Ein Blick auf Microsofts entwischte Forensik-Tool-Sammlung

Zunächst erschien die Tool-Sammlung COFEE, die Microsoft eigentlich nur Strafverfolgungsbehörden zur Verfügung stellt, um Beweismittel auf Computern sicherzustellen, nur auf einer File-Sharing-Seite. Wenig später tauchten bereits Kopien via Bittorrent auf.

Der Computer Online Forensic Evidence Extractor (COFEE) richtet sich an Computer-Laien, die gerade mal in der Lage sein müssen, einen USB-Stick an den zu untersuchenden PC zu stecken, um einen vollständigen Report zu erstellen. Wer davon jedoch Wunderdinge erwartet, wird enttäuscht sein. Die heise Security vorliegende Version hält für Computer-Profis wenig Überraschendes bereit.

COFEE startet via Autorun direkt beim Anstecken des USB-Sticks und führt dabei ein Kommandozeilenskript aus. Tools wie whoami, autoruns und so weiter erstellen dabei einen Schnappschuss mit Basisinformationen, die danach für den Web-Browser hübsch aufbereitet werden. Raffinierte Tools, um etwa gelöschte Dateien oder anderweitig versteckte Informationen wiederherzustellen fanden sich nicht in der Sammlung. Der eigentliche Mehrwert liegt in der einfachen Bedienbarkeit und dem Schwerpunkt darauf, Beweise zu erheben, die auch vor Gericht stand halten.

Schon das beiliegende Benutzerhandbuch verrät einiges über den technischen Stand des Toolkits. Zwar datiert es offiziell auf September 2009. Doch das einzige Betriebssystem, das man demnach mit COFEE offiziell untersuchen kann, ist Windows XP – von Vista oder gar Windows 7 ist nirgendwo die Rede. Die Verzeichnisstruktur der versionsspezifischen Tools enthält ebenfalls nur die Ordner win2k, win2k03 und winxp.

Wer zufällig über eine angebliche Kopie von COFEE stolpert, sollte diese mit äußerster Vorsicht behandeln. Nicht nur, weil es sich dabei um copyright-geschützte Programme handelt, sondern auch, weil man nicht sicher sein kann, ob nicht etwa gezielt Hintertüren oder Spionageprogramme eingeschleust wurden. (ju)