Jakiś czas temu (listopad 2009) w sieci pojawiła się informacja o wycieku specjalnego zbioru narzędzi dla Interpolu przygotowanego przez Microsoft, a pomagającego zautomatyzować pobieranie potrzebnych (dla dochodzenia) danych z komputera podejrzanego.

Computer Online Forensic Evidence Extractor (COFEE)

Narzędzie to było (do niedawna tylko) w posiadaniu Interpolu, na nośnikach USB, teraz jest w sieci (Internet) dostępne dla każdego zainteresowanego.

Nie trzeba było długo czekać by pojawiła się odpowiedź z „ciemniejszej strony Internetu”

Detect and Eliminate Computer Assisted Forensics (DECAFMe)

Jest to narzędzie monitorujące system i gdy wykryje podłączony PenDrive z oprogramowaniem COFEE wykonuje zdefiniowane (ustawione w opcjach programu) operacje, takie jak:

# Contaminate MAC Addresses: Spoof MAC addresses of network adapters
# Kill Processes: Quick shutdown of running processes
# Shutdown Computer: On the fly machine power down
# Disable network adapters
# Disable USB ports
# Disable Floppy drive
# Disable CD-ROM
# Disable Serial/Printer Ports
# Erase Data: Quick file/folder removal (Basic Windows delete)
# Clear Event Viewer: Remove logs from the Event Viewer
# Remove Torrent Clients: Removes Azureus and BitTorrent clients
# Clear Cache: Remove cookies, cache, and history

.

Czy warto pobrać i zainstalować DECAFMe w systemie?

Jeśli z jakiś powodów obawiacie się policji…
W innym wypadku (większość użytkowników komputerów) chyba nie ma takiej potrzeby… Chyba, że jako ciekawostkę, by zapoznać się z aplikacją…

Należy również pamiętać, że mimo wykrycia i zablokowania przez DECAFMe działania COFEE, dalej niezbędne w dochodzeniu dane będzie można uzyskać z Waszego komputera, będzie to co najwyżej trudniejsze.

.

[AKTUALIZACJA 20091218]

Wokół autorów jak i samej aplikacji zrobiło się pewne zamieszanie. Aplikacja została przez autorów zablokowana.

Program podczas działania kontaktuje się z serwerem „domowym” i  zawartych tam danych determinuje swoje działanie (lub niedziałanie).

Aktualnie aplikacja nie działa, ale pojawiło się rozwiązanie tego problemu, przy wykorzystaniu lokalnego serwera WWW Apache.

Sposób podaje za stroną Pretorian Prefect

How to Reactivate DECAF in Two Minutes
(Jak ponownie aktywować DECAF w 2 minuty)

Remember that DECAF calls home when launched via HTTP to 208.68.237.165.
(DECAF przy uruchamianiu kontaktuje się za pomocą protokołu HTTP z serwerem 208.68.237.165)

If it doesn’t receive this response, it crashes.
(Jeśli nie dostanie prawidłowej odpowiedzi z serwera, przerywa działanie)

1.0.0|http://www.decafme.org/|

The crash returns this error:
(Zgłaszany błąd:)

EventType clr20r3, P1 decaf.exe, P2 1.0.2.0, P3 4b2679b7, P4 decaf,
P5 1.0.2.0, P6 4b2679b7, P7 115, P8 14d, P9
system.invalidoperationexception, P10 NIL.

So not serving this page is what appears to be “the deactivation”, the URL does not return the right response, and the application crashes. To counter this we:
(Rozwiązaniem problemu jest:)

Set up a virtual host in Apache:
(Konfiguracja wirtualnego hosta w Apache’u (lokalny serwer WWW))

<VirtualHost *:80>
ServerName decafeme.org
ServerAlias www.decafeme.org
RewriteEngine On
RewriteRule ^.*$ /index.php [L] DocumentRoot „/var/www/decafeme/
<Directory „/var/www/decafeme/”>
Options FollowSymLinks
AllowOverride All
Order allow,deny
Allow from all
</Directory>
<IfModule mpm_peruser_module>
ServerEnvironment apache apache
</IfModule>
</VirtualHost>

Add this php file as ‘index.php’:
(Do „naszego” lokalnego pliku  „index.php” należ dodać kod:)

<?php
echo(„1.0.0|http://www.decafme.org/|”);
?>

Modify your hosts file by adding this entry (swapping out the IP for wherever you put the virtual host):
(Dodatkowo trzeba do lokalnego pliku „hosta” (w systemie Windows jest to plik LMHOST) dodać następujący wpis:)

127.0.0.1 www.decafme.org

W tym momencie aplikacja chcąc połączyć się z www.decafme.org będzie tak naprawdę łączyć się z naszym lokalnym serwerem (127.0.0.1) Apache, od którego będzie otrzymywać odpowiednią odpowiedź, a tym samym aplikacja będzie działać normalnie.

Zgłoś błąd na stronie

Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!

WebInsider poleca księgowość wFirma
WebInsider korzysta z VPSa w HitMe.pl
WebInsider poleca VPSy DigitalOcean
WebInsider poleca serwis Vindicat
Napisz komentarz
wipl_napisz-komentarz_01Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które - w miarę możliwości - spróbujemy Ci odpowiedzieć.
Linki partnerskie
Niektóre z linków na tej stronie to tzw. "linki partnerskie", co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte... :-)
Znaki towarowe i nazwy marek
W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.

Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!