M$ COFEE(Computer Online Forensic Evidence Extractor)

그동안 잊고 있었던 COFEE '0'/


Download Cofee
http://digiex.net/attachments/downloads/download-center-2-0/applications/3135d1257761510-cofee-microsoft-forensic-tool-download-cofee.zip

Download COFEE (extracted) - no install required
http://digiex.net/attachments/downloads/download-center-2-0/applications/3136d1257761510-cofee-microsoft-forensic-tool-download-cofee-v1.1.2-installer.msi-extracted.zip


COFEE 를 다운받아 들여다 본 결과,
역시 그러면 그렇지...ㅉㅉ

다운받은 파일에 대한 자세한 설명은 압축해제후 User Guide 로 시작하는 PDF 파일을 열어보면 아주 상세히 나와있다.

간단히 요약하면,
저툴을 설치하고 실행하게 돼면, USB 장치에 분석툴및 분석된 결과를 수집하기 위한 스크립트가 설치(?, 복사)된다.

아직 직접 USB에 분석도구를 설치해서 사용은 해보지 않았지만,
압축파일 해제후, 하위디렉토리 /bin 에 들어가면 설치될 툴들이 나와있는데,
사실 별거 아니다.

1. 윈도우에 내장된 네트워크, 프로세스 툴들(ipconfig. netstat, nbtstat, ping, arp 등)

- 이툴들은 만일 해킹된 시스템의 경우, 저 도구들이 변조되었을 가능성이 크기 때문에 USB에 넣어둔 것이리라

2. Sysinternals Tools 들(pslist, autorun, handle 등)

- sysinternals 도구들이다 -0-'

결론, 이 도구를 사용하는것 자체는 당연하다, 기본적으로 해킹된 시스템을 분석할때, 필요하기 때문이다.
단, 이 COFEEE 를 과연 비공개로 해야 했나 하는 우문이 들뿐 ㅎㅎㅎ

자, 해킹된 시스템을 분석하기 위한 분들을 위한 조언 한마디, 윈도우를 분석하기 위해 굳이 COFEE 를 구하기 위해 땀흘리지 마시길,

COFEE 에 들어 있는 도구들은 얼마든지 쉽게 구할수 있으며, 또한 ICEsword 와 같은 도구들이 오히려 분석하는데 더 큰 도움이 될 듯하다는......