تسريب أداة التحقيق الجنائي الرقمي COFEE على الانترنت
تقيمك :تسرّب على الانترنت نسخة من أداة COFEE 1.1.2 المستخدمة في التحقيق الجنائي الرقمي (Digital Forensics) على الانترنت, الاسم اختصار لـ Computer Online Forensic Evidence Extractor وهي أداة مخصصة لأنظمة ويندوز يستخدمها الشرطة والمحقّقون الجنائيون في عملهم.
أداة COFEE من تطوير NW3C بالتعاون مع شركة مايكروسوفت ودعم من BJA, تسهّل هذه الأداة عمل المحقّقين الجنائيين في جمع المعلومات والأدلّة من أجهزة المشتبه بهم (البرامج التي تعمل في النظام, المواقع التي تم تصفّحها, كلمات المرور والكثير من الأمور الأخرى) ومن ثم تخزينها في ذاكرة USB دون القيام بتعديلات على النظام أو الحاجة لنقل الجهاز أو الهارد الى المختبر لتحليله.
الجدير بالذكر أن هذه الأداة مجّانية لكنّها ليست مخصصة للنشر العام بل يتم توزيعها على الشرطة والوكالات الأمنية فقط خشية أن يقوم بعض الهاكرز بتطوير أساليب وأدوات جديدة توقف عملها أو تعمل على اخفاء معلومات وأدلّة عن الأداة.
بقليل من البحث تمكّنا في iSecur1ty من الحصول على نسخة من أداة COFEE 1.1.2 قبل ايقاف روابط التحميل وهي عبارة عن جزئين, الأول برنامج يتم تركيبه على جهاز المحقق الجنائي ويستخدم في تحليل المعلومات وتصدير تقرير مفصّل عن الجهاز أما الثاني فيتم تركيبه على ذاكرة USB يجب أن تكون بحدود 2GB تقريباً وكل ما يحتاجه المحقق الجنائي هو وصل ذاكرة الـ USB في جهاز المشتبه بهم وتشغيل الأداة لتقوم بجمع المعلومات اللازمة وتخزينها.

مختبر إختراق من الأردن أحب كل ما يتعلق بأمن المعلومات ، أساهم في كتابة العديد من المقالات والتحديات في مُجتمع iSecur1ty ، أحب البرمجة بلغة python ولدي خبره في إدارة السيرفرات وبناء الأنظمة.
التعليقات
HASSAN
11 نوفمبر، 2009 الساعة 8:00 مسلام
صراحة اداة مثل هذي من حقم مايعطونها احد
و طبعاً isecur1ty ما تصعب علية …
هل سيتم توزيعها من قبلكم ؟ او ستحتفضون بها ؟
اذا قررتم التوزيع .. انا اول من يطلبها و ايملي موجود ..
لاني صرحة متحمس (اجربها) … عنجد
وتسلم على الموضوع الرائع تحياتي
XP10
11 نوفمبر، 2009 الساعة 10:50 مبالاول انا بعرف هذا الاداءة من مده طويلة وانتشرت هذه الاداءة مع حصان
طروادة نشرته مايكرسوفت بنفس الاداءة غريبة قبل ايقاف الروابط قوقل مليان!! وهذا رابط الاداءة
بالثانية شو المشكلة لما بسيتخرج الباسورد ومعلومات وووو…الخ
لان بالاصل ما راح يقبضو على احد الا لو تم جمع الادلة الكافيه
بعدين اللي بعرفه ان عندنا بالدول العربية ما يستخدمو هذه الاداءة
بياخذو الشخص بجهازه شو السبب!! دام عندهم هذه الاداءة
الاداءة قديمة وشبه معروفة والموضوع متاخر
ووشلون تكون مجانية مايكرسوفت معروفه بالمبالغ والاحتكار
وخصوا عند التعامل مع شركة او دولة
بالنهاية شو المشكلة بالباسوردات فورمات وطيعا ضروري عندي
الفورمات نحذف كل البارتشن ونقسمها من جديد بكذا ضمنت عطب
املفات المحذوفة
تتطور من قبل هكررررررررر
والله ضحكتني
ههههههههه
اول مره اعرف ان في برمجيات لمايكرسوفت يتم تطويرها
لاتفكر نفسك في لينكس ههههه
mrloong
12 نوفمبر، 2009 الساعة 4:01 متسلم على الموضوع الرائع تحياتي
slax
12 نوفمبر، 2009 الساعة 5:03 مشكراً موضوع رائع
اخ عمر يليت تتأكد من باسورد فك الضغط
عبدالمهيمن
12 نوفمبر، 2009 الساعة 5:35 مHASSAN: نحن لا نستطيع نشر أو توزيع أي شيء مخالف لحقوق الملكية ولقد وضحت بالموضوع أن الأداة متوفّرة في بعض المواقع ويمكن الحصول على اصدار منها بقليل من البحث!!
عبد الرحمن: أعلم أن الأداة موجودة في Google ولقد كتبت ذلك فالموضوع فأنا لم أحصل على اصدار منها من المريخ مثلا! أما بالنسبة للاصدار المسرّب فالوثائق المرفقة معه تثبت أنه الأداة طوّرت بشهر سيبتمبر 2009 والروابط نشرت قبل يوم واحد من كتابة هذا الخبر 🙂
بخصوص مايكروسوفت فان كنت لا تعلم يوجد لها العديد من الأدوات المجانية ويمكن تحمليهم من موقعهم بشكل مجاني! أما بالنسبة لهذه الأداة فكما ذكرت في الموضوع هي من تطوير NW3C بالتعاون مع مايكروسوفت وليست من تطوير مايكروسوفت وحدها! واضافة لمعلوماتك يمكن استعادة البيانات من الهارد حتى بعد الفورمات 🙂
أتمنى في المرة القادمة ألا أرى روابط لأدوات أو برامج لها حقوق ملكية في موقع iSecur1ty فالموقع مختص باختبار الاختراق والهاكر الأخلاقي ولن يصبح موقع Warez!!
Mustafa Albazy
12 نوفمبر، 2009 الساعة 9:42 م“الفورمات نحذف كل البارتشن ونقسمها من جديد بكذا ضمنت عطب ”
لا يحذف الملفات ويمكن استعادتها مثل ماذكر عبد المهيمن في الرد السابق.
بس ممكن تفرمت الهارد وتعيد الكتابة علية (كذا مرة) بكذا تضمن انة الملفات يصعب استعادتها
مثلاً لما تحذف 1000 بايت (1kb)وبالطريقة العادية. هية بالاساس تبقى بالهارد على شكل وحدات كهربائية بقيم مختلفة
مثلاً ممكن تحصل قيمتها +0.10 (اي قيمة موجبة) بهذه الحالة تستطيع استرجاع البيانات. ولكن اذا كانت القيمة الكهربائية 0.00 او اقل (سالب -) بهذه الحالة لايمكن, لان لايوجد لها اي قيمة كهربائية بالهارد
فايز الخليفي
22 ديسمبر، 2009 الساعة 1:37 مامممم الان سوف نضظر الى البحث عن هذه الاداه وروئيه عملها
محمد
1 فبراير، 2010 الساعة 7:06 مهذه الأداة رائعة ولكن لا أضن أن IS تملكها. و في حال إمتلاكها لما لا تقوموا بتوزيعها للمبرمجين لكي نقوم بتعديلها
ذيب عنزه
11 يوليو، 2010 الساعة 12:47 موالله كبير والكبير الله < انا في شغف انتضر الرابط التحميل الادهـ ………….
ذيب عنزه
11 يوليو، 2010 الساعة 12:59 مهذا رابط تحميل ..الادهـ
http://dc206.4shared.com/download/OM4x-Svl/COFEE_112.rar?tsid=20100711-055650-e18c6b62
بس لا تزعل ياا(( iSecur1ty )) سبقتك شوي
تحياتي من القلب
” ذيب عنزه “
ali
15 يوليو، 2010 الساعة 3:06 صيمكن تحميل الاداة من هنا http://rapidshare.com/files/30…_1.1.2.rar
ملف طريقة تشغيل موجود داخل المرافقة
وفى حالة تم حدف الربطة انا حظر تحملية مرة اخرة
libya
عبدالمهيمن الآغا
15 يوليو، 2010 الساعة 3:39 صشكراً لكل من يريد المساهمة بالموقع لكن للأسف أنتم تشاركوا بالطريقة الخاطئة!
إتفاقية الإستخدام تمنع نشر روابط لبرامج مقرصنة أو لها حقوق ملكية أو فكرية ووضع رابط تحميل هذه الأداة بكل تأكيد مخالف لهذا الشرط.
أتمنى من الجميع الإلتزام بشروط إتفاقية الإستخدام وقرائتها في حال لم تفعل!
ali
15 يوليو، 2010 الساعة 4:02 صطريقة البحت عن اداة ليس عن طريق google
انما هنك طرق اخر لبحت
ادا كانت تبحت عن اى شئ ماء ابحت داخل سيرفات التحميل متل fileserve /hotfile / Rapidshare /easy-share
وستوفر الوقت والجهود وعناء التسجيل فى الموقع لكى تحصل على روبط التحميل
Rapidshare يوجد فية خصيات البحت داخل هدا السيرفر وستجد اكتر من ربط واحد
اتمنا لجميع بتوفيق
سعد المطيري
16 يوليو، 2010 الساعة 7:09 صالاهم من تجربتها هي اخفاء الملفات منها …
firoo
10 أغسطس، 2010 الساعة 10:44 مTHE TOOL CAN BE FOUND ON RAPIDSHARE IF U DONT HAVE AN ACCOUNT ULL FACE A COUNTER TELLING U TO WAIT 60 SECONDS TIL U CAN DOWNLOAD TYPE THE FOLLOWING IN THE ADDRESS BAR [removed]alert(c=0) and the counter will be terminated now the rapid share site allow free user to download 1 time else it prompt u to purchase a premium account cause it track IP address to pass this u have to flushdns in your computer + release it then get yourself a new IP from ISP from control panel if ur windows user; type any IP EX. 111.111.111.111 in network connection THEN WAIT 5 SECONDS THEN RECONFIGURE YOUR IP to automatic and ctrl + shift + delete in firefox to clear all cookies then refresh and youll download again and again and
عبدالرحيم بلكنش
31 يوليو، 2011 الساعة 5:37 متسلم على الموضوع الرائع تحياتي
حسام أحمد
3 أغسطس، 2011 الساعة 5:20 مموضوع رائع سمعت عن هذه الآداة ولكن لم أظن أنها ستتسرب
سأجربها
مشكور علي المعلومة