COFEE

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

COFEE(Computer Online Forensic Evidence Extractor)는 Microsoft에서 사법기관을 위해 배포한 라이브 포렌식 도구로써, 2009년 9월에 v1.1.2가 배포되었다. GUI 기반에서 CLI 어플리케이션들(서드파티 도구)로 구성되어 있고 시스템 기본 정보, 네트워크, 사용자, 프로세스, 서비스, 오픈 파일, 레지스트리를 수집 가능하며 Windows XP를 지원한다. 다른 도구들과 다르게 조사관 PC에서 USB를 이용하여 COFEE 전용 USB를 생성한 후 USB를 통한 수집이 이루어진다.

사용법

조사관 PC에 설치된 COFEE 프로그램과 USB 저장 장치를 이용하여 데이터 수집 툴을 생성한다. 아래 [그림 1]은 F드라이브의 USB를 COFEE 데이터 수집용 USB로 생성하는 화면이다.


그림 1. COFEE 전용 USB 생성


생성이 완료되면 해당 드라이브는 COFEE라는 라벨로 바뀌며 수집을 위한 도구들이 생성된다. 아래 [그림 2]와 [그림 3]은 생성된 파일과 도구 목록에 대한 그림이다.

그림 2. 생성된 COFEE 폴더 및 실행파일


그림 3. bin 폴더 내에 생성 된 도구 목록


생성 된 USB를 통해 조사 대상 PC에서 라이브 데이터를 수집한다. 아래 [그림 4]는 Windows XP에서 데이터를 수집하는 화면이다.

그림 4. COFEE 데이터 수집 화면


데이터 수집이 완료되고 나면 해당 사용자 PC 이름으로 수집된 결과 폴더가 생성된다. 아래 [그림 5]은 수집된 결과들에 대한 화면이다.


그림 5. COFEE로 수집된 데이터


도구 기능

COFEE에서 기본적으로 제공하는 도구들은 아래 [표 1]과 같다.


[표 1] COFEE에서 제공하는 서드파티 도구
도구 인자값
arp.exe -a
at.exe
autorunsc.exe
getmac.exe
handle.exe -a
hostname.exe
ipconfig.exe /all
msinfo32.exe /report %OUTFILE%
nbtstat.exe
-A 127.0.0.1
-c
-n
-s
net.exe
accounts
file
session
share
start
use
user
view
group
localgroup administrators
localgroup administrators /domain
localgroup
netdom.exe query DC
netstat.exe -ao


제한사항

데이터 추출 과정 중에 많은 오류가 발생하였는데 확인 결과 데이터가 정상적으로 추출되지 않았다. 아래 [그림 6]은 데이터 추출 과정 중 발생 한 오류에 대한 화면이다.


그림 6. COFEE 데이터 추출 오류


수사 활용 방안

2009년 9월 이후 새로운 버전이 개발되었으나 Microsoft에서 배포하지 않기 때문에 Windows XP 이후 버전부터는 데이터 수집/분석이 불가능하다. 또한 Windows XP에서 수집 중에도 많은 에러가 발생하여 정상적인 데이터 수집이 되지 않았다. 해당 도구는 수사 시 활용하기에 부적절한 도구로 판단된다.