mstoeck3/forensic-pathways
2
0
Fork 0
Code Issues 3 Pull Requests Projects Releases Activity

content

Browse Source
This commit is contained in:
overcuriousity 2025-08-14 22:56:15 +02:00
parent c4c52f6064
commit 12368ed7c8
1 changed files with 162 additions and 69 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

231
src/data/tools.yaml
View File

@ -119,9 +119,8 @@ tools:
Kill-Chain-Phasen. Föderierte Architektur ermöglicht selektives
Intelligence-Sharing zwischen vertrauenswürdigen Partnern durch
Tagging-System. Correlation-Engine findet automatisch Zusammenhänge
zwischen scheinbar unabhängigen Incidents. ZeroMQ-Feed pusht IOCs in
Echtzeit an Firewalls, SIEMs und Detection-Systeme für automatisierte
Response.
zwischen scheinbar unabhängigen Incidents. Integriert mit Firewalls ind
SIEMS, die mit MISP-Anreicherungen gefüttert werden können.
url: https://misp-project.org/
skillLevel: intermediate
domains:
@ -157,6 +156,7 @@ tools:
- OpenCTI
icon: 🌐
projectUrl: https://misp.cc24.dev
statusUrl: https://status.mikoshi.de/api/badge/34/status
license: AGPL-3.0
accessType: server-based
knowledgebase: true
@ -221,18 +221,16 @@ tools:
- name: Timesketch
type: software
description: >-
Google's Collaborative Timeline-Analyse-Platform meistert Millionen von
korrelierten Events durch hochperformante
Elasticsearch-Backend-Architektur für Enterprise-Scale-Investigations.
Plaso-Integration parst automatisch über 300 verschiedene Log-Formate in
einheitliche Super-Timeline mit standardisierten Attributen. Interactive
Timeline-Explorer mit dynamischen Heatmaps, Activity-Graphen und
Statistical-Analysis für Advanced-Pattern-Recognition. Sigma-Rules werden
direkt auf Timelines angewendet für Automated-Threat-Detection,
Machine-Learning-Analyzers erkennen Login-Brute-Force, Lateral-Movement
und Data-Exfiltration-Patterns. Collaborative-Features: Shared-Sketches,
Analyst-Comments, Saved-Searches und narrative Stories für
Management-Reporting.
Google's Timeline-Analyse-Platform meistert Millionen von korrelierten
Events durch skalierende Elasticsearch-Backend-Architektur für
umfangreiche Zeitlinienanalysen. Plaso-Integration parst automatisch über
300 verschiedene Log-Formate in einheitliche Timeline mit standardisierten
Attributen. Statistische Analysen und Plugins zur Datenanreicherung wie
maxming GeoIP und MISP sind verfügbar. Sigma-Rules werden direkt auf
Timelines angewendet für automatisierte Detektion von Anomalien,
Login-Brute-Force, Lateral-Movement und Data-Exfiltration-Patterns.
Kollaborative Funktionen: Gemeinsames Bearbeiten, Analystenkommentare,
"Stories" für Management-Berichterstattung.
url: https://timesketch.org/
skillLevel: intermediate
domains:
@ -269,6 +267,7 @@ tools:
- Kibana
icon: ⏱️
projectUrl: https://timesketch.cc24.dev
statusUrl: https://status.mikoshi.de/api/badge/37/status
license: Apache-2.0
accessType: server-based
- name: Wireshark
@ -922,18 +921,20 @@ tools:
- name: Neo4j
type: software
description: >-
Native Graph-Datenbank transformiert komplexe Relationship-Data in
intuitive Visualisierungen durch Cypher-Query-Language für forensische
Pattern-Detection. Graph-Algorithmen finden kürzeste Pfade zwischen
Entities, Community-Detection identifiziert Fraud-Rings und
Criminal-Networks automatisch. Visual-Graph-Explorer macht verborgene
Multi-Hop-Connections sichtbar für Money-Laundering, Social-Engineering
und Organized-Crime-Investigations. APOC-Bibliothek bietet 450+
spezialisierte Procedures für Advanced-Analytics: Centrality-Measures,
PageRank, Clustering-Coefficients. Bloom-Visualization-Tool für
nicht-technische Stakeholder mit Point-and-Click-Exploration. Import aus
CSV, JSON und relationalen Datenbanken, Elasticsearch-Integration für
Hybrid-Search-Scenarios.
Graph-Datenbank transformiert komplexe relationale Daten in intuitive
Visualisierungen. Die SQL-ähnliche Cypher-Query-Language ist nach einer
gewissen Lernkurve intuitiv und bietet viele Möglichkeiten.
Cypher-Algorithmen finden kürzeste Pfade zwischen Entitäten, viele weitere
Automatisierungen sind möglich. Die Anwendbarkeiten sind wegen der
abstrakten Struktur von Neo4J daher unbegrenzt und in allen Domänen
(hauptsichlich Netzwerkforensik, Finanztransaktionsanalysen,
Kriminalermittlungen gegen organisiertes Verbrechen) zur Visualisierung
und ggf. auch zur Analyse einsetzbar. Die APOC-Bibliothek bietet darüber
hinaus noch zahlreiche weitere Plugins. Import aus CSV, JSON und
relationalen Datenbanken.
Leider versteckt Neo4J einige seiner Funktionen mittlerweile hinter einem
Premium-Modell und entfernt sich so vom Open-Source-Konzept.
url: https://neo4j.com/
skillLevel: intermediate
domains:
@ -971,6 +972,7 @@ tools:
- Linkurious
icon: 🕸️
projectUrl: https://graph.cc24.dev
statusUrl: https://status.mikoshi.de/api/badge/32/status
license: GPL-3.0 / Commercial
accessType: server-based
- name: QGIS
@ -2141,23 +2143,25 @@ tools:
related_concepts:
- Digital Evidence Chain of Custody
- name: Aftermath
icon: 🎯
type: software
description: >-
Jamfs Open-Source-Juwel für macOS-Forensik sammelt systematisch Artefakte
ohne Full-System-Image. Optimiert für Incident-Response mit minimalem
System-Impact. Extrahiert kritische Daten: laufende Prozesse, Netzwerk-
verbindungen, installierte Software, Persistence-Mechanismen. Besonders
wertvoll: Unified-Log-Parser für System-Events, Browser-Artefakte aller
Major-Browser, Quick-Look-Thumbnails, FSEvents für Dateiaktivitäten. Die
modulare Architektur erlaubt selektive Sammlung. Output in strukturierten
JSON/CSV für einfache Analyse. Zeitstempel-Normalisierung für
Timeline-Erstellung. Unterstützt moderne macOS-Security-Features:
TCC-Permissions, Code-Signing-Status, XProtect-Matches. Die Remote-
Collection via MDM/SSH skaliert auf Unternehmensflotten. Besonders clever:
Sammlung von Cloud-Synchronisations-Artefakten (iCloud, Dropbox).
Regelmäßige Updates für neue macOS-Versionen. Die Alternative zu teuren
kommerziellen Mac-Forensik-Suiten.
Jamfs Open-Source-Software für macOS-Forensik sammelt systematisch
Artefakte, ohne zuvor ein Full-System-Image zu ziehen. Optimiert für
Incident-Response mit minimalem Systemeingriff. Extrahiert kritische
Daten: laufende Prozesse, Netzwerkverbindungen, installierte Software,
Persistenzmechanismen. Besonders wertvoll: Unified-Log-Parser für
System-Events, Browser-Artefakte aller größeren Browser,
Quick-Look-Thumbnails, FSEvents für Dateiaktivitäten. Die modulare
Architektur erlaubt selektive Sammlung. Output in strukturierten JSON/CSV
für einfache Analyse. Zeitstempel-Normalisierung für Timeline-Erstellung.
Unterstützt moderne macOS-Sicherheitsfeatures: TCC-Permissions,
Code-Signing-Status, XProtect-Matches. Die Remote-Collection via MDM/SSH
skaliert auf Unternehmensflotten. Besonders clever: Sammlung von
Cloud-Synchronisations-Artefakten (iCloud, Dropbox). Regelmäßige Updates
für neue macOS-Versionen. Die Alternative zu teuren kommerziellen
Mac-Forensik-Suiten.
url: https://github.com/jamf/aftermath/
skillLevel: intermediate
domains:
- incident-response
- static-investigations
@ -2167,14 +2171,6 @@ tools:
- examination
platforms:
- macOS
related_software:
- osquery
- KAPE
skillLevel: intermediate
accessType: download
url: https://github.com/jamf/aftermath/
license: Apache-2.0
knowledgebase: false
tags:
- cli
- triage
@ -2190,6 +2186,12 @@ tools:
- json-export
related_concepts:
- Digital Evidence Chain of Custody
related_software:
- osquery
- KAPE
icon: 🎯
license: Apache-2.0
accessType: download
- name: RegRipper
type: software
description: >-
@ -2280,17 +2282,15 @@ tools:
- name: PhotoRec
type: software
description: >-
Signature-Based File-Carving-Tool rekonstruiert gelöschte Files durch
Signatur-basiertes File-Carving-Tool rekonstruiert gelöschte Daten durch
Header/Footer-Pattern-Matching unabhängig vom Dateisystem-Zustand oder
Partition-Table-Corruption. Unterstützt über 300 File-Formats: Images
(JPEG, PNG, TIFF), Documents (PDF, DOC, XLS), Archives (ZIP, RAR), Videos
(AVI, MP4) und Custom-Signatures. Read-Only-Operation gewährleistet
forensische Evidence-Integrity, funktioniert bei beschädigten,
formatierten oder korrupten Dateisystemen. Paranoid-Mode scannt jeden
einzelnen Sektor für Maximum-Recovery-Rate bei fragmentierten Files.
Konfigurierbare File-Extensions und Custom-Signature-Development für
proprietäre Formats. Companion-Software TestDisk repariert
Partition-Tables und Boot-Sectors für Filesystem-Recovery-Scenarios.
Korruption des Dateisystems. Unterstützt über 300 Datei-Formate: Bilder
(JPEG, PNG, TIFF), Dokumente (PDF, DOC, XLS), Archive (ZIP, RAR), Videos
(AVI, MP4) und selbstdefinierte Dateisignaturen. Read-Only gewährleistet
forensische Integrität, funktioniert bei beschädigten, formatierten oder
korrupten Dateisystemen. Paranoid-Mode scannt jeden einzelnen Sektor für
maximale Anzahl wiederhergestellter Daten. Integrierbar mit Software wie
TestDisk.
url: https://www.cgsecurity.org/wiki/PhotoRec
skillLevel: beginner
domains:
@ -2299,6 +2299,7 @@ tools:
- fraud-investigation
phases:
- examination
- data-collection
platforms:
- Windows
- Linux
@ -4329,13 +4330,13 @@ tools:
- name: ADB
type: software
description: >-
Kommuniziert mit Android-Geräten für forensische Datenextraktion über USB
oder Netzwerk ohne Root-Zugriff. Erstellt logische Backups von App-Daten,
installiert forensische Analysewerkzeuge, erfasst Live-Logcats für
Incident-Response. Port-Weiterleitung ermöglicht sichere Remote-Analyse.
File-Transfer-Funktionen extrahieren Beweise direkt vom Gerät.
Shell-Access für erweiterte Forensik-Kommandos. Unverzichtbar für
Mobile-Incident-Response und App-Entwicklungs-Forensik.
Die "Android Debug Bridge" ist grundsätzlich ein Werkzeug für
Android-Entwickler, wird aber auch gern in der Mobile-Forensik genutzt.
Sie ermöglicht bei Android-Geräten forensische Datenextraktion über USB
oder Netzwerk teilweise ohne Root-Zugriff, besonders einfach bei älteren
Geräten. Erstellt logische Backups von App-Daten, installiert forensische
Analysewerkzeuge.
url: https://developer.android.com/tools/adb
skillLevel: intermediate
domains:
@ -4523,8 +4524,8 @@ tools:
Deauth-Frames für Handshake-Erfassung. WEP-Schlüssel-Rekonstruktion in
Minuten, WPA2-PSK-Recovery mit Dictionary-Angriffen.
Rogue-Access-Point-Erkennung und Client-Probing-Analyse für
Bewegungsprofile. GPU-Beschleunigung via hashcat für moderne
Verschlüsselungsstandards.
Bewegungsprofile. Ein sehr etabliertes Tool, das immer noch seine Relevanz
vor allem auch im Pentesting besitzt.
url: https://www.aircrack-ng.org/
skillLevel: advanced
domains:
@ -7160,6 +7161,97 @@ tools:
- kernel-analysis
related_concepts:
- Memory Forensics & Process Analysis
- name: ChipWhisperer
type: software
description: >-
Hardware-Sicherheitsanalyse-Plattform für Firmware-Extraktion aus
eingebetteten Systemen durch Stromverbrauchsanalysen. Automatisierte
Differential-Power-Analysis (DPA) und Correlation-Power-Analysis (CPA)
brechen AES-Implementierungen und extrahieren Verschlüsselungsschlüssel
aus Mikrocontrollern. Fehlereinschleusung umgeht Bootloader-Überprüfung
und Secure-Boot-Mechanismen. Besonders wertvoll für IoT-Geräte-Forensik:
Umgehung von Hardware-Security-Modulen, Clock-Glitching für
Code-Ausführungs-Übernahme, Spannungsfehler für
Authentifizierungs-Umgehung. Python-API automatisiert Angriffsszenarien,
CW-Lite/Pro-Hardware skaliert von Hobby bis professionelle
Penetrationstests. Standardplattform für Hardware-Hacking und eingebettete
Systemforensik.
url: https://www.newae.com/chipwhisperer
skillLevel: expert
domains:
- ics-forensics
- static-investigations
phases:
- data-collection
- analysis
platforms:
- Windows
- Linux
- macOS
tags:
- hardware-analysis
- side-channel-attack
- power-analysis
- fault-injection
- embedded-security
- firmware-extraction
- iot-forensics
- hardware-hacking
- encryption-bypass
- python-api
related_concepts:
- Hash Functions & Digital Signatures
related_software:
- Binwalk
- Ghidra
- ICSpector
icon: 🫓
license: GPL-3.0
accessType: download
- name: JTAG-Analyse
type: method
description: >-
Direkter Hardware-Schnittstellenzugriff auf eingebettete Systeme über
Joint Test Action Group Debug-Schnittstelle für Firmware-Extraktion und
Systemanalyse. Boundary-Scan-Verfahren identifiziert verfügbare JTAG-Pins
auch bei undokumentierten Geräten durch systematische Pin-Tests.
Flash-Speicher-Abzüge umgehen Software-Schutzmaßnahmen und extrahieren
komplette Firmware-Abbilder inklusive verschlüsselter Bereiche.
Debug-Port-Ausnutzung ermöglicht Live-Speicherzugriff,
Register-Manipulation und Code-Injection in laufende Systeme. Besonders
kritisch für IoT-Forensik: Router-Hintertüren, intelligente
Geräte-Manipulationen, Industriesteuerungsanlagen-Kompromittierungen.
Kombiniert mit Chip-Off-Techniken für maximale Datenwiederherstellung bei
sicherheitsgehärteten Geräten. Standard-Methodik für Hardware-Forensik.
url: https://www.jtag.com/what-is-jtag-testing-of-electronics-tutorial/#
skillLevel: expert
domains:
- ics-forensics
- mobile-forensics
- static-investigations
phases:
- data-collection
- examination
tags:
- hardware-interface
- firmware-extraction
- debug-access
- boundary-scan
- embedded-analysis
- iot-forensics
- flash-memory
- system-exploitation
- hardware-forensics
- pin-identification
related_concepts:
- Digital Evidence Chain of Custody
related_software:
- ChipWhisperer
- Binwalk
- OpenOCD
icon: 💳
knowledgebase: true
domains:
- id: incident-response
name: Incident Response & Breach-Untersuchung
@ -7228,3 +7320,4 @@ scenarios:
- id: scenario:windows-registry
icon: 📜
friendly_name: Windows Registry analysieren
skill_levels: {}