Recientemente, podemos ver en la Red diversas noticias que informan que la herramienta Microsoft Cofee (Computer Online Forensic Evidence Extractor) ha sido filtrada en Internet y, efectivamente, podemos corroborar que hoy por hoy sigue siendo posible descargarla de una forma relativamente sencilla.
Lo que quizás impresiona más es saber que se trata de la suite forense que Microsoft lleva regalando a numerosas entidades policiales desde Junio del año 2007.
Por lo demás, podemos decir que no se trata de una herramienta mágica, si no de otra utilidad forense (buena) comparable a otras disponibles.
De hecho, en nuestro caso llevamos tiempo utilizando una herramienta propia que cubre estas y más funcionalidades para sistemas Windows. Está hecha en perl-tk y durante el año que viene esperamos poder publicarla:
Volviendo a Microsoft Cofee y para ampliar información, decir que normalmente se carga en un pendrive USB e incluye comandos (incluido utilidades de sysinternals) que permiten la automatización en la obtención de evidencias digitales. De momento sólo se puede utilizar contra sistemas XP, 2000 y 2003 y se habla de que ya se está trabajando en la versión para Windows 7.
También tiene un funcionamiento bastante sencillo, resumiendo: tras conectar el pendrive al equipo, se lanza un ejecutable (‘Runme.exe’) que va llamando a cada uno de los comandos (ver lista de abajo) y almacenando la información en un directorio con la fecha actual y el nombre de equipo.
Una vez descargada la información podemos generar un informe HTML:
Por último, os muestro la lista de comandos ejecutados por Cofee contra mi equipo:
at.exe
autorunsc.exe
arp.exe –a
getmac.exe
hostname.exe
ipconfig.exe /all
msinfo32.exe /report %OUTFILE%
nbtstat.exe -A 127.0.0.1
nbtstat.exe –S
nbtstat.exe –c
nbtstat.exe –n
net.exe user
net.exe file
net.exe accounts
net.exe view
net.exe start
net.exe session
net.exe localgroup administrators /domain
net.exe localgroup
net.exe share
net.exe use
net.exe localgroup administrators
net.exe group
netdom.exe query DC
openfiles.exe /query /v
psfile.exe
pslist.exe –t
pslist.exe
psloggedon.exe
psservice.exe
pstat.exe
psuptime.exe
quser.exe
route.exe
sclist.exe
sc.exe query
sc.exe queryex
showgrps.exe
srvcheck.exe \\127.0.0.1
tasklist.exe /svc
whoami.exe
handle.exe –a
netstat.exe –no
netstat.exe –ao
Lo que quizás impresiona más es saber que se trata de la suite forense que Microsoft lleva regalando a numerosas entidades policiales desde Junio del año 2007.
Por lo demás, podemos decir que no se trata de una herramienta mágica, si no de otra utilidad forense (buena) comparable a otras disponibles.
De hecho, en nuestro caso llevamos tiempo utilizando una herramienta propia que cubre estas y más funcionalidades para sistemas Windows. Está hecha en perl-tk y durante el año que viene esperamos poder publicarla:
Volviendo a Microsoft Cofee y para ampliar información, decir que normalmente se carga en un pendrive USB e incluye comandos (incluido utilidades de sysinternals) que permiten la automatización en la obtención de evidencias digitales. De momento sólo se puede utilizar contra sistemas XP, 2000 y 2003 y se habla de que ya se está trabajando en la versión para Windows 7.
También tiene un funcionamiento bastante sencillo, resumiendo: tras conectar el pendrive al equipo, se lanza un ejecutable (‘Runme.exe’) que va llamando a cada uno de los comandos (ver lista de abajo) y almacenando la información en un directorio con la fecha actual y el nombre de equipo.
Una vez descargada la información podemos generar un informe HTML:
Por último, os muestro la lista de comandos ejecutados por Cofee contra mi equipo:
at.exe
autorunsc.exe
arp.exe –a
getmac.exe
hostname.exe
ipconfig.exe /all
msinfo32.exe /report %OUTFILE%
nbtstat.exe -A 127.0.0.1
nbtstat.exe –S
nbtstat.exe –c
nbtstat.exe –n
net.exe user
net.exe file
net.exe accounts
net.exe view
net.exe start
net.exe session
net.exe localgroup administrators /domain
net.exe localgroup
net.exe share
net.exe use
net.exe localgroup administrators
net.exe group
netdom.exe query DC
openfiles.exe /query /v
psfile.exe
pslist.exe –t
pslist.exe
psloggedon.exe
psservice.exe
pstat.exe
psuptime.exe
quser.exe
route.exe
sclist.exe
sc.exe query
sc.exe queryex
showgrps.exe
srvcheck.exe \\127.0.0.1
tasklist.exe /svc
whoami.exe
handle.exe –a
netstat.exe –no
netstat.exe –ao
Comentarios
Publicar un comentario