微软警用计算机破解取证工具COFEE泄露


据CrunchGear报道，微软的一款名为COFEE的工具近日已经泄漏到网上，对于很多人来说这是一款非常陌生的微软产品，这是微软向国际刑警组织免费提供的证据提取工具，并不面向普通用户推广.COFEE全称为“计算机在线法庭科学证据提取器（Computer Online Forensic Evidence Extractor）”，微软是这样描述的COFEE的：

“有了COFEE，没有合适的计算机取证能力的执法机构可以轻松、可靠而且高效地收集现场证据。 一个只有最基础的计算机知识的人也可以在不超过10分钟的时间里学会如何使用配置好的COFEE设备，执法人员可以像专家一样收集重要的犯罪证据，其复杂 程度就像将USB插入计算机那样。”

简单地说，COFEE就是一种是形似U盘的提取工具，COFEE包含了超过150个信息收集、密码破解、网络嗅探等工具，可以快速绕过所有Windows的安全措施，并破解系统密码、显示网络浏览的历史，对电脑系统进行深入地搜索来获取证据。

对于普通用户来说COFEE并没有太大用处而且也不适合使用，考虑诸多因素微软并没有公开发布COFEE，然而近日它却泄露到了网上，大小约为15MB。

ed2k://|file|Cofee-Microsoft％20Tools.rar|14207566|5B09A1FFFC3503F18075FE69BB369E46|/

真这样的话，那我们这些用ms的机子用起来还有啥安全可言啊。

看了全球媒体许多报道，只有中国版本有这句：可以快速绕过所有Windows的安全措施，并破解系统密码。

既然有了下载，那就等技术分析报告出来再咋呼不迟。

是否微软其实留下了后门？安全性值得深思"

证监会查基金老鼠仓估计用的就是这个，hxxp://news.hexun.com/2009-11-09/121619027.html

“证监局的人员用一个类似U盘摸样的东西插到USB接口上,一插上去,电脑里面所有的交易数据和信息就能全部找到,根本没法隐藏。随后,有问题的电脑就直接被带走,进行进一步的检查。”

参数不正确。。什么概念。。

真这样的话，那我们这些用ms的机子用起来还有啥安全可言啊。 微软的系统基本都是防君子不防小人啊

--

没有本事自己编一个，用别人系统，总会有问题么，适应适应吧

是不是小题大做了,如果微软真的留后门了,中国就没有任何隐私了"""10年前

看了全球媒体许多报道，只有中国版本有这句：可以快速绕过所有Windows的安全措施，并破解系统密码。
既然有了下载，那就等技术分析报告出来再咋呼不迟。 有些**概以为加密就是把密码写在一个看不到的地方...也许称之为“夹”密更合适。:D

Windows (R) Installer. V 3.01.4001.5512

msiexec /Option [Optional Parameter]

安装选项

安装或配置产品
/a
管理安装 - 在网络上安装产品
/j [/t ] [/g ]
播发产品 - m 播发到所有用户，u 播发到当前用户

卸载产品
显示选项
/quiet
安静模式，无用户交互
/passive
无从参与模式 - 只显示进程栏
/q[n|b|r|f]
设置用户界面级别
n - 无用户界面
b - 基本界面
r - 精简界面
f - 完整界面(默认值)
/help
帮助信息
重新启动选项
/norestart
安装完成后不重新启动
/promptrestart
提示用户重新启动(如果必要)
/forcerestart
安装后总是重新启动计算机
日志选项
/l[i|w|e|a|r|u|c|m|o|p|v|x|+|!|*]
i - 状态消息
w - 非致命警告
e - 全部错误消息
a - 操作的启动
r - 操作特定记录
u - 用户请求
c - 初始界面参数
m - 内存不足或致命退出信息
o - 磁盘空间不足消息
p - 终端属性
v - 详细输出
x - 额外调试信息
+ - 扩展到现有日志文件
! - 每一行刷新到日志
* - 记录所有信息，除了 v 和 x 选项
/log
与 /l* 相同
更新选项
/update [;Update2.msp]
应用更新
/uninstall [;Update2.msp] /package
删除产品的更新
修复选项
/f[p|e|c|m|s|o|d|a|u|v]
修复产品
p - 仅当文件丢失时
o - 如果文件丢失或安装了更旧的版本(默认值)
e - 如果文件丢失或安装了相同或更旧的版本
d - 如果文件丢失或安装了不同版本
c - 如果文件丢失或较验和与计算的值不匹配
a - 强制重新安装所有文件
u - 所有必要的用户特定注册表项(默认值)
m - 所有必要的计算机特定注册表项(默认值)
s - 所有现有的快键方式(默认值)
v - 从源运行并缓存本地数据包
设置公共属性
[PROPERTY=PropertyValue]

请查阅 Windows (R) Installer SDK 获得有关
命令行语法的其他文档。

版权所有 (C) Microsoft Corporation. 保留所有权利。
此软件的部分内容系基于 Independent JPEG Group 的工作。

没解出来密码，其他的只是一般的信息，没什么特别的。

不能安装的用google搜索下另外一个种子。

装不上，不知真假啊

没解出来密码，其他的只是一般的信息，没什么特别的。

不能安装的用google搜索下另外一个种子。 直接给一下吧。

哈哈，去年求过，无解。。。现在有了

如果这样的话，用户隐私还怎么保证，万一有人非法用途

悄悄问下，能把这东西传到ftp上不？

证监会查基金老鼠仓估计用的就是这个，hxxp://news.hexun.com/2009-11-09/121619027.html

“证监局的人员用一个类似U盘摸样的东西插到USB接口上,一插上去,电脑里面所有的交易数据和信息就能全部找到,根本没法隐藏。随后,有问题的电脑就直接被带走,进行进一步的检查。” 是查在硬盘里遗留的东西吗？

要是远程操作的话，会在硬盘里留下痕迹吗？

是查在硬盘里遗留的东西吗？

要是远程操作的话，会在硬盘里留下痕迹吗？ 估计只是针对特定的交易软件的，其实这有什么难对付的。

ghost一个系统，随时准备ghost回来，看他们有啥好查的。

参数不正确

各位测试请慎重

哪位传上来试试，ED下载太麻烦了

介绍的也太玄了吧 呵呵

COFEE包含了超过150个信息收集、密码破解、网络嗅探等工具，可以快速绕过所有Windows的安全措施，并破解系统密码、显示网络浏览的历史，对电脑系统进行深入地搜索来获取证据。


/////////////////

这些手工也能做到。
看来真正安全的电脑是不能装硬盘的。
或许操作系统用U盘或者光盘启动，一切都在内存中运行，所有的配置文件和用户文件全部在另一个U盘或者网络中并且加密着，这样就不用怕了，呵呵

直接给一下吧。 Fix版的种子被删除了，你看看这个是否能帮上
http://blogs.pingpoet.com/overflow/archive/2005/11/16/14995.aspx

各位测试请慎重 主要是介绍太诱人了

这个不会给机器开后门吧

好东西，下载一个备用

软件传说得太牛了点。 好象没这么厉害。

看了各位介绍 都没有放图上来的 谁能放点图 看看跟平时用的系统检测软件有什么不同

下一个看看。。。

有没有报道中的那么玄乎啊

关注一下，有没有小白？能放个主要的界面截图看看，都有哪些信息。

这样以来是不是所有的windows系统都会被中招，这个后门留的时间也太久了。这个东东也太强悍了。如实说来我们岂不是天天光个屁股让人在看

这个东东有点意思，收藏一个备用。

期待测试结果...
从来不怀疑有这个东东，怀疑这个版本能达到的效果

15M 是其中的一个版本.还有一个版本是30M 多一点的.提供了一个安装程序.

有没有人详细测试一下到底有什么功能？新闻都不大可信啊

借用HDC的bbcfan的话：

我看了一下.貌似也没啥神奇的..
u盘查到人间电脑以后还要打开点执行..
要是没人家密码还是白费..

我自己倒是还没安装，主要怕不是原始版本""

令人遐想无限～～ 回想过来，那帮弄老鼠仓的人，用虚拟机的话是不是安全的多？

专门针对windows操作系统的？

安装的话，先把下载的.MSI 文件解压，释放。在执行里面的cofee.EXE，把路径指向U盘就可以了。

也许言过其实，事物总是矛 盾的

有这么玄吗

我相信“超级漏洞”还是有的

15M 是其中的一个版本.还有一个版本是30M 多一点的.提供了一个安装程序. 能够提供个30M的下载。搜了几个，下下来都是13.5M

经本人测试,太言过其实了....

不试了，估计有夸大成分，如果真有这功效，估计也不会泄露出来……

谁搞个来测试看看哈，这软件到底收集那些信息，砸们也好有针对使用第三方产品加强密码，哈哈。

谁测试了，到底效果如何？

经本人测试,太言过其实了.... 给点详细的，上图....

试用了一下，其实就是一堆工具的集合，用来搜集电脑中用户的信息的；只不过MS做的比较傻瓜化，不需要用户有很高深的电脑知识。

具体步骤如下（根据事后回忆写的，细节都忘记了，也没有截图）：
1. 运行其中的工具，把Cofee写入到一个U盘上，U盘至少要1G大小，卷标可以自己在工具中设置；创建U盘的时候可以选择要运行哪些工具；
2. 把这个U盘插入要取证的计算机系统，工具会自动运行设定的工具，这些工具会读取系统中的信息，然后把取证结果写入到U盘上；

取证时间会很长，我就中断了，也没有查看具体拿到的是些什么文件。

结论：这个东西没有用到什么后门，仅仅是查找系统中的用户信息，对Geek们没有意义，在某些特定场合是很有用的，比如这两天“医生偷菜导致病儿死亡”案子里面查找医生上网记录，或者老爹用来查看儿子有没有去18+网站之类的。

看了ls的测试，感觉稍微好点，不然谁来偷窥、录像了都不知道