Sicherheit & Antivirus

14.12.2009 17:35

Decaf behindert Microsofts Polizei-Tool COFEE

Unbekannte haben mit Decaf ein kleines Programm veröffentlicht, das Microsofts Forensik-Software Computer Online Forensic Evidence Extractor (COFEE) die Arbeit deutlich erschweren soll.

COFEE dient vor allem dazu, Beweise zu sichern, die während des Betriebs eines Computers anfallen und möglicherweise verloren gehen, wenn das jeweilige System abgeschaltet wird. Unter anderem lassen sich damit auch passwortgeschützte und verschlüsselte Daten sichern. Es läuft automatisch von einem USB-Stick.

Decaf will erkennen, ob ein COFEE-Stick angeschlossen wurde und ergreift dann Gegenmaßnahmen. So wird der USB-Stick automatisch wieder ausgeworfen und zuvor festgelegte Prozesse werden beendet. Bei Bedarf löscht Decaf auch Log-Dateien, die Browser-History, Cookies, den Cache und ganze Verzeichnisse. BitTorrent-Clients soll es automatisch deinstallieren können.

Um Decaf nutzen zu können, wird das Microsoft-Tool devcon.exe benötigt, das nicht standardmäßig installiert ist. Die Decaf-Entwickler haben angegeben, dass sie Ermittlungsbehörden zeigen wollen, dass man sich nicht ausschließlich auf das Polizei-Tool von Microsoft verlassen sollte. Im November war COFEE ins Internet gelangt und kann bis heute auf einigen Websites heruntergeladen werden.

Michael Diestelberg

Weitere Nachrichten zum Thema

Nachricht versenden
Kommentieren
Hinweis einsenden

Diese Nachricht empfehlen:

[o1] am

(-1)

Solange es frei von Viren o. ä. ist, ein Pflichtdownload für jedes Kiddie und jeden Filesharer, der ganz cool Musik über LimeWire lädt :D Wobei dann das Virenargument eh hinfällig ist :D Also Kinder: LADEN UND INSTALLIEREN :)

[re:1] am

(-1)

@DasFragezeichen: Und du glaubst allen Ernstes das würde helfen?

[re:2] am

@DasFragezeichen: löschen ist ungleich löschen, sobald man die HDD in den Händen hält kann man auch richtig nachschauen. Da bringt so ein pseudo anti forensic tool nichts.

[re:3] am

@tavoc: Seh ich auch so. Einschmelzen ist das beste :)

[re:4] am

@tavoc: Encase ist sehr verletzlich, falls es nicht schon längst passiert ist, wäre Pwn2Own doch ein interessantes Gedankenspielchen. Wie kürzlich die niedersächsische Polizei vorführte, sind die auch fast voll auf Höhe der Zeit, da war nämlich das Internet quasi unbeaufsichtige "Rechtsfreie Zone" weil die Polizei Internetverbot bekommen hatte, wegen verb0rktem Virenscannerupdate. DK2000 hat auf die veraltete Polizei Software hingewiesen für die es keine Sicherheitsupdates mehr gibt: http://www.winfuture-forum.de/index.php?showtopic=173468 Wäre also wirklich eher verwunderlich, wenn die Polizeikisten nicht schon längst pwned sein sollten.

Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an

oder verwenden Sie Ihren bestehenden Zugang.

Benutzername oder Passwort vergessen?