COFEE
소개[편집]
COFEE(Computer Online Forensic Evidence Extractor)는 Microsoft에서 사법기관을 위해 배포한 라이브 포렌식 도구로써, 2009년 9월에 v1.1.2가 배포되었다. GUI 기반에서 CLI 어플리케이션들(서드파티 도구)로 구성되어 있고 시스템 기본 정보, 네트워크, 사용자, 프로세스, 서비스, 오픈 파일, 레지스트리를 수집 가능하며 Windows XP를 지원한다. 다른 도구들과 다르게 조사관 PC에서 USB를 이용하여 COFEE 전용 USB를 생성한 후 USB를 통한 수집이 이루어진다.
사용법[편집]
조사관 PC에 설치된 COFEE 프로그램과 USB 저장 장치를 이용하여 데이터 수집 툴을 생성한다. 아래 [그림 1]은 F드라이브의 USB를 COFEE 데이터 수집용 USB로 생성하는 화면이다.
생성이 완료되면 해당 드라이브는 COFEE라는 라벨로 바뀌며 수집을 위한 도구들이 생성된다. 아래 [그림 2]와 [그림 3]은 생성된 파일과 도구 목록에 대한 그림이다.
생성 된 USB를 통해 조사 대상 PC에서 라이브 데이터를 수집한다. 아래 [그림 4]는 Windows XP에서 데이터를 수집하는 화면이다.
데이터 수집이 완료되고 나면 해당 사용자 PC 이름으로 수집된 결과 폴더가 생성된다. 아래 [그림 5]은 수집된 결과들에 대한 화면이다.
도구 기능[편집]
COFEE에서 기본적으로 제공하는 도구들은 아래 [표 1]과 같다.
| 도구 | 인자값 |
|---|---|
| arp.exe | -a |
| at.exe | |
| autorunsc.exe | |
| getmac.exe | |
| handle.exe | -a |
| hostname.exe | |
| ipconfig.exe | /all |
| msinfo32.exe | /report %OUTFILE% |
| nbtstat.exe | |
| -A 127.0.0.1 | |
| -c | |
| -n | |
| -s | |
| net.exe | |
| accounts | |
| file | |
| session | |
| share | |
| start | |
| use | |
| user | |
| view | |
| group | |
| localgroup administrators | |
| localgroup administrators /domain | |
| localgroup | |
| netdom.exe | query DC |
| netstat.exe | -ao |
제한사항[편집]
데이터 추출 과정 중에 많은 오류가 발생하였는데 확인 결과 데이터가 정상적으로 추출되지 않았다. 아래 [그림 6]은 데이터 추출 과정 중 발생 한 오류에 대한 화면이다.
수사 활용 방안[편집]
2009년 9월 이후 새로운 버전이 개발되었으나 Microsoft에서 배포하지 않기 때문에 Windows XP 이후 버전부터는 데이터 수집/분석이 불가능하다. 또한 Windows XP에서 수집 중에도 많은 에러가 발생하여 정상적인 데이터 수집이 되지 않았다. 해당 도구는 수사 시 활용하기에 부적절한 도구로 판단된다.
