微软工程师 微软内部消息澄清COFEE作用

林海缘

针对微软COFEE工具泄露事情所引起的用户质疑，微软内部有工程师进行了澄清。以下为邮件原文：

各位同事，

计算机在线法证提取工具（Computer Online Forensic Evidence Extractor，缩写为COFEE）是微软基于与国际刑警组织所签订的许可协议，为国际刑警组织所免费开发的一款在线Windows计算机系统犯罪证据提取工具。该工具包括英文、法文、德文、中文、俄罗斯文五个语言版本，于2008年交付给国际刑警组织，允许国际刑警组织187个成员国的政府相关执法人员使用（包括中国）。
         
近日，该工具被泄露到互联网上，部分中文站点在翻译转载说明时，过分夸大事实，例如以下新闻内容：

“据CrunchGear报道，微软的一款名为COFEE的工具近日已经泄漏到网上，对于很多人来说这是一款非常陌生的微软产品，这是微软向国际刑警组织免费提供的证据提取工具，并不面向普通用户推广.COFEE全称为“计算机在线法庭科学证据提取器（Computer Online Forensic Evidence Extractor）”，微软是这样描述的COFEE的：

“有了COFEE，没有合适的计算机取证能力的执法机构可以轻松、可靠而且高效地收集现场证据。 一个只有最基础的计算机知识的人也可以在不超过10分钟的时间里学会如何使用配置好的COFEE设备，执法人员可以像专家一样收集重要的犯罪证据，其复杂 程度就像将USB插入计算机那样。”

简单地说，COFEE就是一种是形似U盘的提取工具，COFEE包含了超过150个信息收集、密码破解、网络嗅探等工具，可以快速绕过所有Windows的安全措施，并破解系统密码、显示网络浏览的历史，对电脑系统进行深入地搜索来获取证据。

对于普通用户来说COFEE并没有太大用处而且也不适合使用，考虑诸多因素微软并没有公开发布COFEE，然而近日它却泄露到了网上，大小约为15MB。”

导致多个用户/同事致电询问此事，认为微软在 Windows 系统中留有后门/漏洞，对 Windows 系统的安全性提出质疑。

为了避免潜在的对于 Windows 系统后门/漏洞/安全性的质疑，在此进行COFEE的澄清说明：
1、  COFEE仅搜集计算机法证所用的相关信息，例如系统信息、用户信息、网络通讯信息等，本身力求保证原系统的完整性与数据精确性，不会对操作系统进行任何的破坏；
2、  COFEE本身为一系列Windows resource kit/Microsoft sysinternal tools工具的集合，所调用的工具，均可以从Internet上公开下载；
3、  COFEE在执行取证操作时，同样严格遵守操作系统的访问控制与进程操作，并非基于系统的漏洞或后门；
4、  COFEE不能破解Bitlock/EFS加密的数据信息；
5、  目前COFEE官方支持的操作系统为 Windows XP，但是同样可以在其他 Windows 操作系统上运行。
6、  关于 COFEE 搜集的信息，可以参考附件中的完整的样本输出报告<COFEE-Output.zip>。
7、  其他信息，可以参考附件中的<COFEE MESSAGES AND Q&A.docx>。

相关的连接：
http://www.microsoft.com/industr ... /cofee/default.aspx