From 12368ed7c8841bad4c6d9eb700ce6e1e7f4be3be Mon Sep 17 00:00:00 2001 From: overcuriousity Date: Thu, 14 Aug 2025 22:56:15 +0200 Subject: [PATCH] content --- src/data/tools.yaml | 231 +++++++++++++++++++++++++++++++------------- 1 file changed, 162 insertions(+), 69 deletions(-) diff --git a/src/data/tools.yaml b/src/data/tools.yaml index 6335317..5d30e77 100644 --- a/src/data/tools.yaml +++ b/src/data/tools.yaml @@ -119,9 +119,8 @@ tools: Kill-Chain-Phasen. Föderierte Architektur ermöglicht selektives Intelligence-Sharing zwischen vertrauenswürdigen Partnern durch Tagging-System. Correlation-Engine findet automatisch Zusammenhänge - zwischen scheinbar unabhängigen Incidents. ZeroMQ-Feed pusht IOCs in - Echtzeit an Firewalls, SIEMs und Detection-Systeme für automatisierte - Response. + zwischen scheinbar unabhängigen Incidents. Integriert mit Firewalls ind + SIEMS, die mit MISP-Anreicherungen gefüttert werden können. url: https://misp-project.org/ skillLevel: intermediate domains: @@ -157,6 +156,7 @@ tools: - OpenCTI icon: 🌐 projectUrl: https://misp.cc24.dev + statusUrl: https://status.mikoshi.de/api/badge/34/status license: AGPL-3.0 accessType: server-based knowledgebase: true @@ -221,18 +221,16 @@ tools: - name: Timesketch type: software description: >- - Google's Collaborative Timeline-Analyse-Platform meistert Millionen von - korrelierten Events durch hochperformante - Elasticsearch-Backend-Architektur für Enterprise-Scale-Investigations. - Plaso-Integration parst automatisch über 300 verschiedene Log-Formate in - einheitliche Super-Timeline mit standardisierten Attributen. Interactive - Timeline-Explorer mit dynamischen Heatmaps, Activity-Graphen und - Statistical-Analysis für Advanced-Pattern-Recognition. Sigma-Rules werden - direkt auf Timelines angewendet für Automated-Threat-Detection, - Machine-Learning-Analyzers erkennen Login-Brute-Force, Lateral-Movement - und Data-Exfiltration-Patterns. Collaborative-Features: Shared-Sketches, - Analyst-Comments, Saved-Searches und narrative Stories für - Management-Reporting. + Google's Timeline-Analyse-Platform meistert Millionen von korrelierten + Events durch skalierende Elasticsearch-Backend-Architektur für + umfangreiche Zeitlinienanalysen. Plaso-Integration parst automatisch über + 300 verschiedene Log-Formate in einheitliche Timeline mit standardisierten + Attributen. Statistische Analysen und Plugins zur Datenanreicherung wie + maxming GeoIP und MISP sind verfügbar. Sigma-Rules werden direkt auf + Timelines angewendet für automatisierte Detektion von Anomalien, + Login-Brute-Force, Lateral-Movement und Data-Exfiltration-Patterns. + Kollaborative Funktionen: Gemeinsames Bearbeiten, Analystenkommentare, + "Stories" für Management-Berichterstattung. url: https://timesketch.org/ skillLevel: intermediate domains: @@ -269,6 +267,7 @@ tools: - Kibana icon: ⏱️ projectUrl: https://timesketch.cc24.dev + statusUrl: https://status.mikoshi.de/api/badge/37/status license: Apache-2.0 accessType: server-based - name: Wireshark @@ -922,18 +921,20 @@ tools: - name: Neo4j type: software description: >- - Native Graph-Datenbank transformiert komplexe Relationship-Data in - intuitive Visualisierungen durch Cypher-Query-Language für forensische - Pattern-Detection. Graph-Algorithmen finden kürzeste Pfade zwischen - Entities, Community-Detection identifiziert Fraud-Rings und - Criminal-Networks automatisch. Visual-Graph-Explorer macht verborgene - Multi-Hop-Connections sichtbar für Money-Laundering, Social-Engineering - und Organized-Crime-Investigations. APOC-Bibliothek bietet 450+ - spezialisierte Procedures für Advanced-Analytics: Centrality-Measures, - PageRank, Clustering-Coefficients. Bloom-Visualization-Tool für - nicht-technische Stakeholder mit Point-and-Click-Exploration. Import aus - CSV, JSON und relationalen Datenbanken, Elasticsearch-Integration für - Hybrid-Search-Scenarios. + Graph-Datenbank transformiert komplexe relationale Daten in intuitive + Visualisierungen. Die SQL-ähnliche Cypher-Query-Language ist nach einer + gewissen Lernkurve intuitiv und bietet viele Möglichkeiten. + Cypher-Algorithmen finden kürzeste Pfade zwischen Entitäten, viele weitere + Automatisierungen sind möglich. Die Anwendbarkeiten sind wegen der + abstrakten Struktur von Neo4J daher unbegrenzt und in allen Domänen + (hauptsichlich Netzwerkforensik, Finanztransaktionsanalysen, + Kriminalermittlungen gegen organisiertes Verbrechen) zur Visualisierung + und ggf. auch zur Analyse einsetzbar. Die APOC-Bibliothek bietet darüber + hinaus noch zahlreiche weitere Plugins. Import aus CSV, JSON und + relationalen Datenbanken. + + Leider versteckt Neo4J einige seiner Funktionen mittlerweile hinter einem + Premium-Modell und entfernt sich so vom Open-Source-Konzept. url: https://neo4j.com/ skillLevel: intermediate domains: @@ -971,6 +972,7 @@ tools: - Linkurious icon: 🕸️ projectUrl: https://graph.cc24.dev + statusUrl: https://status.mikoshi.de/api/badge/32/status license: GPL-3.0 / Commercial accessType: server-based - name: QGIS @@ -2141,23 +2143,25 @@ tools: related_concepts: - Digital Evidence Chain of Custody - name: Aftermath - icon: 🎯 type: software description: >- - Jamfs Open-Source-Juwel für macOS-Forensik sammelt systematisch Artefakte - ohne Full-System-Image. Optimiert für Incident-Response mit minimalem - System-Impact. Extrahiert kritische Daten: laufende Prozesse, Netzwerk- - verbindungen, installierte Software, Persistence-Mechanismen. Besonders - wertvoll: Unified-Log-Parser für System-Events, Browser-Artefakte aller - Major-Browser, Quick-Look-Thumbnails, FSEvents für Dateiaktivitäten. Die - modulare Architektur erlaubt selektive Sammlung. Output in strukturierten - JSON/CSV für einfache Analyse. Zeitstempel-Normalisierung für - Timeline-Erstellung. Unterstützt moderne macOS-Security-Features: - TCC-Permissions, Code-Signing-Status, XProtect-Matches. Die Remote- - Collection via MDM/SSH skaliert auf Unternehmensflotten. Besonders clever: - Sammlung von Cloud-Synchronisations-Artefakten (iCloud, Dropbox). - Regelmäßige Updates für neue macOS-Versionen. Die Alternative zu teuren - kommerziellen Mac-Forensik-Suiten. + Jamfs Open-Source-Software für macOS-Forensik sammelt systematisch + Artefakte, ohne zuvor ein Full-System-Image zu ziehen. Optimiert für + Incident-Response mit minimalem Systemeingriff. Extrahiert kritische + Daten: laufende Prozesse, Netzwerkverbindungen, installierte Software, + Persistenzmechanismen. Besonders wertvoll: Unified-Log-Parser für + System-Events, Browser-Artefakte aller größeren Browser, + Quick-Look-Thumbnails, FSEvents für Dateiaktivitäten. Die modulare + Architektur erlaubt selektive Sammlung. Output in strukturierten JSON/CSV + für einfache Analyse. Zeitstempel-Normalisierung für Timeline-Erstellung. + Unterstützt moderne macOS-Sicherheitsfeatures: TCC-Permissions, + Code-Signing-Status, XProtect-Matches. Die Remote-Collection via MDM/SSH + skaliert auf Unternehmensflotten. Besonders clever: Sammlung von + Cloud-Synchronisations-Artefakten (iCloud, Dropbox). Regelmäßige Updates + für neue macOS-Versionen. Die Alternative zu teuren kommerziellen + Mac-Forensik-Suiten. + url: https://github.com/jamf/aftermath/ + skillLevel: intermediate domains: - incident-response - static-investigations @@ -2167,14 +2171,6 @@ tools: - examination platforms: - macOS - related_software: - - osquery - - KAPE - skillLevel: intermediate - accessType: download - url: https://github.com/jamf/aftermath/ - license: Apache-2.0 - knowledgebase: false tags: - cli - triage @@ -2190,6 +2186,12 @@ tools: - json-export related_concepts: - Digital Evidence Chain of Custody + related_software: + - osquery + - KAPE + icon: 🎯 + license: Apache-2.0 + accessType: download - name: RegRipper type: software description: >- @@ -2280,17 +2282,15 @@ tools: - name: PhotoRec type: software description: >- - Signature-Based File-Carving-Tool rekonstruiert gelöschte Files durch + Signatur-basiertes File-Carving-Tool rekonstruiert gelöschte Daten durch Header/Footer-Pattern-Matching unabhängig vom Dateisystem-Zustand oder - Partition-Table-Corruption. Unterstützt über 300 File-Formats: Images - (JPEG, PNG, TIFF), Documents (PDF, DOC, XLS), Archives (ZIP, RAR), Videos - (AVI, MP4) und Custom-Signatures. Read-Only-Operation gewährleistet - forensische Evidence-Integrity, funktioniert bei beschädigten, - formatierten oder korrupten Dateisystemen. Paranoid-Mode scannt jeden - einzelnen Sektor für Maximum-Recovery-Rate bei fragmentierten Files. - Konfigurierbare File-Extensions und Custom-Signature-Development für - proprietäre Formats. Companion-Software TestDisk repariert - Partition-Tables und Boot-Sectors für Filesystem-Recovery-Scenarios. + Korruption des Dateisystems. Unterstützt über 300 Datei-Formate: Bilder + (JPEG, PNG, TIFF), Dokumente (PDF, DOC, XLS), Archive (ZIP, RAR), Videos + (AVI, MP4) und selbstdefinierte Dateisignaturen. Read-Only gewährleistet + forensische Integrität, funktioniert bei beschädigten, formatierten oder + korrupten Dateisystemen. Paranoid-Mode scannt jeden einzelnen Sektor für + maximale Anzahl wiederhergestellter Daten. Integrierbar mit Software wie + TestDisk. url: https://www.cgsecurity.org/wiki/PhotoRec skillLevel: beginner domains: @@ -2299,6 +2299,7 @@ tools: - fraud-investigation phases: - examination + - data-collection platforms: - Windows - Linux @@ -4329,13 +4330,13 @@ tools: - name: ADB type: software description: >- - Kommuniziert mit Android-Geräten für forensische Datenextraktion über USB - oder Netzwerk ohne Root-Zugriff. Erstellt logische Backups von App-Daten, - installiert forensische Analysewerkzeuge, erfasst Live-Logcats für - Incident-Response. Port-Weiterleitung ermöglicht sichere Remote-Analyse. - File-Transfer-Funktionen extrahieren Beweise direkt vom Gerät. - Shell-Access für erweiterte Forensik-Kommandos. Unverzichtbar für - Mobile-Incident-Response und App-Entwicklungs-Forensik. + Die "Android Debug Bridge" ist grundsätzlich ein Werkzeug für + Android-Entwickler, wird aber auch gern in der Mobile-Forensik genutzt. + + Sie ermöglicht bei Android-Geräten forensische Datenextraktion über USB + oder Netzwerk teilweise ohne Root-Zugriff, besonders einfach bei älteren + Geräten. Erstellt logische Backups von App-Daten, installiert forensische + Analysewerkzeuge. url: https://developer.android.com/tools/adb skillLevel: intermediate domains: @@ -4523,8 +4524,8 @@ tools: Deauth-Frames für Handshake-Erfassung. WEP-Schlüssel-Rekonstruktion in Minuten, WPA2-PSK-Recovery mit Dictionary-Angriffen. Rogue-Access-Point-Erkennung und Client-Probing-Analyse für - Bewegungsprofile. GPU-Beschleunigung via hashcat für moderne - Verschlüsselungsstandards. + Bewegungsprofile. Ein sehr etabliertes Tool, das immer noch seine Relevanz + vor allem auch im Pentesting besitzt. url: https://www.aircrack-ng.org/ skillLevel: advanced domains: @@ -7160,6 +7161,97 @@ tools: - kernel-analysis related_concepts: - Memory Forensics & Process Analysis + - name: ChipWhisperer + type: software + description: >- + Hardware-Sicherheitsanalyse-Plattform für Firmware-Extraktion aus + eingebetteten Systemen durch Stromverbrauchsanalysen. Automatisierte + Differential-Power-Analysis (DPA) und Correlation-Power-Analysis (CPA) + brechen AES-Implementierungen und extrahieren Verschlüsselungsschlüssel + aus Mikrocontrollern. Fehlereinschleusung umgeht Bootloader-Überprüfung + und Secure-Boot-Mechanismen. Besonders wertvoll für IoT-Geräte-Forensik: + Umgehung von Hardware-Security-Modulen, Clock-Glitching für + Code-Ausführungs-Übernahme, Spannungsfehler für + Authentifizierungs-Umgehung. Python-API automatisiert Angriffsszenarien, + CW-Lite/Pro-Hardware skaliert von Hobby bis professionelle + Penetrationstests. Standardplattform für Hardware-Hacking und eingebettete + Systemforensik. + url: https://www.newae.com/chipwhisperer + skillLevel: expert + domains: + - ics-forensics + - static-investigations + phases: + - data-collection + - analysis + platforms: + - Windows + - Linux + - macOS + tags: + - hardware-analysis + - side-channel-attack + - power-analysis + - fault-injection + - embedded-security + - firmware-extraction + - iot-forensics + - hardware-hacking + - encryption-bypass + - python-api + related_concepts: + - Hash Functions & Digital Signatures + related_software: + - Binwalk + - Ghidra + - ICSpector + icon: 🫓 + license: GPL-3.0 + accessType: download + - name: JTAG-Analyse + type: method + description: >- + Direkter Hardware-Schnittstellenzugriff auf eingebettete Systeme über + Joint Test Action Group Debug-Schnittstelle für Firmware-Extraktion und + Systemanalyse. Boundary-Scan-Verfahren identifiziert verfügbare JTAG-Pins + auch bei undokumentierten Geräten durch systematische Pin-Tests. + Flash-Speicher-Abzüge umgehen Software-Schutzmaßnahmen und extrahieren + komplette Firmware-Abbilder inklusive verschlüsselter Bereiche. + + Debug-Port-Ausnutzung ermöglicht Live-Speicherzugriff, + Register-Manipulation und Code-Injection in laufende Systeme. Besonders + kritisch für IoT-Forensik: Router-Hintertüren, intelligente + Geräte-Manipulationen, Industriesteuerungsanlagen-Kompromittierungen. + Kombiniert mit Chip-Off-Techniken für maximale Datenwiederherstellung bei + sicherheitsgehärteten Geräten. Standard-Methodik für Hardware-Forensik. + url: https://www.jtag.com/what-is-jtag-testing-of-electronics-tutorial/# + skillLevel: expert + domains: + - ics-forensics + - mobile-forensics + - static-investigations + phases: + - data-collection + - examination + tags: + - hardware-interface + - firmware-extraction + - debug-access + - boundary-scan + - embedded-analysis + - iot-forensics + - flash-memory + - system-exploitation + - hardware-forensics + - pin-identification + related_concepts: + - Digital Evidence Chain of Custody + related_software: + - ChipWhisperer + - Binwalk + - OpenOCD + icon: 💳 + knowledgebase: true domains: - id: incident-response name: Incident Response & Breach-Untersuchung @@ -7228,3 +7320,4 @@ scenarios: - id: scenario:windows-registry icon: 📜 friendly_name: Windows Registry analysieren +skill_levels: {}