
nbtstat.exe -A 127.0.0.1
nbtstat.exe –S
nbtstat.exe –c
nbtstat.exe –n
net.exe user
net.exe file
net.exe accounts
net.exe view
net.exe start
net.exe session
net.exe localgroup administrators /domain
net.exe localgroup
net.exe share
net.exe use
net.exe localgroup administrators
net.exe group
netdom.exe query DC
openfiles.exe /query /v
psfile.exe
pslist.exe –t
pslist.exe
psloggedon.exe
psservice.exe
pstat.exe
psuptime.exe
quser.exe
route.exe
sclist.exe
sc.exe query
sc.exe queryex
showgrps.exe
srvcheck.exe \\127.0.0.1
tasklist.exe /svc
whoami.exe
handle.exe –a
netstat.exe –no
netstat.exe –ao
0 comentarios :
Publicar un comentario