โปรแกรมสกัดหลักฐานทางนิติวิทยาศาสตร์ออนไลน์สำหรับคอมพิวเตอร์ ( COFEE ) เป็นชุดเครื่องมือที่พัฒนาโดยMicrosoftเพื่อช่วยผู้ตรวจสอบทางนิติวิทยาศาสตร์คอมพิวเตอร์ในการสกัดหลักฐานจากคอมพิวเตอร์ระบบ Windows โดยติดตั้งลงในแฟลชไดรฟ์ USBหรือไดรฟ์ภายนอก อื่นๆ และทำหน้าที่เป็นเครื่องมือทางนิติวิทยาศาสตร์อัตโนมัติระหว่างการวิเคราะห์แบบเรี ยลไทม์ Microsoft ให้บริการอุปกรณ์ COFEE และการสนับสนุนทางเทคนิคออนไลน์ฟรีแก่หน่วยงานบังคับใช้กฎหมาย

COFEE ได้รับการพัฒนาโดย Anthony Fung อดีตเจ้าหน้าที่ตำรวจฮ่องกง ซึ่งปัจจุบันทำงานเป็นนักสืบอาวุโสในทีมบังคับใช้ความปลอดภัยทางอินเทอร์เน็ตของ Microsoft ^{[ 1 ]} Fung คิดค้นอุปกรณ์นี้ขึ้นมาหลังจากการสนทนาที่เขาได้เข้าร่วมในการประชุมเทคโนโลยีการบังคับใช้กฎหมายในปี 2006 ซึ่งได้รับการสนับสนุนจาก Microsoft ^{[ 2 ]} อุปกรณ์นี้ถูกใช้โดยเจ้าหน้าที่มากกว่า 2,000 นายในอย่างน้อย 15 ประเทศ^{[ 3 ]}

กรณีที่ Microsoft อ้างถึงในเดือนเมษายน พ.ศ. 2551 ระบุว่า COFEE มีบทบาทสำคัญในการสืบสวนคดีค้ามนุษย์เด็กในนิวซีแลนด์โดยได้รวบรวมหลักฐานที่นำไปสู่การจับกุม^{[ 1 ]}

ในเดือนเมษายน พ.ศ. 2552 ไมโครซอฟต์และอินเตอร์โพลได้ลงนามในข้อตกลงซึ่งอินเตอร์โพลจะทำหน้าที่เป็นผู้จัดจำหน่ายหลักระหว่างประเทศของ COFEE ศูนย์สืบสวนอาชญากรรมไซเบอร์ของ มหาวิทยาลัยคอลเลจดับลินร่วมกับอินเตอร์โพลพัฒนาโปรแกรมฝึกอบรมผู้เชี่ยวชาญด้านนิติวิทยาศาสตร์ในการใช้ COFEE ^{[ 4 ]} ศูนย์อาชญากรรมคอขาวแห่งชาติได้รับอนุญาตจากไมโครซอฟต์ให้เป็นผู้จัดจำหน่าย COFEE ในประเทศสหรัฐอเมริกาแต่เพียงผู้เดียว^{[ 5 ]}

เมื่อวันที่ 6 พฤศจิกายน 2552 สำเนาของ Microsoft COFEE ถูกเผยแพร่ไปยังเว็บไซต์ torrent ต่างๆ^{[ 6 ]}การวิเคราะห์เครื่องมือที่รั่วไหลแสดงให้เห็นว่าส่วนใหญ่เป็นเพียงโปรแกรมห่อหุ้มยูทิลิตี้อื่นๆ ที่นักสืบเคยใช้งานมาก่อน^{[ 7 ]} Microsoft ยืนยันการรั่วไหลดังกล่าว อย่างไรก็ตาม โฆษกของบริษัทกล่าวว่า "เราไม่คาดว่าการที่อาชญากรไซเบอร์จะสามารถดาวน์โหลด COFEE และหาวิธี 'สร้างโปรแกรมขึ้นมาเอง' จะเป็นเรื่องที่น่ากังวลอย่างมาก" ^{[ 8 ]}

อุปกรณ์นี้เปิดใช้งานโดยการเสียบเข้ากับ พอร์ต USBประกอบด้วยเครื่องมือ 150 รายการและอินเทอร์เฟซผู้ใช้แบบกราฟิกเพื่อช่วยให้นักวิจัยรวบรวมข้อมูล^{[ 1 ]}มีรายงานว่าซอฟต์แวร์ประกอบด้วยสามส่วน ส่วนแรก COFEE จะถูกกำหนดค่าล่วงหน้าโดยนักวิจัยเลือกข้อมูลที่ต้องการส่งออก จากนั้นจะบันทึกข้อมูลลงในอุปกรณ์ USB เพื่อเสียบเข้ากับคอมพิวเตอร์เป้าหมาย อินเทอร์เฟซเพิ่มเติมจะสร้างรายงานจากข้อมูลที่รวบรวมได้^{[ 7 ]}ประมาณการที่อ้างถึงโดย Microsoft ระบุว่างานที่เคยใช้เวลา 3-4 ชั่วโมง สามารถทำได้ด้วย COFEE ในเวลาเพียง 20 นาที^{[ 1 ] [ 9 ]}

COFEE ประกอบด้วยเครื่องมือสำหรับการถอดรหัสรหัสผ่าน การกู้คืนประวัติการ ใช้งาน อินเทอร์เน็ตและการดึงข้อมูลอื่นๆ^{[ 2 ]}นอกจากนี้ยังสามารถกู้คืนข้อมูลที่จัดเก็บไว้ในหน่วยความจำชั่วคราวซึ่งอาจสูญหายไปได้หากคอมพิวเตอร์ถูกปิดเครื่อง^{[ 10 ]}

ในช่วงกลางถึงปลายปี 2552 มีการประกาศเครื่องมือชื่อ Detect and Eliminate Computer Acquired Forensics (DECAF) โดยกลุ่มโปรแกรมเมอร์ที่ไม่เกี่ยวข้อง เครื่องมือนี้อ้างว่าจะปกป้องคอมพิวเตอร์จาก COFEE และทำให้เครื่องมือนี้ไร้ประสิทธิภาพ^{[ 11 ]}โดยอ้างว่าจะสามารถตรวจสอบลายเซ็น COFEE แบบเรียลไทม์บน อุปกรณ์ USBและในแอปพลิเคชันที่กำลังทำงานอยู่ และเมื่อตรวจพบลายเซ็น COFEE แล้ว DECAF จะดำเนินการตามกระบวนการที่ผู้ใช้กำหนดไว้หลายอย่าง ซึ่งรวมถึงการล้างบันทึก COFEE การถอดอุปกรณ์ USB และการปนเปื้อนหรือการปลอมแปลงที่อยู่MAC ^{[ 12 ]}เมื่อวันที่ 18 ธันวาคม 2552 ผู้สร้าง DECAF ประกาศว่าเครื่องมือนี้เป็นเรื่องหลอกลวงและเป็นส่วนหนึ่งของ "การแสดงเพื่อสร้างความตระหนักเกี่ยวกับความปลอดภัยและความจำเป็นสำหรับเครื่องมือทางนิติวิทยาศาสตร์ที่ดีขึ้น" ^{[ 13 ] [ 14 ] [ 15 ] [ 16 ]}

• คาลิ ลินุกซ์
• นูบุนตู
• Windows To Goคือไดรฟ์ USB ที่สามารถบูตระบบปฏิบัติการ Windows และใช้งานโปรแกรมกู้คืน/รวบรวมข้อมูลได้

• เว็บไซต์อย่างเป็นทางการ
• "โปรแกรมสกัดหลักฐานทางนิติวิทยาศาสตร์คอมพิวเตอร์ออนไลน์ของ Microsoft (COFEE)"บริษัทMicrosoftเก็บถาวรจากต้นฉบับเมื่อ 2012-06-21 เรียกดูเมื่อ2009-10-17
• "กาแฟธรรมดาหรือกาแฟไม่มีคาเฟอีน? เปิดตัวเครื่องมือต่อต้านกาแฟ" Praetorian Prefectเก็บถาวรจากต้นฉบับเมื่อ 2009-12-18 เรียกดูเมื่อ2009-12-18
• "การเปิดใช้งาน DECAF อีกครั้งในสองนาที" Praetorian Prefectเก็บถาวรจากต้นฉบับเมื่อวันที่ 23 กุมภาพันธ์ 2014 เรียกดูเมื่อวันที่ 18 ธันวาคม 2009