تسرّب على الانترنت نسخة من أداة COFEE 1.1.2 المستخدمة في التحقيق الجنائي الرقمي (Digital Forensics) على الانترنت, الاسم اختصار لـ  Computer Online Forensic Evidence Extractor وهي أداة مخصصة لأنظمة ويندوز يستخدمها الشرطة والمحقّقون الجنائيون في عملهم.

أداة COFEE من تطوير NW3C بالتعاون مع شركة مايكروسوفت ودعم من BJA, تسهّل هذه الأداة عمل المحقّقين الجنائيين في جمع المعلومات والأدلّة من أجهزة المشتبه بهم (البرامج التي تعمل في النظام, المواقع التي تم تصفّحها, كلمات المرور والكثير من الأمور الأخرى)  ومن ثم تخزينها في ذاكرة USB دون القيام بتعديلات على النظام أو الحاجة لنقل الجهاز أو الهارد الى المختبر لتحليله.

الجدير بالذكر أن هذه الأداة مجّانية لكنّها ليست مخصصة للنشر العام بل يتم توزيعها على الشرطة والوكالات الأمنية فقط خشية أن يقوم بعض الهاكرز بتطوير أساليب وأدوات جديدة توقف عملها أو تعمل على اخفاء معلومات وأدلّة عن الأداة.

بقليل من البحث تمكّنا في iSecur1ty من الحصول على نسخة من أداة COFEE 1.1.2 قبل ايقاف روابط التحميل وهي عبارة عن جزئين, الأول برنامج يتم تركيبه على جهاز المحقق الجنائي ويستخدم في تحليل المعلومات وتصدير تقرير مفصّل عن الجهاز أما الثاني فيتم تركيبه على ذاكرة USB يجب أن تكون بحدود 2GB تقريباً وكل ما يحتاجه المحقق الجنائي هو وصل ذاكرة الـ USB في جهاز المشتبه بهم وتشغيل الأداة لتقوم بجمع المعلومات اللازمة وتخزينها.

التعليقات (14)

واو ..
أرسلت بواسطة: HASSAN في November 12, 2009

سلام

صراحة اداة مثل هذي من حقم مايعطونها احد

و طبعاً isecur1ty ما تصعب علية ...

هل سيتم توزيعها من قبلكم ؟ او ستحتفضون بها ؟

اذا قررتم التوزيع .. انا اول من يطلبها و ايملي موجود ..

لاني صرحة متحمس (اجربها) ... عنجد

وتسلم على الموضوع الرائع تحياتي

• 
• +0
• 
• 

رد
أرسلت بواسطة: XP10 في November 12, 2009

بالاول انا بعرف هذا الاداءة من مده طويلة وانتشرت هذه الاداءة مع حصان

طروادة نشرته مايكرسوفت بنفس الاداءة غريبة قبل ايقاف الروابط قوقل مليان!! وهذا رابط الاداءة
بالثانية شو المشكلة لما بسيتخرج الباسورد ومعلومات وووو...الخ
لان بالاصل ما راح يقبضو على احد الا لو تم جمع الادلة الكافيه

بعدين اللي بعرفه ان عندنا بالدول العربية ما يستخدمو هذه الاداءة
بياخذو الشخص بجهازه شو السبب!! دام عندهم هذه الاداءة
الاداءة قديمة وشبه معروفة والموضوع متاخر
ووشلون تكون مجانية مايكرسوفت معروفه بالمبالغ والاحتكار
وخصوا عند التعامل مع شركة او دولة

بالنهاية شو المشكلة بالباسوردات فورمات وطيعا ضروري عندي

الفورمات نحذف كل البارتشن ونقسمها من جديد بكذا ضمنت عطب

املفات المحذوفة

تتطور من قبل هكررررررررر

والله ضحكتني
ههههههههه
اول مره اعرف ان في برمجيات لمايكرسوفت يتم تطويرها

لاتفكر نفسك في لينكس ههههه

• 
• +0
• 
• 

تعليق
أرسلت بواسطة: mrloong في November 12, 2009

تسلم على الموضوع الرائع تحياتي

• 
• +0
• 
• 

...
أرسلت بواسطة: slax في November 12, 2009

شكراً موضوع رائع


اخ عمر يليت تتأكد من باسورد فك الضغط

• 
• -2
• 
• 

توضيح!
أرسلت بواسطة: عبدالمهيمن في November 12, 2009

HASSAN: نحن لا نستطيع نشر أو توزيع أي شيء مخالف لحقوق الملكية ولقد وضحت بالموضوع أن الأداة متوفّرة في بعض المواقع ويمكن الحصول على اصدار منها بقليل من البحث!!

عبد الرحمن: أعلم أن الأداة موجودة في Google ولقد كتبت ذلك فالموضوع فأنا لم أحصل على اصدار منها من المريخ مثلا! أما بالنسبة للاصدار المسرّب فالوثائق المرفقة معه تثبت أنه الأداة طوّرت بشهر سيبتمبر 2009 والروابط نشرت قبل يوم واحد من كتابة هذا الخبر :)
بخصوص مايكروسوفت فان كنت لا تعلم يوجد لها العديد من الأدوات المجانية ويمكن تحمليهم من موقعهم بشكل مجاني! أما بالنسبة لهذه الأداة فكما ذكرت في الموضوع هي من تطوير NW3C بالتعاون مع مايكروسوفت وليست من تطوير مايكروسوفت وحدها! واضافة لمعلوماتك يمكن استعادة البيانات من الهارد حتى بعد الفورمات :)

أتمنى في المرة القادمة ألا أرى روابط لأدوات أو برامج لها حقوق ملكية في موقع iSecur1ty فالموقع مختص باختبار الاختراق والهاكر الأخلاقي ولن يصبح موقع Warez!!

• 
• +10
• 
• 

رد: عبد الرحمن
أرسلت بواسطة: Mustafa Albazy في November 13, 2009

"الفورمات نحذف كل البارتشن ونقسمها من جديد بكذا ضمنت عطب "

لا يحذف الملفات ويمكن استعادتها مثل ماذكر عبد المهيمن في الرد السابق.

بس ممكن تفرمت الهارد وتعيد الكتابة علية (كذا مرة) بكذا تضمن انة الملفات يصعب استعادتها



مثلاً لما تحذف 1000 بايت (1kb)وبالطريقة العادية. هية بالاساس تبقى بالهارد على شكل وحدات كهربائية بقيم مختلفة

مثلاً ممكن تحصل قيمتها +0.10 (اي قيمة موجبة) بهذه الحالة تستطيع استرجاع البيانات. ولكن اذا كانت القيمة الكهربائية 0.00 او اقل (سالب -) بهذه الحالة لايمكن, لان لايوجد لها اي قيمة كهربائية بالهارد

• 
• +4
• 
• 

...
أرسلت بواسطة: فايز الخليفي في December 22, 2009

امممم الان سوف نضظر الى البحث عن هذه الاداه وروئيه عملها

• 
• +0
• 
• 

أداة جيدة
أرسلت بواسطة: محمد في February 02, 2010

هذه الأداة رائعة ولكن لا أضن أن IS تملكها. و في حال إمتلاكها لما لا تقوموا بتوزيعها للمبرمجين لكي نقوم بتعديلها

• 
• +0
• 
• 

بطل
أرسلت بواسطة: ذيب عنزه في July 11, 2010

والله كبير والكبير الله <

انا في شغف انتضر الرابط التحميل الادهـ

.............

• 
• +0
• 
• 

توضيح لمن يضع رابط تحميل الأداة
أرسلت بواسطة: عبدالمهيمن الآغا في July 15, 2010

شكراً لكل من يريد المساهمة بالموقع لكن للأسف أنتم تشاركوا بالطريقة الخاطئة!

إتفاقية الإستخدام تمنع نشر روابط لبرامج مقرصنة أو لها حقوق ملكية أو فكرية ووضع رابط تحميل هذه الأداة بكل تأكيد مخالف لهذا الشرط.

أتمنى من الجميع الإلتزام بشروط إتفاقية الإستخدام وقرائتها في حال لم تفعل!

• 
• +0
• 
• 

أداة جيدة
أرسلت بواسطة: ali في July 15, 2010

طريقة البحت عن اداة ليس عن طريق google
انما هنك طرق اخر لبحت
ادا كانت تبحت عن اى شئ ماء ابحت داخل سيرفات التحميل متل fileserve /hotfile / Rapidshare /easy-share
وستوفر الوقت والجهود وعناء التسجيل فى الموقع لكى تحصل على روبط التحميل
Rapidshare يوجد فية خصيات البحت داخل هدا السيرفر وستجد اكتر من ربط واحد
اتمنا لجميع بتوفيق

• 
• +0
• 
• 

بالتوفيق
أرسلت بواسطة: سعد المطيري في July 16, 2010

الاهم من تجربتها هي اخفاء الملفات منها ...

• 
• +1
• 
• 

...
أرسلت بواسطة: عبدالرحيم بلكنش في July 31, 2011

تسلم على الموضوع الرائع تحياتي

• 
• +0
• 
• 

...
أرسلت بواسطة: حسام أحمد في August 03, 2011

موضوع رائع سمعت عن هذه الآداة ولكن لم أظن أنها ستتسرب
سأجربها
مشكور علي المعلومة

• 
• +0
• 
•