content

src/data/tools.yaml

@@ -119,9 +119,8 @@ tools:
       Kill-Chain-Phasen. Föderierte Architektur ermöglicht selektives
       Intelligence-Sharing zwischen vertrauenswürdigen Partnern durch
       Tagging-System. Correlation-Engine findet automatisch Zusammenhänge
-      zwischen scheinbar unabhängigen Incidents. ZeroMQ-Feed pusht IOCs in
+      zwischen scheinbar unabhängigen Incidents. Integriert mit Firewalls ind
-      Echtzeit an Firewalls, SIEMs und Detection-Systeme für automatisierte
+      SIEMS, die mit MISP-Anreicherungen gefüttert werden können.
-      Response.
     url: https://misp-project.org/
     skillLevel: intermediate
     domains:
@@ -157,6 +156,7 @@ tools:
       - OpenCTI
     icon: 🌐
     projectUrl: https://misp.cc24.dev
+    statusUrl: https://status.mikoshi.de/api/badge/34/status
     license: AGPL-3.0
     accessType: server-based
     knowledgebase: true
@@ -221,18 +221,16 @@ tools:
   - name: Timesketch
     type: software
     description: >-
-      Google's Collaborative Timeline-Analyse-Platform meistert Millionen von
+      Google's Timeline-Analyse-Platform meistert Millionen von korrelierten
-      korrelierten Events durch hochperformante
+      Events durch skalierende Elasticsearch-Backend-Architektur für
-      Elasticsearch-Backend-Architektur für Enterprise-Scale-Investigations.
+      umfangreiche Zeitlinienanalysen. Plaso-Integration parst automatisch über
-      Plaso-Integration parst automatisch über 300 verschiedene Log-Formate in
+      300 verschiedene Log-Formate in einheitliche Timeline mit standardisierten
-      einheitliche Super-Timeline mit standardisierten Attributen. Interactive
+      Attributen. Statistische Analysen und Plugins zur Datenanreicherung wie
-      Timeline-Explorer mit dynamischen Heatmaps, Activity-Graphen und
+      maxming GeoIP und MISP sind verfügbar. Sigma-Rules werden direkt auf
-      Statistical-Analysis für Advanced-Pattern-Recognition. Sigma-Rules werden
+      Timelines angewendet für automatisierte Detektion von Anomalien,
-      direkt auf Timelines angewendet für Automated-Threat-Detection,
+      Login-Brute-Force, Lateral-Movement und Data-Exfiltration-Patterns.
-      Machine-Learning-Analyzers erkennen Login-Brute-Force, Lateral-Movement
+      Kollaborative Funktionen: Gemeinsames Bearbeiten, Analystenkommentare,
-      und Data-Exfiltration-Patterns. Collaborative-Features: Shared-Sketches,
+      "Stories" für Management-Berichterstattung.
-      Analyst-Comments, Saved-Searches und narrative Stories für
-      Management-Reporting.
     url: https://timesketch.org/
     skillLevel: intermediate
     domains:
@@ -269,6 +267,7 @@ tools:
       - Kibana
     icon: ⏱️
     projectUrl: https://timesketch.cc24.dev
+    statusUrl: https://status.mikoshi.de/api/badge/37/status
     license: Apache-2.0
     accessType: server-based
   - name: Wireshark
@@ -922,18 +921,20 @@ tools:
   - name: Neo4j
     type: software
     description: >-
-      Native Graph-Datenbank transformiert komplexe Relationship-Data in
+      Graph-Datenbank transformiert komplexe relationale Daten in intuitive
-      intuitive Visualisierungen durch Cypher-Query-Language für forensische
+      Visualisierungen. Die SQL-ähnliche Cypher-Query-Language ist nach einer
-      Pattern-Detection. Graph-Algorithmen finden kürzeste Pfade zwischen
+      gewissen Lernkurve intuitiv und bietet viele Möglichkeiten.
-      Entities, Community-Detection identifiziert Fraud-Rings und
+      Cypher-Algorithmen finden kürzeste Pfade zwischen Entitäten, viele weitere
-      Criminal-Networks automatisch. Visual-Graph-Explorer macht verborgene
+      Automatisierungen sind möglich. Die Anwendbarkeiten sind wegen der
-      Multi-Hop-Connections sichtbar für Money-Laundering, Social-Engineering
+      abstrakten Struktur von Neo4J daher unbegrenzt und in allen Domänen
-      und Organized-Crime-Investigations. APOC-Bibliothek bietet 450+
+      (hauptsichlich Netzwerkforensik, Finanztransaktionsanalysen,
-      spezialisierte Procedures für Advanced-Analytics: Centrality-Measures,
+      Kriminalermittlungen gegen organisiertes Verbrechen) zur Visualisierung
-      PageRank, Clustering-Coefficients. Bloom-Visualization-Tool für
+      und ggf. auch zur Analyse einsetzbar. Die APOC-Bibliothek bietet darüber
-      nicht-technische Stakeholder mit Point-and-Click-Exploration. Import aus
+      hinaus noch zahlreiche weitere Plugins. Import aus CSV, JSON und
-      CSV, JSON und relationalen Datenbanken, Elasticsearch-Integration für
+      relationalen Datenbanken.
-      Hybrid-Search-Scenarios.
+
+      Leider versteckt Neo4J einige seiner Funktionen mittlerweile hinter einem
+      Premium-Modell und entfernt sich so vom Open-Source-Konzept.
     url: https://neo4j.com/
     skillLevel: intermediate
     domains:
@@ -971,6 +972,7 @@ tools:
       - Linkurious
     icon: 🕸️
     projectUrl: https://graph.cc24.dev
+    statusUrl: https://status.mikoshi.de/api/badge/32/status
     license: GPL-3.0 / Commercial
     accessType: server-based
   - name: QGIS
@@ -2141,23 +2143,25 @@ tools:
     related_concepts:
       - Digital Evidence Chain of Custody
   - name: Aftermath
-    icon: 🎯
     type: software
     description: >-
-      Jamfs Open-Source-Juwel für macOS-Forensik sammelt systematisch Artefakte
+      Jamfs Open-Source-Software für macOS-Forensik sammelt systematisch
-      ohne Full-System-Image. Optimiert für Incident-Response mit minimalem
+      Artefakte, ohne zuvor ein Full-System-Image zu ziehen. Optimiert für
-      System-Impact. Extrahiert kritische Daten: laufende Prozesse, Netzwerk-
+      Incident-Response mit minimalem Systemeingriff. Extrahiert kritische
-      verbindungen, installierte Software, Persistence-Mechanismen. Besonders
+      Daten: laufende Prozesse, Netzwerkverbindungen, installierte Software,
-      wertvoll: Unified-Log-Parser für System-Events, Browser-Artefakte aller
+      Persistenzmechanismen. Besonders wertvoll: Unified-Log-Parser für
-      Major-Browser, Quick-Look-Thumbnails, FSEvents für Dateiaktivitäten. Die
+      System-Events, Browser-Artefakte aller größeren Browser,
-      modulare Architektur erlaubt selektive Sammlung. Output in strukturierten
+      Quick-Look-Thumbnails, FSEvents für Dateiaktivitäten. Die modulare
-      JSON/CSV für einfache Analyse. Zeitstempel-Normalisierung für
+      Architektur erlaubt selektive Sammlung. Output in strukturierten JSON/CSV
-      Timeline-Erstellung. Unterstützt moderne macOS-Security-Features:
+      für einfache Analyse. Zeitstempel-Normalisierung für Timeline-Erstellung.
-      TCC-Permissions, Code-Signing-Status, XProtect-Matches. Die Remote-
+      Unterstützt moderne macOS-Sicherheitsfeatures: TCC-Permissions,
-      Collection via MDM/SSH skaliert auf Unternehmensflotten. Besonders clever:
+      Code-Signing-Status, XProtect-Matches. Die Remote-Collection via MDM/SSH
-      Sammlung von Cloud-Synchronisations-Artefakten (iCloud, Dropbox).
+      skaliert auf Unternehmensflotten. Besonders clever: Sammlung von
-      Regelmäßige Updates für neue macOS-Versionen. Die Alternative zu teuren
+      Cloud-Synchronisations-Artefakten (iCloud, Dropbox). Regelmäßige Updates
-      kommerziellen Mac-Forensik-Suiten.
+      für neue macOS-Versionen. Die Alternative zu teuren kommerziellen
+      Mac-Forensik-Suiten.
+    url: https://github.com/jamf/aftermath/
+    skillLevel: intermediate
     domains:
       - incident-response
       - static-investigations
@@ -2167,14 +2171,6 @@ tools:
       - examination
     platforms:
       - macOS
-    related_software:
-      - osquery
-      - KAPE
-    skillLevel: intermediate
-    accessType: download
-    url: https://github.com/jamf/aftermath/
-    license: Apache-2.0
-    knowledgebase: false
     tags:
       - cli
       - triage
@@ -2190,6 +2186,12 @@ tools:
       - json-export
     related_concepts:
       - Digital Evidence Chain of Custody
+    related_software:
+      - osquery
+      - KAPE
+    icon: 🎯
+    license: Apache-2.0
+    accessType: download
   - name: RegRipper
     type: software
     description: >-
@@ -2280,17 +2282,15 @@ tools:
   - name: PhotoRec
     type: software
     description: >-
-      Signature-Based File-Carving-Tool rekonstruiert gelöschte Files durch
+      Signatur-basiertes File-Carving-Tool rekonstruiert gelöschte Daten durch
       Header/Footer-Pattern-Matching unabhängig vom Dateisystem-Zustand oder
-      Partition-Table-Corruption. Unterstützt über 300 File-Formats: Images
+      Korruption des Dateisystems. Unterstützt über 300 Datei-Formate: Bilder
-      (JPEG, PNG, TIFF), Documents (PDF, DOC, XLS), Archives (ZIP, RAR), Videos
+      (JPEG, PNG, TIFF), Dokumente (PDF, DOC, XLS), Archive (ZIP, RAR), Videos
-      (AVI, MP4) und Custom-Signatures. Read-Only-Operation gewährleistet
+      (AVI, MP4) und selbstdefinierte Dateisignaturen. Read-Only gewährleistet
-      forensische Evidence-Integrity, funktioniert bei beschädigten,
+      forensische Integrität, funktioniert bei beschädigten, formatierten oder
-      formatierten oder korrupten Dateisystemen. Paranoid-Mode scannt jeden
+      korrupten Dateisystemen. Paranoid-Mode scannt jeden einzelnen Sektor für
-      einzelnen Sektor für Maximum-Recovery-Rate bei fragmentierten Files.
+      maximale Anzahl wiederhergestellter Daten. Integrierbar mit Software wie
-      Konfigurierbare File-Extensions und Custom-Signature-Development für
+      TestDisk.
-      proprietäre Formats. Companion-Software TestDisk repariert
-      Partition-Tables und Boot-Sectors für Filesystem-Recovery-Scenarios.
     url: https://www.cgsecurity.org/wiki/PhotoRec
     skillLevel: beginner
     domains:
@@ -2299,6 +2299,7 @@ tools:
       - fraud-investigation
     phases:
       - examination
+      - data-collection
     platforms:
       - Windows
       - Linux
@@ -4329,13 +4330,13 @@ tools:
   - name: ADB
     type: software
     description: >-
-      Kommuniziert mit Android-Geräten für forensische Datenextraktion über USB
+      Die "Android Debug Bridge" ist grundsätzlich ein Werkzeug für
-      oder Netzwerk ohne Root-Zugriff. Erstellt logische Backups von App-Daten,
+      Android-Entwickler, wird aber auch gern in der Mobile-Forensik genutzt.
-      installiert forensische Analysewerkzeuge, erfasst Live-Logcats für
+
-      Incident-Response. Port-Weiterleitung ermöglicht sichere Remote-Analyse.
+      Sie ermöglicht bei Android-Geräten forensische Datenextraktion über USB
-      File-Transfer-Funktionen extrahieren Beweise direkt vom Gerät.
+      oder Netzwerk teilweise ohne Root-Zugriff, besonders einfach bei älteren
-      Shell-Access für erweiterte Forensik-Kommandos. Unverzichtbar für
+      Geräten. Erstellt logische Backups von App-Daten, installiert forensische
-      Mobile-Incident-Response und App-Entwicklungs-Forensik.
+      Analysewerkzeuge.
     url: https://developer.android.com/tools/adb
     skillLevel: intermediate
     domains:
@@ -4523,8 +4524,8 @@ tools:
       Deauth-Frames für Handshake-Erfassung. WEP-Schlüssel-Rekonstruktion in
       Minuten, WPA2-PSK-Recovery mit Dictionary-Angriffen.
       Rogue-Access-Point-Erkennung und Client-Probing-Analyse für
-      Bewegungsprofile. GPU-Beschleunigung via hashcat für moderne
+      Bewegungsprofile. Ein sehr etabliertes Tool, das immer noch seine Relevanz
-      Verschlüsselungsstandards.
+      vor allem auch im Pentesting besitzt.
     url: https://www.aircrack-ng.org/
     skillLevel: advanced
     domains:
@@ -7160,6 +7161,97 @@ tools:
       - kernel-analysis
     related_concepts:
       - Memory Forensics & Process Analysis
+  - name: ChipWhisperer
+    type: software
+    description: >-
+      Hardware-Sicherheitsanalyse-Plattform für Firmware-Extraktion aus
+      eingebetteten Systemen durch Stromverbrauchsanalysen. Automatisierte
+      Differential-Power-Analysis (DPA) und Correlation-Power-Analysis (CPA)
+      brechen AES-Implementierungen und extrahieren Verschlüsselungsschlüssel
+      aus Mikrocontrollern. Fehlereinschleusung umgeht Bootloader-Überprüfung
+      und Secure-Boot-Mechanismen. Besonders wertvoll für IoT-Geräte-Forensik:
+      Umgehung von Hardware-Security-Modulen, Clock-Glitching für
+      Code-Ausführungs-Übernahme, Spannungsfehler für
+      Authentifizierungs-Umgehung. Python-API automatisiert Angriffsszenarien,
+      CW-Lite/Pro-Hardware skaliert von Hobby bis professionelle
+      Penetrationstests. Standardplattform für Hardware-Hacking und eingebettete
+      Systemforensik.
+    url: https://www.newae.com/chipwhisperer
+    skillLevel: expert
+    domains:
+      - ics-forensics
+      - static-investigations
+    phases:
+      - data-collection
+      - analysis
+    platforms:
+      - Windows
+      - Linux
+      - macOS
+    tags:
+      - hardware-analysis
+      - side-channel-attack
+      - power-analysis
+      - fault-injection
+      - embedded-security
+      - firmware-extraction
+      - iot-forensics
+      - hardware-hacking
+      - encryption-bypass
+      - python-api
+    related_concepts:
+      - Hash Functions & Digital Signatures
+    related_software:
+      - Binwalk
+      - Ghidra
+      - ICSpector
+    icon: 🫓
+    license: GPL-3.0
+    accessType: download
+  - name: JTAG-Analyse
+    type: method
+    description: >-
+      Direkter Hardware-Schnittstellenzugriff auf eingebettete Systeme über
+      Joint Test Action Group Debug-Schnittstelle für Firmware-Extraktion und
+      Systemanalyse. Boundary-Scan-Verfahren identifiziert verfügbare JTAG-Pins
+      auch bei undokumentierten Geräten durch systematische Pin-Tests.
+      Flash-Speicher-Abzüge umgehen Software-Schutzmaßnahmen und extrahieren
+      komplette Firmware-Abbilder inklusive verschlüsselter Bereiche. 
+
+      Debug-Port-Ausnutzung ermöglicht Live-Speicherzugriff,
+      Register-Manipulation und Code-Injection in laufende Systeme. Besonders
+      kritisch für IoT-Forensik: Router-Hintertüren, intelligente
+      Geräte-Manipulationen, Industriesteuerungsanlagen-Kompromittierungen.
+      Kombiniert mit Chip-Off-Techniken für maximale Datenwiederherstellung bei
+      sicherheitsgehärteten Geräten. Standard-Methodik für Hardware-Forensik.
+    url: https://www.jtag.com/what-is-jtag-testing-of-electronics-tutorial/#
+    skillLevel: expert
+    domains:
+      - ics-forensics
+      - mobile-forensics
+      - static-investigations
+    phases:
+      - data-collection
+      - examination
+    tags:
+      - hardware-interface
+      - firmware-extraction
+      - debug-access
+      - boundary-scan
+      - embedded-analysis
+      - iot-forensics
+      - flash-memory
+      - system-exploitation
+      - hardware-forensics
+      - pin-identification
+    related_concepts:
+      - Digital Evidence Chain of Custody
+    related_software:
+      - ChipWhisperer
+      - Binwalk
+      - OpenOCD
+    icon: 💳
+    knowledgebase: true
 domains:
   - id: incident-response
     name: Incident Response & Breach-Untersuchung
@@ -7228,3 +7320,4 @@ scenarios:
   - id: scenario:windows-registry
     icon: 📜
     friendly_name: Windows Registry analysieren
+skill_levels: {}