From 562f3a08f15b9f4ee47f21685fd1e8dbe48d282f Mon Sep 17 00:00:00 2001 From: overcuriousity Date: Sat, 9 Aug 2025 17:50:38 +0200 Subject: [PATCH] content quality --- src/data/tools.yaml | 1116 ++++++++++++++++++++++--------------------- 1 file changed, 573 insertions(+), 543 deletions(-) diff --git a/src/data/tools.yaml b/src/data/tools.yaml index 97ecda1..5b8edf9 100644 --- a/src/data/tools.yaml +++ b/src/data/tools.yaml @@ -61,11 +61,14 @@ tools: type: software description: >- Memory-Forensik-Framework mit automatischer OS-Erkennung für Windows, - Linux, macOS RAM-Dumps. - Über 100 Plugins extrahieren Prozesse, DLL-Injections, Netzwerkverbindungen, Registry-Hives und - Rootkit-Artefakte. Native Python-3-Architektur mit YARA-Integration, Timeline-Export und - Cloud-Storage-Support. Neue Plugins für Process-Hollowing, Kernel-Hooks und Persistence-Mechanismen. - Symbolbasierte Analyse beschleunigt Multi-GB-Dump-Verarbeitung erheblich gegenüber Vorgängerversionen. + Linux, macOS RAM-Dumps analysiert über 100 Plugins für Prozess-Extraktion, + DLL-Injections, Netzwerk-Sockets, Registry-Hives und Rootkit-Artefakte. + Native Python-3-Architektur mit YARA-Integration für + Memory-Pattern-Matching und Timeline-Export in strukturierte Formate. Neue + Plugins erkennen Process-Hollowing, Kernel-Hooks und + Persistence-Mechanismen automatisch. Symbol-basierte Analyse beschleunigt + Multi-GB-Dump-Verarbeitung durch optimierte Memory-Parsing-Algorithmen. + Cloud-Storage-Support ermöglicht verteilte Analyse großer Memory-Images. url: https://www.volatilityfoundation.org/ skillLevel: advanced domains: @@ -110,11 +113,15 @@ tools: type: software description: >- Threat-Intelligence-Sharing-Platform für strukturiertes IOC-Management - durch standardisierte - Attribute: IP-Adressen, Domains, Hashes, YARA-Rules, Malware-Samples. Galaxies und Taxonomien - klassifizieren Bedrohungen nach ATT&CK-Framework. Föderierte Architektur ermöglicht selektives - Sharing zwischen Partnern. Correlation-Engine findet Zusammenhänge zwischen scheinbar unabhängigen - Incidents. ZeroMQ-Feed pusht IOCs in Echtzeit an Firewalls und SIEMs. + durch standardisierte Attribute: IP-Adressen, Domains, Datei-Hashes, + YARA-Rules, Malware-Samples mit Metadaten-Anreicherung. Galaxies und + Taxonomien klassifizieren Bedrohungen nach MITRE ATT&CK-Framework und + Kill-Chain-Phasen. Föderierte Architektur ermöglicht selektives + Intelligence-Sharing zwischen vertrauenswürdigen Partnern durch + Tagging-System. Correlation-Engine findet automatisch Zusammenhänge + zwischen scheinbar unabhängigen Incidents. ZeroMQ-Feed pusht IOCs in + Echtzeit an Firewalls, SIEMs und Detection-Systeme für automatisierte + Response. url: https://misp-project.org/ skillLevel: intermediate domains: @@ -212,23 +219,22 @@ tools: related_concepts: - Digital Evidence Chain of Custody - name: Timesketch - icon: ⏱️ type: software description: >- - Googles Timeline-Analyse-Platform meistert die Herausforderung, Millionen - von Zeitstempeln aus heterogenen Quellen zu korrelieren. Die - Elasticsearch-Backend-Architektur ermöglicht Suchen über Mengen - forensischer Daten in verhältnismäßig kurzer Zeit. - Plaso/Log2timeline-Integration parst automatisch über 300 Log-Formate in - eine einheitliche Super-Timeline. Collaborative Investigation durch - geteilte Sketches, Kommentare und Saved Searches. Die Timeline-Explorer - visualisiert Ereignisse interaktiv mit Heatmaps und Aktivitätsgraphen. - Analyzers erkennen Anomalien wie Login-Brute-Force oder - Data-Exfiltration-Muster. Sigma-Rules werden direkt auf Timelines - angewendet. Stories dokumentieren Findings narrativ für - Management-Reports. Die Python-API ermöglicht automatisierte Analysen. - Unverzichtbar für Incidents mit komplexen zeitlichen Abläufen über - multiple Systeme. + Google's Collaborative Timeline-Analyse-Platform meistert Millionen von + korrelierten Events durch hochperformante + Elasticsearch-Backend-Architektur für Enterprise-Scale-Investigations. + Plaso-Integration parst automatisch über 300 verschiedene Log-Formate in + einheitliche Super-Timeline mit standardisierten Attributen. Interactive + Timeline-Explorer mit dynamischen Heatmaps, Activity-Graphen und + Statistical-Analysis für Advanced-Pattern-Recognition. Sigma-Rules werden + direkt auf Timelines angewendet für Automated-Threat-Detection, + Machine-Learning-Analyzers erkennen Login-Brute-Force, Lateral-Movement + und Data-Exfiltration-Patterns. Collaborative-Features: Shared-Sketches, + Analyst-Comments, Saved-Searches und narrative Stories für + Management-Reporting. + url: https://timesketch.org/ + skillLevel: intermediate domains: - incident-response - static-investigations @@ -240,17 +246,6 @@ tools: - reporting platforms: - Web - related_software: - - Plaso (log2timeline) - - Elasticsearch - - Kibana - skillLevel: intermediate - accessType: server-based - url: https://timesketch.org/ - projectUrl: https://timesketch.cc24.dev - license: Apache-2.0 - knowledgebase: false - statusUrl: https://uptime.example.lab/api/badge/3/status tags: - web-interface - timeline @@ -268,6 +263,14 @@ tools: - collaborative-analysis related_concepts: - Regular Expressions (Regex) + related_software: + - Plaso (log2timeline) + - Elasticsearch + - Kibana + icon: ⏱️ + projectUrl: https://timesketch.cc24.dev + license: Apache-2.0 + accessType: server-based - name: Wireshark type: software description: >- @@ -320,25 +323,21 @@ tools: license: GPL-2.0 accessType: download - name: Magnet AXIOM - icon: 🧲 type: software description: >- - Die umfassende Digital-Investigation-Plattform kombiniert Akquisition, - Analyse und Reporting in einer integrierten Suite für - End-to-End-Forensik. AXIOM Process sammelt Artefakte von über 300 - Datenquellen: Computers, Mobile Devices, Cloud Services, IoT-Geräte. Die - KI-gestützte Artifact- Categorization klassifiziert automatisch - verdächtige Inhalte und reduziert manuelle Review-Zeit drastisch. - Besonders wertvoll: Internet Evidence Finder (IEF) Engine extrahiert - Web-Artefakte aus allen Major-Browsern, Magnet.AI beschleunigt - CSAM-Detection, Connections-View visualisiert Kommunikations-Patterns - zwischen Personen. Cloud-Forensics-Module greifen auf Google, Microsoft, - Apple-Accounts zu. Die Parallel-Processing-Engine analysiert Terabytes in - Stunden statt Tagen. Advanced-Carving rekonstruiert gelöschte - Multimedia-Dateien. Timeline-Engine korreliert Events über alle - Evidenzen. Report-Templates generieren gerichtsfeste Dokumentation. - Integration mit AXIOM Cyber für Endpoint-Response. Eine etablierte - Software für High-Volume-Ermittlungen mit Budget für Enterprise-Lizenzen. + Umfassende Digital-Investigation-Plattform kombiniert Akquisition, Analyse + und Reporting in integrierter Suite für End-to-End-Forensik komplexer + Fälle. AXIOM Process sammelt Artefakte von über 300 Datenquellen: + Desktop-Computer, Mobile Devices, Cloud Services, IoT-Geräte mit + automatischer Parser-Erkennung. KI-gestützte Artifact-Categorization + klassifiziert verdächtige Inhalte automatisch und reduziert manuelle + Review-Zeit drastisch. Internet Evidence Finder (IEF) Engine extrahiert + Web-Artefakte aus allen Major-Browsern, Magnet.AI beschleunigt + CSAM-Detection durch Machine Learning. Connections-View visualisiert + Kommunikations-Patterns zwischen Personen, Parallel-Processing-Engine + analysiert Terabytes in Stunden. + url: https://www.magnetforensics.com/products/magnet-axiom/ + skillLevel: beginner domains: - incident-response - static-investigations @@ -352,14 +351,6 @@ tools: - reporting platforms: - Windows - related_software: - - GrayKey - - Cellebrite UFED - skillLevel: beginner - accessType: commercial - url: https://www.magnetforensics.com/products/magnet-axiom/ - license: Proprietary - knowledgebase: false tags: - gui - commercial @@ -376,18 +367,27 @@ tools: related_concepts: - Digital Evidence Chain of Custody - Hash Functions & Digital Signatures + related_software: + - GrayKey + - Cellebrite UFED + icon: 🧲 + license: Proprietary + accessType: commercial - name: Cellebrite UFED - icon: 📱 type: software description: >- Entsperrt aktuelle iPhones und Android-Flaggschiffe durch - Zero-Day-Exploits und proprietäre Bypass-Methoden für Physical - Extraction. Logical Plus erweitert Standard-Backups um gelöschte Daten, - Advanced Services greifen auf Exploit-Labor für resistente Geräte zurück. - Physical Analyzer visualisiert Daten mit Timeline-Ansicht, - Geo-Location-Maps und Social-Network-Graphen. Project-VIC Integration - erkennt CSAM, Cloud- Analyzer-Lizenz ermöglicht Zugriff auf 50+ - Cloud-Services. + Zero-Day-Exploits und proprietäre Bypass-Methoden für Physical-Extraction + sensibler Daten. Logical Plus erweitert Standard-iTunes-Backups um + gelöschte SQLite-Records und App-Sandbox-Inhalte. Advanced Services + greifen auf kontinuierlich aktualisiertes Exploit-Labor für neueste und + resistente Geräte-Modelle zurück. Physical Analyzer visualisiert + extrahierte Daten mit interaktiver Timeline-Ansicht, Geo-Location-Maps und + Social-Network-Relationship-Graphen. Project-VIC Integration erkennt CSAM + automatisch durch Hash-Matching, Cloud-Analyzer-Lizenz ermöglicht direkten + Zugriff auf 50+ Cloud-Services ohne Device-Dependency. + url: https://cellebrite.com/en/ufed/ + skillLevel: beginner domains: - static-investigations - mobile-forensics @@ -398,15 +398,6 @@ tools: - analysis platforms: - Windows - related_software: - - Magnet AXIOM - - Oxygen Forensic Suite - - MSAB XRY - skillLevel: beginner - accessType: commercial - url: https://cellebrite.com/en/ufed/ - license: Proprietary - knowledgebase: false tags: - gui - commercial @@ -423,6 +414,13 @@ tools: related_concepts: - SQL - Digital Evidence Chain of Custody + related_software: + - Magnet AXIOM + - Oxygen Forensic Suite + - MSAB XRY + icon: 📱 + license: Proprietary + accessType: commercial - name: Cuckoo Sandbox 3 icon: 🥚 type: software @@ -478,12 +476,16 @@ tools: - name: Ghidra type: software description: >- - Disassembler und Decompiler analysiert Malware-Binaries durch - Multi-Architektur-Support - (x86/ARM/MIPS) mit C-Code-Rekonstruktion. Collaborative-Server ermöglicht Team-Malware-Analysis, - Script-Manager automatisiert IOC-Extraktion aus Samples. Function-Graph visualisiert - Control-Flow für Backdoor-Detection, Pattern-Matching identifiziert Code-Reuse zwischen - Malware-Familien. Version-Tracking korreliert Binary-Änderungen über Kampagnen-Zeiträume. + Reverse-Engineering-Framework mit fortschrittlichem Decompiler für + Assembly-zu-C-Code-Transformation und Cross-Architecture-Binary-Analyse + von Malware und Firmware. Unterstützt 30+ Prozessor-Architekturen von + x86/x64 über ARM, MIPS bis zu exotischen Embedded-CPUs und DSPs. + Ghidra-Server ermöglicht kollaborative Team-Analyse mit Versionskontrolle + und Shared-Projects. PCode als Intermediate Language vereinheitlicht + Multi-Architecture-Analysen durch abstrakte Darstellung. Function-Graph + visualisiert Control-Flow interaktiv, Script-Manager automatisiert mit + Python/Java komplexe Reverse-Engineering-Tasks. Pattern-Matching + identifiziert bekannte Funktionen automatisch. url: https://ghidra-sre.org/ skillLevel: expert domains: @@ -520,23 +522,21 @@ tools: license: Apache-2.0 accessType: download - name: Plaso (log2timeline) - icon: ⏰ type: software description: >- - Der industrielle Timeline-Generator extrahiert Zeitstempel aus hunderten - Artefakt-Typen für lückenlose Aktivitäts-Rekonstruktion. Parsers für - Windows Event Logs, Registry, Prefetch, Browser-History, Mobile Apps, - Cloud-Services und Linux-Logs. Die Storage-Architektur verarbeitet - Massendaten effizient. Output in standardisierten Formaten für - Elasticsearch, Timesketch oder CSV. Besonders wertvoll: Normalisierung - verschiedener Zeitstempel-Formate und Zeitzonen in UTC. Filterung nach - Zeitraum, Artefakt-Typ oder Keywords. Die modulare Parser-Architektur - erlaubt einfache Erweiterung für neue Formate. Psort sortiert und - dedupliziert Events. Analysis-Plugins erkennen Anomalien wie Timestomping. - Docker-Support vereinfacht Deployment. Die Performance bei sehr großen - Datensätzen kann leiden, aber die Vollständigkeit der Timeline ist - unübertroffen. Integration mit Timesketch für kollaborative Analyse macht - es zum Forensik-Kraftpaket. + Industrieller Timeline-Generator extrahiert Zeitstempel aus hunderten + heterogener Artefakt-Typen für lückenlose Digital-Activity-Rekonstruktion + komplexer Incidents. Spezialisierte Parser für Windows Event Logs, + Registry-Hives, Prefetch-Files, Browser-History, Mobile-App-Databases, + Cloud-Service-Logs und Linux-System-Logs. Storage-Architektur verarbeitet + Massendaten effizient durch SQLite-Backend und Memory-Optimization. + Zeitstempel-Normalisierung konvertiert verschiedene Formate und Zeitzonen + automatisch in UTC für einheitliche Timeline. Analysis-Plugins erkennen + Anti-Forensik-Techniken wie Timestomping und Clock-Manipulation. Modulare + Parser-Architektur ermöglicht einfache Erweiterung für proprietäre oder + neue Log-Formate. + url: https://plaso.readthedocs.io/ + skillLevel: intermediate domains: - incident-response - static-investigations @@ -550,15 +550,6 @@ tools: - Windows - Linux - macOS - related_software: - - Timesketch - - Autopsy - - Plaso (log2timeline) - skillLevel: intermediate - accessType: download - url: https://plaso.readthedocs.io/ - license: Apache-2.0 - knowledgebase: false tags: - cli - timeline @@ -576,6 +567,13 @@ tools: - forensic-timeline related_concepts: - Regular Expressions (Regex) + related_software: + - Timesketch + - Autopsy + - Plaso (log2timeline) + icon: ⏰ + license: Apache-2.0 + accessType: download - name: CyberChef type: software description: >- @@ -922,22 +920,22 @@ tools: - multi-blockchain - api-integration - name: Neo4j - icon: 🕸️ type: software description: >- - Die Graph-Datenbank transformiert komplexe Beziehungsgeflechte in - verständliche Visualisierungen. Cypher-Query-Language ermöglicht intuitive - Abfragen: "MATCH (person)-[:TRANSFERRED_TO]->(account) RETURN *". Perfekt - für Fraud-Rings, Social-Networks, Geldwäsche-Netzwerke und - Kommunikations-Analysen. Graph-Algorithmen finden kürzeste Pfade, - Communities und Influencer. Der Visual-Graph-Explorer macht verborgene - Verbindungen sichtbar. Import aus CSV, JSON und relationalen Datenbanken. - Die APOC-Bibliothek bietet 450+ Prozeduren für erweiterte Analysen. Bloom - visualisiert für nicht-technische Stakeholder. Integration mit - Elasticsearch für Volltext-Suche. Multi-Datenbank für Case-Isolation. Die - Community-Edition (kostenlos) limitiert auf 1 User und 4 CPU-Cores. - Skaliert auf große Mengen von Nodes und Relationships. Unverzichtbar für - moderne Financial-Crime-Investigations. + Native Graph-Datenbank transformiert komplexe Relationship-Data in + intuitive Visualisierungen durch Cypher-Query-Language für forensische + Pattern-Detection. Graph-Algorithmen finden kürzeste Pfade zwischen + Entities, Community-Detection identifiziert Fraud-Rings und + Criminal-Networks automatisch. Visual-Graph-Explorer macht verborgene + Multi-Hop-Connections sichtbar für Money-Laundering, Social-Engineering + und Organized-Crime-Investigations. APOC-Bibliothek bietet 450+ + spezialisierte Procedures für Advanced-Analytics: Centrality-Measures, + PageRank, Clustering-Coefficients. Bloom-Visualization-Tool für + nicht-technische Stakeholder mit Point-and-Click-Exploration. Import aus + CSV, JSON und relationalen Datenbanken, Elasticsearch-Integration für + Hybrid-Search-Scenarios. + url: https://neo4j.com/ + skillLevel: intermediate domains: - static-investigations - malware-analysis @@ -952,17 +950,6 @@ tools: - Linux - macOS - Web - related_software: - - Maltego - - Gephi - - Linkurious - skillLevel: intermediate - accessType: server-based - url: https://neo4j.com/ - projectUrl: https://graph.cc24.dev - license: GPL-3.0 / Commercial - knowledgebase: false - statusUrl: https://status.mikoshi.de/api/badge/32/status tags: - web-interface - graph-view @@ -978,6 +965,14 @@ tools: - import-tools related_concepts: - SQL + related_software: + - Maltego + - Gephi + - Linkurious + icon: 🕸️ + projectUrl: https://graph.cc24.dev + license: GPL-3.0 / Commercial + accessType: server-based - name: QGIS icon: 🗺️ type: software @@ -1125,13 +1120,17 @@ tools: - Digital Evidence Chain of Custody - name: Kali Linux type: software - description: |- - description: >- - Live-Boot-Forensik-Distribution verhindert Host-Kontamination durch Read-Only-Modus und - automatische Write-Blocker-Aktivierung. Forensics-Mode deaktiviert Netzwerk-Services und - Swap-Dateien für saubere Evidence-Akquisition. Metapackages installieren Tool-Kategorien - gezielt: Imaging (dc3dd), Memory-Analysis (Volatility), Network-Capture (Wireshark). - ARM-Images unterstützen Raspberry-Pi-basierte Field-Kits für Remote-Locations. + description: >- + Debian-basierte Live-Boot-Distribution vereint über 600 Security- und + Forensik-Tools für kontaminationsfreie Untersuchungen ohne + Host-System-Veränderung. Forensics-Mode deaktiviert automatisches Mounting + und Netzwerk-Services für forensisch saubere Evidence-Akquisition. + Tool-Kategorien decken alle DFIR-Phasen ab: Disk-Imaging (dc3dd, + ddrescue), File-Carving (Foremost, Scalpel), Memory-Analyse (Volatility), + Netzwerk-Forensik (Wireshark, tcpdump). Metapackages installieren + spezialisierte Tool-Gruppen, ARM-Images unterstützen Raspberry Pi für + Mobile- und IoT-Forensik. Persistence-Mode speichert Konfigurationen auf + USB-Medien. url: https://kali.org/ skillLevel: intermediate domains: @@ -1166,21 +1165,21 @@ tools: accessType: download knowledgebase: true - name: FTK Imager - icon: 💾 type: software description: >- - Der Klassiker für Windows-basierte Disk-Akquisition erstellt gerichtsfeste - Images mit bewährter Zuverlässigkeit. Unterstützt RAW, SMART, E01 und AFF - Formate mit Kompression und Verschlüsselung. Die GUI führt durch den - Imaging-Prozess mit Hash-Verifizierung (MD5/SHA1). Preview-Mode ermöglicht - Triage ohne Full-Image. Memory-Capture für Live-RAM-Akquisition. Mount als - Read-Only für sichere Analyse. Die kostenlose Version deckt - Standard-Aufgaben ab, limitiert aber bei erweiterten Features. Besonders - geschätzt: Zuverlässigkeit bei defekten Sektoren, detaillierte Logs und - breite Gerichtsakzeptanz. Protected-Folder-Viewing für Systemdateien. - CLI-Version für Automatisierung. Die proprietäre Natur und Windows-Only - sind Nachteile, aber in vielen Labors der De-facto-Standard. Perfekt für - Einsteiger und Routine-Akquisitionen. + Windows-basierter Disk-Imager mit bewährter Zuverlässigkeit und breiter + Gerichtsakzeptanz für Standard-Forensik-Laboratorien erstellt Images in + RAW, SMART, E01 und AFF-Formaten. GUI führt systematisch durch + Imaging-Prozess mit automatischer Hash-Verifizierung (MD5/SHA1) und + Progress-Monitoring. Preview-Mode ermöglicht schnelle Evidence-Triage ohne + Full-Image-Creation für Time-Critical-Investigations. + Memory-Capture-Functionality für Live-RAM-Akquisition von laufenden + Windows-Systemen. Protected-Folder-Viewing umgeht + Windows-Sicherheitsbeschränkungen für Systemdateien-Access. Besonders + geschätzt: robustes Bad-Sector-Handling, detaillierte Forensik-Logs und + etablierte Chain-of-Custody-Procedures. + url: https://www.exterro.com/digital-forensics-software/ftk-imager + skillLevel: beginner domains: - static-investigations - incident-response @@ -1188,14 +1187,6 @@ tools: - data-collection platforms: - Windows - related_software: - - EnCase - - X-Ways Forensics - skillLevel: beginner - accessType: download - url: https://www.exterro.com/digital-forensics-software/ftk-imager - license: Proprietary - knowledgebase: false tags: - gui - physical-copy @@ -1215,6 +1206,12 @@ tools: related_concepts: - Hash Functions & Digital Signatures - Digital Evidence Chain of Custody + related_software: + - EnCase + - X-Ways Forensics + icon: 💾 + license: Proprietary + accessType: download - name: YARA type: software description: >- @@ -1269,12 +1266,16 @@ tools: - name: X-Ways Forensics type: software description: >- - Multi-Threading-Forensik-Engine analysiert Terabyte-Images durch - optimierte Block-Level-Scanning - und parallele Hash-Berechnungen. Gallery-View mit Skin-Tone-Detection beschleunigt - CSAM-Ermittlungen, X-Tensions automatisieren repetitive Malware-Signature-Extraktion. - Physical-Search durchsucht Slack-Space und unallokierte Sektoren, Registry-Report-Generator - rekonstruiert Persistence-Mechanismen aus beschädigten Hives. + Forensik-Suite mit hochoptimierten Algorithmen für + Multi-Terabyte-Image-Analyse und simultane Evidence-Verarbeitung mehrerer + Datenträger parallel. Gallery-View mit Skin-Tone-Detection für + CSAM-Ermittlungen, X-Tensions-Plugin-System automatisiert wiederkehrende + Analysen und Custom-Workflows. Physical-Search durchsucht über + Sektorgrenzen hinweg, Registry-Report-Generator extrahiert + Windows-Artefakte strukturiert. Timeline-Engine mit + Millisekunden-Präzision korreliert Events über alle Evidenzen. Hex-Editor + zeigt Rohdaten parallel zur interpretierten Ansicht, Template-Support + dekodiert proprietäre Dateiformate automatisch. url: https://www.x-ways.net/forensics/ skillLevel: expert domains: @@ -1309,21 +1310,21 @@ tools: license: Proprietary accessType: commercial - name: Eric Zimmerman Tools - icon: 🧰 type: software description: >- - Die Tool-Suite des Windows-Forensik-Gurus Eric Zimmerman dekodiert - Windows-Artefakte mit unübertroffener Präzision. Jedes Tool ein - Spezialist: ShellBags Explorer zeigt Ordner-Zugriffe, PECmd parst Prefetch - für Programm-Ausführungen, AmcacheParser findet Programm- installationen, - JumpListExplorer enthüllt Recent Documents. Registry Explorer mit - Bookmarks und Plugins. MFTECmd extrahiert NTFS-Metadaten. Timeline - Explorer visualisiert CSV-Output aller Tools gemeinsam. KAPE orchestriert - die Tool-Collection. Besonders wertvoll: ständige Updates für neue - Windows-Versionen und Cloud-Artefakte wie OneDrive. Die - Kommandozeilen-Tools ermöglichen Batch-Processing. Kostenlos aber Spenden - erwünscht. Die aktive Community im Discord teilt Erfahrungen. - Dokumentation durch Cheat-Sheets und Blog-Posts. + Windows-Artefakt-Spezialist-Suite von Eric Zimmerman dekodiert moderne + Windows-10/11-Strukturen mit unübertroffener Präzision und Detail-Ebene. + ShellBags Explorer rekonstruiert Folder-Access-History, PECmd parst + Prefetch-Files für Application-Execution-Evidence, AmcacheParser + identifiziert Software-Installation-Timestamps. Registry Explorer mit + Advanced-Bookmarks und Live-System-Analysis-Capabilities für + Running-System-Forensics. Timeline Explorer korreliert CSV-Output aller + Tools in unified Super-Timeline mit Multi-Source-Event-Correlation. + KAPE-Integration orchestriert Tool-Collection automatisch, ständige + Updates für Windows-11-Features, Cloud-Artefakte (OneDrive, Teams) und + Enterprise-Environments. + url: https://ericzimmerman.github.io/ + skillLevel: intermediate domains: - incident-response - static-investigations @@ -1333,13 +1334,6 @@ tools: - analysis platforms: - Windows - related_software: - - KAPE - skillLevel: intermediate - accessType: download - url: https://ericzimmerman.github.io/ - license: MIT - knowledgebase: false tags: - gui - artifact-parser @@ -1359,6 +1353,11 @@ tools: - windows-forensics related_concepts: - Digital Evidence Chain of Custody + related_software: + - KAPE + icon: 🧰 + license: MIT + accessType: download - name: Regular Expressions (Regex) type: concept description: >- @@ -1522,21 +1521,18 @@ tools: - name: MSAB XRY type: software description: >- - Die schwedische Mobile-Forensik-Suite bietet Physical und Logical - Extraction für iOS und Android mit regelmäßigen Exploit-Updates. - Besonders stark bei chinesischen Smartphones (Huawei, Xiaomi) und - speziellen Hardware-Typen. Der Drone-Module extrahiert Flugdaten von DJI - und Parrot. XRY Camera identifiziert Geräte aus Bildern. Die - Analyze-Software visualisiert Kommunikationsmuster und Bewegungs- profile. - XAMN-Elements für Link-Analyse zwischen mehreren Geräten. - Cloud-Extraction für 30+ Services. Die PIN-Code-Breaker-Hardware knackt - 4-6 stellige Codes. Training und Zertifizierung inklusive. Preislich mit - Cellebrite vergleichbar (15.000€+) aber mit transparenterer - Verkaufspolitik. Updates alle 6-8 Wochen für neue Apps. EU-basierte - Alternative zu US-amerikanischen Lösungen. - skillLevel: beginner + Mobile-Forensik-Suite mit Spezialisierung auf chinesische Smartphones und + Hardware-Vielfalt durch regelmäßige Exploit-Updates alle 6-8 Wochen. + Drone-Module extrahiert spezifische Flugdaten von DJI und Parrot-Geräten + für Luftfahrt-Ermittlungen, XRY Camera identifiziert Device-Models aus + Bildern automatisch. PIN-Code-Breaker-Hardware knackt 4-6 stellige + Zugangscodes durch Brute-Force-Methoden physisch. XAMN-Elements analysiert + Kommunikations-Verbindungen zwischen mehreren Geräten für komplexe + Netzwerk-Forensik. Cloud-Extraction für 30+ Services, EU-basierte + Alternative mit transparenterer Verkaufspolitik und GDPR-Compliance im + Vergleich zu US-amerikanischen Konkurrenten. url: https://www.msab.com/product/xry-extract/ - icon: 📱 + skillLevel: beginner domains: - mobile-forensics - static-investigations @@ -1547,9 +1543,6 @@ tools: - analysis platforms: - Windows - accessType: download - license: Proprietary - knowledgebase: false tags: - gui - commercial @@ -1570,6 +1563,9 @@ tools: - Cellebrite UFED - Oxygen Forensic Suite - Magnet AXIOM + icon: 📱 + license: Proprietary + accessType: download - name: OSFMount icon: 💿 type: software @@ -1865,22 +1861,20 @@ tools: - bluetooth-connections - gps-tracking - name: dd - icon: 💾 type: software description: >- - Das Unix-Urgestein 'data duplicator' ist seit 1974 der minimalistische - Standard für bit-genaue Datenträger-Kopien. Keine GUI, keine Extras - nur - pure Zuverlässigkeit. Die wichtigsten forensischen Parameter: - conv=noerror,sync für defekte Sektoren, bs=4M für optimale Performance, - status=progress für Fortschrittsanzeige. Pipe zu Hash-Tools für simultane - Verifizierung: dd if=/dev/sda | tee image.raw | md5sum. Die Einfachheit - ist die Stärke: funktioniert auf jedem Unix-System ohne Installation. - Vorsicht vor klassischen Fehlern: if/of-Verwechslung zerstört Beweise! - dcfldd und dc3dd sind forensische Weiterentwicklungen mit eingebauter - Hash-Verifizierung. Split-Feature für FAT32-Limits: dd if=/dev/sda | split - -b 4G. Network-Imaging via netcat möglich. Der Respekt vor dd trennt - Profis von Amateuren - ein falscher Parameter vernichtet unwiederbringlich - Daten. Immer noch die Basis vieler kommerzieller Imaging-Tools. + Unix-Standard für bit-genaue Datenträger-Kopien seit 1974 mit absolut + minimalistischem System-Footprint für kontaminationsfreie Akquisition. + Wichtigste forensische Parameter: conv=noerror,sync für graceful + Bad-Sector-Handling, bs=4M für optimale I/O-Performance, status=progress + für Fortschrittsanzeige. Pipe-Capability zu Hash-Tools ermöglicht + simultane Verifizierung ohne Intermediate-Storage. Funktioniert auf jedem + Unix-System ohne Installation oder Dependencies. Zero-Kontamination durch + Pure-Read-Access ohne Metadata-Modifikation. Network-Imaging via netcat + für Remote-Acquisition über SSH-Tunnels. Split-Output für FAT32-Limits, + Signal-Handling für graceful Interruption und Resume-Capability. + url: https://www.gnu.org/software/coreutils/dd + skillLevel: intermediate domains: - incident-response - static-investigations @@ -1889,15 +1883,6 @@ tools: platforms: - Linux - macOS - related_software: - - dcfldd - - dc3dd - - ewfacquire - skillLevel: intermediate - accessType: Linux (GNU-Utils) - url: https://www.gnu.org/software/coreutils/dd - license: GPL-3.0 - knowledgebase: false tags: - cli - physical-copy @@ -1915,24 +1900,27 @@ tools: - bit-copy related_concepts: - Digital Evidence Chain of Custody + related_software: + - dcfldd + - dc3dd + - ewfacquire + icon: 💾 + license: GPL-3.0 - name: dcfldd - icon: 🔐 type: software description: >- - Defense Computer Forensics Lab DD erweitert das klassische dd um - essenzielle forensische Features. Simultane Hash-Berechnung (MD5, SHA1, - SHA256) während des Imaging spart Zeit und garantiert Integrität. - Status-Output zeigt Geschwindigkeit, verbleibende Zeit und übertragene - Daten. Split-on-the-fly für Multi-Volume-Archives ohne - Zwischenspeicherung. Pattern-Wiping für sicheres Löschen nach - DoD-Standards. Log-Output dokumentiert jeden Schritt für Chain-of-Custody. - Die Verify-Funktion prüft geschriebene Daten sofort. Besonders wertvoll: - Hashing einzelner Blöcke für granulare Integritätsprüfung, Fortsetzen - unterbrochener Images, mehrere Output-Ziele gleichzeitig. Die forensischen - Erweiterungen machen es zur ersten Wahl für professionelle Labore. Syntax - bleibt dd-kompatibel für einfachen Umstieg. Performance mit großen - Blockgrößen optimiert. Die aktive Entwicklung hält mit modernen - Anforderungen Schritt. Standard in vielen Forensik-Distributionen. + Defense Computer Forensics Lab DD erweitert klassisches dd um essenzielle + forensische Features für professionelle Imaging-Workflows. Simultane + Multi-Hash-Berechnung (MD5, SHA1, SHA256) während des Imaging-Prozesses + ohne Performance-Einbußen oder zusätzliche Passes. Split-on-the-fly für + Multi-Volume-Archives ohne Zwischenspeicherung, Pattern-Wiping für DoD + 5220.22-M-konforme sichere Löschung. Status-Output zeigt + Transfer-Geschwindigkeit, verbleibende Zeit und ETA-Berechnung. + Block-Level-Hashing ermöglicht granulare Integritätsprüfung einzelner + Disk-Sektoren für Partial-Corruption-Detection. Verify-Funktion prüft + geschriebene Daten sofort durch Read-Back-Verification. + url: https://github.com/resurrecting-open-source-projects/dcfldd + skillLevel: intermediate domains: - incident-response - static-investigations @@ -1940,15 +1928,6 @@ tools: - data-collection platforms: - Linux - related_software: - - dd - - dc3dd - - FTK Imager - skillLevel: intermediate - accessType: download - url: https://github.com/resurrecting-open-source-projects/dcfldd - license: GPL-2.0 - knowledgebase: false tags: - cli - physical-copy @@ -1965,21 +1944,29 @@ tools: related_concepts: - Hash Functions & Digital Signatures - Digital Evidence Chain of Custody + related_software: + - dd + - dc3dd + - FTK Imager + icon: 🔐 + license: GPL-2.0 + accessType: download - name: ewfacquire - icon: 💾 type: software description: >- - Command-line Tool aus der libewf-Bibliothek zum Erstellen forensischer - Images im Expert Witness Format (E01/Ex01). Erstellt segmentierte Archive - mit MD5/SHA1-Hash-Verifizierung und optionaler Kompression. Besonders - wertvoll für Linux-basierte Imaging-Workflows ohne GUI-Overhead. - Unterstützt Case-Metadaten, Examiner-Notizen und Error-Granularity für - defekte Sektoren. Die Segment-Größe ist konfigurierbar für verschiedene - Storage-Medien. Integration in Autopsy und andere Tools über libewf. - Alternative zu proprietären Windows-Imaging-Tools für - Open-Source-Forensik-Umgebungen. Besonders geschätzt: Zuverlässigkeit, - Cross-Platform-Kompatibilität und Standards-Compliance für gerichtsfeste - Images. + Command-line Imaging-Tool aus der libewf-Bibliothek erstellt forensische + Images im industry-standard Expert Witness Format (E01/Ex01) mit + vollständiger Metadata-Preservation. Generiert segmentierte Archive mit + simultaner MD5/SHA1-Hash-Verifizierung und optionaler + zlib/bzip2-Kompression für Storage-Optimization. Besonders wertvoll für + Linux-basierte Imaging-Workflows ohne GUI-Overhead und Memory-intensive + Operations. Unterstützt umfassende Case-Metadaten: Examiner-Informationen, + Case-Notizen, Evidence-Description und Chain-of-Custody-Documentation. + Error-Granularity für defekte Sektoren mit detailliertem + Bad-Block-Logging. Cross-Platform-Alternative zu proprietären + Windows-Tools für Open-Source-Forensik-Laboratorien. + url: https://github.com/libyal/libewf + skillLevel: intermediate domains: - incident-response - static-investigations @@ -1988,15 +1975,6 @@ tools: platforms: - Linux - macOS - related_software: - - FTK Imager - - EnCase - - dd - skillLevel: intermediate - accessType: download - url: https://github.com/libyal/libewf - license: LGPL-3.0 - knowledgebase: false tags: - cli - physical-copy @@ -2013,24 +1991,29 @@ tools: related_concepts: - Hash Functions & Digital Signatures - Digital Evidence Chain of Custody + related_software: + - FTK Imager + - EnCase + - dd + icon: 💾 + license: LGPL-3.0 + accessType: download - name: Guymager - icon: 💿 type: software description: >- - Das schlanke Linux-Imaging-Tool maximiert Performance durch intelligentes - Multi-Threading und optimierte I/O-Operationen. Die Qt-basierte GUI macht - forensisches Imaging auch für Linux-Neulinge zugänglich. Gleichzeitiges - Schreiben mehrerer Formate (RAW + EWF) ohne Performance-Verlust. Die - eingebaute FIFO-Architektur ermöglicht Pipe-Operationen für - Netzwerk-Imaging. Besonders geschätzt: Automatische Badblock-Erkennung mit - detailliertem Logging, simultane Hash-Berechnung (MD5, SHA1, SHA256), - Fortschrittsbalken mit Zeitschätzung. Die Clone-Funktion dupliziert - Datenträger direkt. HPA/DCO-Erkennung warnt vor versteckten Bereichen. - Unterstützt USB-Write- Blocker für zusätzliche Sicherheit. Die Performance - übertrifft oft kommerzielle Tools bei gleicher Zuverlässigkeit. - Debian-Pakete vereinfachen Installation. Der niedrige Ressourcen-Verbrauch - erlaubt Imaging auf älteren Systemen. Logging im Detail-Level - konfigurierbar für verschiedene Compliance-Anforderungen. + Linux-Imaging-Tool maximiert Performance durch intelligentes + Multi-Threading und optimierte I/O-Operationen für schnelle + Disk-Acquisition. Qt-basierte GUI macht forensisches Imaging auch für + Linux-Neulinge zugänglich ohne Command-Line-Expertise. Gleichzeitiges + Schreiben mehrerer Output-Formate (RAW + EWF) ohne Performance-Verlust + durch parallele Writer-Threads. FIFO-Ring-Buffer-Architektur ermöglicht + Pipe-Operationen für Network-Imaging über SSH oder netcat. Automatische + Bad-Block-Erkennung mit detailliertem Sector-Error-Logging, + HPA/DCO-Detection warnt vor versteckten Disk-Bereichen. + USB-Write-Blocker-Support für Hardware-Level-Protection, Resume-Capability + für unterbrochene Long-Running-Images. + url: https://guymager.sourceforge.io/ + skillLevel: novice domains: - incident-response - static-investigations @@ -2038,15 +2021,6 @@ tools: - data-collection platforms: - Linux - related_software: - - FTK Imager - - dc3dd - - ddrescue - skillLevel: novice - accessType: download - url: https://guymager.sourceforge.io/ - license: GPL-2.0 - knowledgebase: false tags: - gui - physical-copy @@ -2063,6 +2037,13 @@ tools: related_concepts: - Hash Functions & Digital Signatures - Digital Evidence Chain of Custody + related_software: + - FTK Imager + - dc3dd + - ddrescue + icon: 💿 + license: GPL-2.0 + accessType: download - name: Fuji icon: 🗻 type: software @@ -2210,13 +2191,17 @@ tools: - name: RegRipper type: software description: >- - Windows-Registry-Analyse-Framework mit 300+ Plugins für automatisierte - Artefakt-Extraktion: - USB-Historie, installierte Software, User-Aktivitäten, Malware-Spuren. Profile-System gruppiert - Plugins nach Untersuchungstyp (Malware, User-Activity, Network). Timeline-Plugins für - zeitbasierte Analyse, automatische Korrelation zwischen Hives. Plugin-Dokumentation erklärt - forensische Relevanz jedes Artefakts. Community teilt ständig neue Plugins für aktuelle - Bedrohungen. + Windows-Registry-Analyse-Framework mit über 300 spezialisierten Plugins + für automatisierte Artefakt-Extraktion: USB-Device-Historie, installierte + Software-Timestamps, User-Login-Activity, Malware-Persistence-Mechanisms. + Profile-System gruppiert Plugins systematisch nach Untersuchungstyp: + Malware-Detection, User-Activity-Reconstruction, + Network-Configuration-Analysis. Timeline-Plugins generieren chronologische + Registry-Change-Sequences, automatische Korrelation zwischen verschiedenen + Hive-Files. Plugin-Dokumentation erklärt forensische Relevanz und + Interpretation jedes extrahierten Artefakts detailliert. Active-Community + teilt kontinuierlich neue Plugins für emerging Threats und aktuelle + Windows-Versionen. url: https://github.com/keydet89/RegRipper3.0 skillLevel: intermediate domains: @@ -2253,12 +2238,17 @@ tools: - name: Strings type: software description: >- - String-Extraktion aus Binärdateien findet URLs für C2-Server, - Hardcoded-Passwords, Pfadangaben, - Error-Messages in Malware-Samples. Encoding-Options für Unicode-Varianten, Minimum-Length-Filter - reduziert Rauschen. Offset-Anzeige für spätere Hex-Editor-Analyse. Integration in - Pipe-Workflows mit grep für Pattern-Matching. Einfaches Tool für verschlüsselte/gepackte - Malware wenn Strings im Unpacking-Stub verbleiben. + Binary-String-Extraction-Utility findet Human-Readable-Text in Executables + für Initial-Malware-Triage und C2-Infrastructure-Discovery ohne + Advanced-Analysis-Tools. Extrahiert URLs für Command-and-Control-Servers, + Hardcoded-Passwords, File-Paths, Error-Messages und Debug-Strings aus + Packed/Obfuscated-Malware. Unicode-Encoding-Support (UTF-8, UTF-16) für + International-Character-Sets, Minimum-Length-Filtering reduziert + False-Positive-Noise. Offset-Display ermöglicht Hex-Editor-Correlation für + Detailed-Binary-Analysis. Command-Line-Pipe-Integration mit grep, awk, sed + für Advanced-Pattern-Matching-Workflows. Essential-Tool für Quick-Wins bei + verschlüsselten/gepackten Samples wenn Strings im Unpacking-Stub oder + Static-Sections verbleiben. url: https://docs.microsoft.com/en-us/sysinternals/downloads/strings skillLevel: novice domains: @@ -2291,12 +2281,17 @@ tools: - name: PhotoRec type: software description: >- - File-Carving-Tool findet gelöschte Dateien durch Signature-Scanning - unabhängig vom Dateisystem. - Über 300 Dateiformate von JPEGs über Office-Dokumente bis verschlüsselte Archives. Arbeitet - read-only für forensische Integrität, funktioniert bei beschädigten/formatierten Dateisystemen. - Konfigurierbare Signaturen für spezielle Formate, Paranoid-Mode prüft jeden Sektor. - Companion-Software TestDisk repariert Partitionstabellen. Batch-Mode für automatisierte Recovery. + Signature-Based File-Carving-Tool rekonstruiert gelöschte Files durch + Header/Footer-Pattern-Matching unabhängig vom Dateisystem-Zustand oder + Partition-Table-Corruption. Unterstützt über 300 File-Formats: Images + (JPEG, PNG, TIFF), Documents (PDF, DOC, XLS), Archives (ZIP, RAR), Videos + (AVI, MP4) und Custom-Signatures. Read-Only-Operation gewährleistet + forensische Evidence-Integrity, funktioniert bei beschädigten, + formatierten oder korrupten Dateisystemen. Paranoid-Mode scannt jeden + einzelnen Sektor für Maximum-Recovery-Rate bei fragmentierten Files. + Konfigurierbare File-Extensions und Custom-Signature-Development für + proprietäre Formats. Companion-Software TestDisk repariert + Partition-Tables und Boot-Sectors für Filesystem-Recovery-Scenarios. url: https://www.cgsecurity.org/wiki/PhotoRec skillLevel: beginner domains: @@ -2328,23 +2323,22 @@ tools: license: GPL-2.0 accessType: download - name: Thumbcache Viewer - icon: 🖼️ type: software description: >- - Windows speichert Miniaturansichten aller betrachteten Bilder in - versteckten thumbcache_*.db Dateien - ein Goldschatz für Forensiker. Das - Tool extrahiert diese Thumbnails inklusive EXIF-Zeitstempel, selbst wenn - Originalbilder längst gelöscht sind. Beweist unwiderlegbar, dass Bilder - auf dem System vorhanden waren. Besonders wertvoll bei CSAM-Ermittlungen - und Datendiebstahl. Die verschiedenen Auflösungen (32, 96, 256, 1024) - zeigen Detailgrade. Timestamp-Analyse rekonstruiert - Betrachtungszeitpunkte. Export als einzelne Bilder oder HTML-Report. Die - GUI macht es auch für nicht-technische Ermittler zugänglich. Unterstützt - Windows Vista bis 11. Der Batch-Mode verarbeitet mehrere - Thumbcache-Dateien. Hash-Matching gegen bekannte CSAM-Datenbanken möglich. - Integration mit Timeline-Tools über CSV-Export. Die kostenlose Lizenz - demokratisiert wichtige Forensik-Fähigkeiten. Oft der entscheidende Beweis - in Kinderschutz-Fällen. + Windows-Thumbnail-Cache-Analysis-Tool extrahiert Miniaturansichten aller + betrachteten Images aus versteckten thumbcache_*.db-Dateien für + Deleted-Content-Recovery. Beweist unwiderlegbar Image-Presence auf System + auch nach Original-File-Deletion durch Thumbnail-Persistence in + Cache-Database. Multiple-Resolution-Support (32, 96, 256, 1024 Pixel) + zeigt verschiedene Detail-Levels und Access-Patterns. + EXIF-Metadata-Preservation in Thumbnails ermöglicht GPS-Location-Recovery + und Camera-Identification. Timestamp-Analysis rekonstruiert + Image-Viewing-Timeline und User-Activity-Patterns. Batch-Processing-Mode + für Multiple-Cache-Files, Hash-Export für CSAM-Database-Matching und + Content-Correlation. HTML-Report-Generation für Court-Presentation mit + Embedded-Thumbnails und Forensic-Metadata-Tables. + url: https://thumbcacheviewer.github.io/ + skillLevel: beginner domains: - static-investigations - fraud-investigation @@ -2354,11 +2348,6 @@ tools: - analysis platforms: - Windows - skillLevel: beginner - accessType: download - url: https://thumbcacheviewer.github.io/ - license: GPL-3.0 - knowledgebase: false tags: - gui - deleted-file-recovery @@ -2374,6 +2363,9 @@ tools: - hash-export related_concepts: - Digital Evidence Chain of Custody + icon: 🖼️ + license: GPL-3.0 + accessType: download - name: MaxMind GeoIP type: software description: >- @@ -2423,40 +2415,27 @@ tools: - name: SIFT Workstation type: software description: >- - SANS Investigative Forensic Toolkit vereint über 500 Open-Source-Tools in - einer kuratierten Ubuntu-Distribution. Rob Lees Vision einer kostenlosen - Alternative zu kommerziellen Suiten wurde Realität. Vorinstalliert und - konfiguriert: Autopsy, Volatility, Plaso, Registry-Tools, - Timeline-Analyzer. Die DFIR-Menüstruktur gruppiert Tools nach - Untersuchungsphasen. Besonders wertvoll: Vorkonfigurierte - Python-Umgebungen, aktualisierte Tool-Versionen, integrierte - Dokumentation. REMnux-Integration für Malware-Analyse. Die VM kann als - Appliance oder WSL2 laufen. Regelmäßige Updates durch SANS- Community. Die - mitgelieferten Cheat-Sheets beschleunigen Einarbeitung. mount-image-pro - automatisiert Evidence-Mounting. SIFT-CLI verwaltet Updates. Die - kostenlosen Workbooks führen durch typische Untersuchungen. Performance - optimiert für Forensik-Workloads. Die Alternative wenn Budget für - kommerzielle Tools fehlt. + SANS Investigative Forensic Toolkit vereint über 500 kurierte + Open-Source-Tools in optimierter Ubuntu-Distribution für professionelle + DFIR-Teams. Vorinstalliert und konfiguriert: Autopsy für Disk-Analysis, + Volatility für Memory-Forensik, Plaso für Timeline-Generation, + Registry-Tools für Windows-Artefakte. DFIR-Menüstruktur gruppiert Tools + logisch nach Untersuchungsphasen und Use-Cases. mount-image-pro + automatisiert Evidence-Mounting mit Write-Protection, SIFT-CLI verwaltet + Tool-Updates zentral. REMnux-Integration für nahtlose + Malware-Analyse-Workflows, kostenlose Workbooks und Cheat-Sheets führen + durch typische Untersuchungsszenarien. VM-Images und WSL2-Support für + flexible Deployment-Optionen. + url: https://www.sans.org/tools/sift-workstation/ + skillLevel: intermediate domains: - incident-response - static-investigations - malware-analysis - network-forensics - mobile-forensics - skillLevel: intermediate - url: https://www.sans.org/tools/sift-workstation/ - icon: 🧰 platforms: - OS - accessType: download - license: Free / Mixed - knowledgebase: false - related_software: - - REMnux - - CAINE - - Kali Linux - domain-agnostic-software: - - specific-os tags: - gui - cli @@ -2470,41 +2449,36 @@ tools: - vm-ready - wsl2-compatible - community-maintained + related_software: + - REMnux + - CAINE + - Kali Linux + icon: 🧰 + license: Free / Mixed + accessType: download - name: Tsurugi Linux type: software description: >- - Die Forensik-Distribution kombiniert Tools für ultimative - Ermittlungs-Power. Spezialisiert auf Mobile- und Malware-Forensik mit - einzigartigen Features. Der integrierte Hardware-Write-Blocker verhindert - Beweis-Kontamination. Bento-Menü organisiert Tools nach japanischer - Effizienz-Philosophie. Besonders stark: Android-Forensik-Suite mit - ADB-Automatisierung, iOS-Backup-Analyzer, umfangreiche Malware-Sandbox. - Die Acquire-Edition ist optimiert für schnelles Imaging mit minimalem RAM. - Performance- Kernel speziell für Forensik-Hardware. Einzigartig: - Integrierte Übersetzungs-Tools für internationale Ermittlungen, - Unterstützung asiatischer Zeichensätze, LINE-Messenger-Parser. Die - 64-Bit-Only- Architektur nutzt modernen RAM voll aus. Live-Patching hält - Tools aktuell ohne Neustart. Der Stealth-Mode deaktiviert alle Netzwerk- - Interfaces. Die Alternative für Ermittler die mehr als - Standard-Distributionen wollen. + Spezialisierte Forensik-Distribution kombiniert Mobile- und + Malware-Analyse-Tools mit einzigartigen Hardware-Integration-Features für + professionelle Ermittlungen. Integrierter Hardware-Write-Blocker + verhindert Evidence-Kontamination automatisch, Bento-Menü organisiert + Tools nach japanischer Effizienz-Philosophie systematisch. + Android-Forensik-Suite mit ADB-Automatisierung und Root-Detection, + iOS-Backup-Analyzer mit Keychain-Extraktion, umfangreiche Malware-Sandbox + für Dynamic-Analysis. Performance-Kernel speziell für Forensik-Hardware + optimiert, 64-Bit-Only-Architektur nutzt modernen RAM voll aus. + Stealth-Mode deaktiviert alle Netzwerk-Interfaces, Unterstützung + asiatischer Zeichensätze für internationale Ermittlungen. + url: https://tsurugi-linux.org/ + skillLevel: intermediate domains: - incident-response - static-investigations - malware-analysis - mobile-forensics - skillLevel: intermediate - url: https://tsurugi-linux.org/ - icon: ⛩️ platforms: - OS - accessType: download - license: GPL / Mixed - knowledgebase: false - related_software: - - CAINE - - Kali Linux - domain-agnostic-software: - - specific-os tags: - gui - write-blocker @@ -2518,40 +2492,35 @@ tools: - hardware-writeblock - performance-kernel - stealth-mode + related_software: + - CAINE + - Kali Linux + icon: ⛩️ + license: GPL / Mixed + accessType: download - name: Parrot Security OS type: software description: >- - Die Privacy-fokussierte Alternative zu Kali Linux mit eingebautem - Anonymisierungs-Framework. AnonSurf routet Traffic durch Tor für verdeckte - Ermittlungen. Forensik-Tools treffen auf Pentesting-Arsenal in - datenschutzfreundlicher Umgebung. Rolling-Release hält 600+ Tools aktuell - ohne Neuinstallation. Der ressourcenschonende MATE-Desktop läuft flüssig - auf älteren Laptops. Besonders wertvoll: Eingebaute Kryptographie-Tools, - sichere Kommunikations-Apps, Sandbox für Malware. Die Forensik-Edition - fokussiert auf Incident-Response. Docker-Support für Tool-Isolation. - ARM-Versionen für Raspberry Pi und Mobile-Forensik. Die italienische - Entwicklung bringt europäische Datenschutz-Werte. Mehrere - Desktop-Umgebungen wählbar. Live-Boot mit Persistence für Feldarbeit. Der - AppArmor-Schutz härtet gegen Exploits. Community kleiner aber engagierter - als Kali. Perfekt für Ermittler die Privatsphäre und Sicherheit - priorisieren. + Privacy-fokussierte Forensik-Distribution mit eingebautem + Anonymisierungs-Framework für verdeckte Ermittlungen und + Undercover-Operations. AnonSurf routet kompletten Traffic durch + Tor-Netzwerk mit DNS-Leak-Protection, AppArmor-Mandatory-Access-Control + härtet System gegen Exploits und Malware. Rolling-Release-Model hält 600+ + Tools kontinuierlich aktuell ohne komplette Neuinstallation. + Ressourcenschonender MATE-Desktop läuft flüssig auf älteren + Forensik-Laptops und Field-Equipment. Docker-Support für sichere + Tool-Isolation und Malware-Sandboxing, ARM-Versionen für Raspberry Pi und + Mobile-Forensik-Einsätze. Live-Boot mit Encrypted-Persistence für sichere + Feldarbeit. + url: https://parrotsec.org/ + skillLevel: intermediate domains: - incident-response - static-investigations - malware-analysis - network-forensics - skillLevel: intermediate - url: https://parrotsec.org/ - icon: 🦜 platforms: - OS - accessType: download - license: GPL-3.0 - knowledgebase: false - related_software: - - Kali Linux - domain-agnostic-software: - - specific-os tags: - gui - cli @@ -2565,6 +2534,11 @@ tools: - lightweight - arm-support - docker-ready + related_software: + - Kali Linux + icon: 🦜 + license: GPL-3.0 + accessType: download - name: LibreOffice icon: 📄 type: software @@ -2670,12 +2644,18 @@ tools: - name: EnCase type: software description: >- - Enterprise-Imaging-Platform automatisiert Datenträger-Akquisition mit - Hardware-Write-Blocker-Integration - und EnScript-Programmierung für Custom-Analysis-Workflows. Evidence-Processor führt Batch-Analysen - über hunderte Images durch, Case-Management koordiniert Multi-Investigator-Access mit - granularen Permissions. Physical-Analyzer-Modul extrahiert Smartphone-Partitionen, - Hex-Workshop dekodiert proprietäre Dateisystem-Strukturen. + Etablierte Forensik-Suite für Enterprise-Level-Investigations kombiniert + Disk-Imaging, Evidence-Processing und Case-Management in integrierter + Plattform. EnScript-Programmiersprache automatisiert komplexe Analysen und + Custom-Workflows für wiederkehrende Untersuchungsschritte. + Evidence-Processor verarbeitet Batch-Analysen multipler Images parallel, + Timeline-Engine korreliert Events über alle Evidenzen. + Physical-Analyzer-Modul extrahiert Smartphone-Daten durch Logical- und + Physical-Acquisition-Methoden. Hash-Library-Integration für + Known-Bad-Detection und NSRL-Filtering. Case-Management skaliert auf + Großverfahren mit gerichtsfester Dokumentation und Audit-Trails. + Dongle-Schutz und hohe Lizenzkosten (20.000€+) limitieren auf + Enterprise-Umgebungen. url: https://www.opentext.com/products/encase-forensic skillLevel: intermediate domains: @@ -3039,12 +3019,18 @@ tools: - name: Binary Ninja type: software description: >- - Multi-Level-IR-Disassembler konvertiert Binary-Code in - High-Level-C-Pseudocode durch - Cross-Architecture-Analysis und Type-Recovery-Algorithmen. Cloud-Collaboration synchronisiert - Malware-Analysis zwischen Teams, Plugin-API automatisiert Exploit-Chain-Reconstruction. - Debugger-Integration ermöglicht Dynamic-Analysis-Correlation, Modern-GUI mit - Multiple-Workspaces übertrifft Legacy-Tools bei ARM64/RISC-V-Firmware-Analysis. + Moderne Reverse-Engineering-Plattform kombiniert traditionelle Disassembly + mit fortschrittlicher Program-Analysis durch innovative + Multi-Level-IR-Architecture (Intermediate Representation). + Cross-Architecture-Analysis durch einheitliche Abstraktion verschiedener + Instruction-Sets und Calling-Conventions. Advanced-Type-Recovery + rekonstruiert C-Structures und Function-Signatures automatisch durch + Data-Flow-Analysis. Plugin-API (Python/C++) ermöglicht tiefe Customization + und Integration in Custom-Workflows. Cloud-Collaboration synchronisiert + Binary-Analysis zwischen verteilten Teams in Real-Time. Modern-GUI mit + Multiple-Workspaces, Split-Views und Customizable-Layouts übertrifft + Legacy-Tools in Usability und Workflow-Efficiency. Debugger-Integration + für Dynamic-Analysis-Correlation. url: https://binary.ninja skillLevel: advanced domains: @@ -3157,21 +3143,22 @@ tools: related_concepts: - Digital Evidence Chain of Custody - name: Sonic Visualiser - icon: 🎵 type: software description: >- - Die Open-Source-Audio-Analyse-Suite wird in der Forensik eingesetzt, um - Wave- und Kompressionsformate bis auf Sample-Ebene zu untersuchen. - Spektrogramm-Visualisierung, Zeit-/Frequenz-Annotationen und - Transkriptions-Plugins (Vamp) helfen, Manipulationen wie Bandpass-Filter, - Time-Stretching oder Insert-Edits nachzuweisen. FFT- und - Mel-Spectral-Views decken versteckte Audio-Watermarks oder Steganografie - auf. Export-Funktionen in CSV/JSON erlauben die Weiterverarbeitung in - Python-Notebooks oder SIEM-Pipelines. Ideal für - Voice-Authentication-Checks, Deep-Fake-Erkennung und Beweisaufbereitung - vor Gericht. - skillLevel: intermediate + Audio-Forensik-Analyse-Suite untersucht Wave-Dateien und komprimierte + Audio-Formats bis auf Sample-Ebene für Authenticity-Verification und + Manipulation-Detection. Spektrogramm-Visualisierung mit + Zeit-Frequenz-Analysis, FFT-basierte Spectral-Views und + Mel-Spectral-Representation für Advanced-Audio-Pattern-Recognition. + Vamp-Plugin-Ecosystem erweitert Analysis-Capabilities: Beat-Detection, + Pitch-Tracking, Onset-Detection für Automated-Feature-Extraction. + Annotation-Layers dokumentieren Findings mit Timestamps und + Frequency-Markers für Court-Presentation. Transkription-Plugins + konvertieren Audio zu Text für Content-Analysis. Export-Funktionen in + CSV/JSON ermöglichen Integration in Analysis-Pipelines und SIEM-Systems + für Large-Scale-Audio-Processing. url: https://www.sonicvisualiser.org/ + skillLevel: intermediate domains: - static-investigations - fraud-investigation @@ -3183,9 +3170,6 @@ tools: - Windows - Linux - macOS - accessType: download - license: GPL-2.0 - knowledgebase: false tags: - gui - audio-forensics @@ -3193,21 +3177,24 @@ tools: - plugin-support - annotation - csv-export + icon: 🎵 + license: GPL-2.0 + accessType: download - name: Dissect - icon: 🧩 type: software description: >- - Fox-ITs Python-Framework abstrahiert Windows- und Linux-Speicherabbilder - in virtuelle Objekte (Prozesse, Dateien, Registry, Kernel-Strukturen), - ohne zuvor ein Profil definieren zu müssen. Modularer Hypervisor-Layer - erlaubt das Mounten und gleichzeitige Analysieren mehrerer Memory-Dumps – - perfekt für großflächige Incident-Response. Plugins dekodieren PTEs, - handle tables, APC-Queues und liefern YARA-kompatible Scans. Die - Zero-Copy-Architektur beschleunigt Queries auf Multi-GB-Images - signifikant. Unterstützt Windows 11 24H2-Kernel sowie Linux 6.x-schichten - ab Juli 2025. - skillLevel: advanced + Python-Framework abstrahiert Windows- und Linux-Speicherabbilder in + virtuelle Dateisystem-Objekte ohne vorherige Profil-Definition oder + OS-spezifische Konfiguration. Modularer Hypervisor-Layer ermöglicht + simultane Multi-Image-Analyse für großflächige Incident-Response-Scenarios + mit einheitlicher API. Zero-Copy-Architektur beschleunigt Memory-Queries + auf Multi-GB-Images durch direkten Memory-Mapping ohne Intermediate-Files. + Plugin-System dekodiert Windows-Strukturen: PTEs, Handle-Tables, + APC-Queues und Kernel-Objects automatisch. Besonders effizient bei + Batch-Processing mehrerer Memory-Dumps parallel durch + Threading-Optimierung und Resource-Sharing zwischen Analyse-Instanzen. url: https://github.com/fox-it/dissect + skillLevel: advanced domains: - incident-response - malware-analysis @@ -3219,9 +3206,6 @@ tools: - Windows - Linux - macOS - accessType: download - license: Apache-2.0 - knowledgebase: false tags: - cli - memory-analysis @@ -3234,6 +3218,9 @@ tools: related_software: - Volatility 3 - Rekall + icon: 🧩 + license: Apache-2.0 + accessType: download - name: Docker Explorer icon: 🐳 type: software @@ -3311,19 +3298,23 @@ tools: - ExifTool - PhotoRec - name: Sherloq - icon: 🔍 type: software description: >- - Das Python-GUI-Toolkit für visuelle Datei-Analyse kombiniert klassische - Reverse-Steganografie-Techniken (LSB, Palette-Tweaking, - DCT-Coefficient-Scanning) mit modernen CV-Algorithmen. Heatmaps und - Histogramm-Diffs zeigen Manipulations-Hotspots, während eine - „Carve-All-Layers“-Funktion versteckte Daten in PNG, JPEG, BMP, GIF und - Audio-Spectra aufspürt. Plugins für zsteg, binwalk und exiftool erweitern - die Pipeline. Eine Must-have-Ergänzung zu Ghidra & friends, wenn Malware - Dateien als Dead-Drop nutzt. - skillLevel: intermediate + Python-basiertes Image-Forensics-Toolkit kombiniert klassische + Steganography-Detection-Techniken mit modernen Computer-Vision-Algorithmen + für Manipulation-Analysis. LSB-Steganography-Detection, Palette-Analysis, + DCT-Coefficient-Examination und Statistical-Tests identifizieren + Hidden-Data in Images. Error-Level-Analysis (ELA) und + Noise-Pattern-Examination zeigen Compression-Artifacts und Edit-Traces in + JPEG-Files. Heatmap-Visualizations und Histogram-Differential-Analysis + markieren Manipulation-Hotspots automatisch. + Metadata-Inconsistency-Detection vergleicht EXIF-Data mit Image-Content + für Authenticity-Verification. Plugin-Architecture integriert externe + Tools: zsteg, binwalk, exiftool für Comprehensive-Image-Analysis-Pipeline. + Essential-Complement zu Hex-Editors und Reverse-Engineering-Tools für + Multimedia-Forensics. url: https://github.com/GuidoBartoli/sherloq + skillLevel: intermediate domains: - malware-analysis - static-investigations @@ -3334,9 +3325,6 @@ tools: - Windows - Linux - macOS - accessType: download - license: MIT - knowledgebase: false tags: - gui - image-forensics @@ -3349,6 +3337,9 @@ tools: related_software: - Ghiro - CyberChef + icon: 🔍 + license: MIT + accessType: download - name: Cortex type: software description: >- @@ -3564,29 +3555,35 @@ tools: - name: Gephi type: software description: >- - Graph-Analyse-Tool visualisiert komplexe Beziehungsnetzwerke durch - Force-Atlas-Layouts und Community-Detection-Algorithmen. Importiert - CSV-Transaktionsdaten, identifiziert Fraud-Ringe und - Money-Laundering-Patterns. Besonders stark bei großen Datensätzen mit - 100k+ Nodes für Financial-Crime-Investigations. - skillLevel: intermediate + Open-Source Graph-Visualization und Network-Analysis-Tool spezialisiert + auf Large-Scale-Dataset-Processing durch Force-Atlas-Layout-Algorithmen + und Community-Detection-Methods. Importiert Financial-Transaction-Data aus + CSV/GEXF-Formats, identifiziert Money-Laundering-Patterns, + Shell-Company-Networks und Fraud-Rings durch Statistical-Network-Analysis. + Modularity-Algorithmen segmentieren große Netzwerke automatisch in + Communities, Betweenness-Centrality identifiziert Key-Players und + Bottlenecks. Besonders effektiv bei Datasets mit 100k+ Nodes für + Financial-Crime-Investigations und Social-Network-Analysis. + Dynamic-Network-Analysis für Time-Series-Data, Export-Capabilities für + Report-Generation und Courtroom-Presentations. Plugin-Ecosystem erweitert + Analysis-Capabilities für Domain-Specific-Use-Cases. url: https://gephi.org - icon: 🕸️ + skillLevel: intermediate domains: - fraud-investigation - network-forensics phases: - analysis - tags: - - graph-analysis - - visualization platforms: - Windows - macOS - Linux - accessType: download + tags: + - graph-analysis + - visualization + icon: 🕸️ license: GPL-3.0 OR CDDL-1.0 - knowledgebase: false + accessType: download - name: Google Earth Pro type: software description: >- @@ -3649,12 +3646,18 @@ tools: - name: IDA Pro type: software description: >- - Industry-Standard-Disassembler dekodiert 50+ Prozessor-Architekturen für - Malware-Reverse-Engineering - und Vulnerability-Research. Hex-Rays-Decompiler rekonstruiert C-Pseudocode aus Assembly, - FLIRT-Signature-Database identifiziert Standard-Libraries automatisch. IDAPython-Scripts - automatisieren IOC-Extraktion, Collaborative-Features ermöglichen Team-Analysis komplexer - APT-Samples. Graph-View visualisiert Control-Flow für Backdoor-Logic-Analysis. + Industry-Standard Reverse-Engineering-Platform seit über 30 Jahren mit + Disassembler für 50+ Prozessor-Architekturen von x86/x64 über ARM, MIPS + bis zu exotischen DSPs und Custom-Silicon. Hex-Rays Decompiler wandelt + Assembly-Code in lesbaren C-Pseudocode um mit Variable-Recovery und + Type-Reconstruction. Interactive Cross-References visualisieren + Code-Beziehungen und Call-Graphs für komplexe Binary-Analysis. + FLIRT-Signature-Datenbank identifiziert Standard-Bibliotheken und + Known-Functions automatisch für Noise-Reduction. IDAPython ermöglicht + tiefgreifende Automatisierung komplexer Analysen durch vollständige + API-Access. Collaborative-Features für Multi-Analyst-Teams, besonders + stark bei Advanced-Malware-Dekonstruktion und + Zero-Day-Vulnerability-Research. url: https://hex-rays.com/ida-pro skillLevel: advanced domains: @@ -3813,12 +3816,18 @@ tools: - name: Maltego type: software description: >- - Graph-Intelligence-Platform korreliert OSINT-Daten für Fraud-Investigation - durch - automatisierte Transform-Engine: Domain-zu-IP-Resolution, Social-Media-Account-Linking, - Bitcoin-Address-Clustering. Machine-Learning-Algorithmen identifizieren versteckte - BEC-Fraud-Netzwerke, Maltego-Machines automatisieren Attribution-Workflows für - APT-Kampagnen. Casefile-Mode analysiert Offline-Datasets ohne Internet-Queries. + OSINT-Link-Analysis-Platform transformiert manuelle Recherchen in + automatisierte visuelle Netzwerk-Investigations durch umfangreiche + Transform-Engine-Ecosystem. Korreliert automatisch Domains, IP-Adressen, + Email-Addresses, Social-Media-Accounts und Phone-Numbers für + Attribution-Analysis. Machine-Learning-Enhanced-Clustering identifiziert + BEC-Fraud-Networks, Botnet-Infrastructure und + Multi-Stage-Attack-Campaigns. Transform-Hub erweitert Datenquellen um 100+ + Commercial- und Open-Source-Intelligence-Feeds. Maltego CE bietet + Community-Edition mit Basic-Transforms kostenlos, Commercial-Versions + integrieren Premium-Data-Sources. Automated-Reconnaissance-Workflows für + Threat-Actor-Profiling und Infrastructure-Mapping reduzieren manuelle + Investigation-Time erheblich. url: https://www.maltego.com skillLevel: intermediate domains: @@ -3886,77 +3895,91 @@ tools: - name: Oxygen Forensic Suite type: software description: >- - Mobile-Forensik-Alternative mit Fokus auf Android-Deep-Extraction und - chinesische Smartphones. Dekryptiert Telegram-Secret-Chats, analysiert 50+ - Cloud-Services ohne Premium-Pricing und bietet Live-Memory-Dumps. - Besonders stark bei Xiaomi/Huawei-Geräten mit regelmäßigen Updates für - neue Apps. - skillLevel: advanced + Mobile-Forensik-Alternative mit Deep-Extraction-Capabilities für + Android-Systeme und spezialisierte Decryption-Engines für verschlüsselte + Messenger. Telegram-Secret-Chat-Dekryptierung durch proprietäre Methoden + und Live-Memory-Dumps von aktiven Geräten ohne Reboot-Requirement. + Analysiert über 50 Cloud-Services mit Direct-API-Access ohne + Premium-Pricing-Modell oder zusätzliche Lizenzkosten. Besonders stark bei + chinesischen Smartphones (Xiaomi, Huawei, OnePlus) mit proprietären + Security-Mechanismen und Custom-Android-Versionen. + Mobile-Triage-Capability für Vor-Ort-Screening, regelmäßige Updates für + neue App-Versionen und Android-Security-Patches innerhalb von 48 Stunden. url: https://www.oxygenforensics.com - icon: 📱 + skillLevel: advanced domains: - mobile-forensics phases: - examination - analysis + platforms: + - Windows tags: - mobile - cloud - decryption - platforms: - - Windows + icon: 📱 license: Proprietary - knowledgebase: false - name: Radare2 type: software description: >- - Modulares Reverse-Engineering-Framework vereint Disassembler, Debugger und - Hex-Editor in mächtiger CLI-Suite. r2pipe-Integration bindet Framework in - Python/Go-Scripts, Visual-Mode bietet Pseudo-GUI im Terminal. Unterstützt - 20+ Architekturen von x86 bis WebAssembly für Firmware-Analyse und - CTF-Challenges. - skillLevel: advanced + Open-Source modulares Reverse-Engineering-Framework vereint Disassembler, + Debugger, Hex-Editor und Binary-Analysis-Tools in mächtiger + Command-Line-Suite für Scriptable-Workflows. r2pipe-Integration bindet + Framework nahtlos in Python/Go/JavaScript-Scripts für + Automated-Analysis-Pipelines. Visual-Mode bietet interaktive Pseudo-GUI im + Terminal mit Navigation und Editing-Capabilities. Unterstützt 20+ + CPU-Architekturen von x86 über ARM bis WebAssembly für Firmware-Analysis, + Embedded-Systems und CTF-Challenges. Scripting-Engine automatisiert + komplexe Multi-Step-Analysen, Plugin-System erweitert Funktionalität. + Active-Community-Development garantiert kontinuierliche Updates für neue + Architekturen und File-Formats. Besonders stark bei Embedded-Forensics und + IoT-Security-Analysis. url: https://rada.re/n/radare2.html - icon: 🗡️ + skillLevel: advanced domains: - malware-analysis phases: - analysis - tags: - - reverse-engineering - - scripting platforms: - Windows - Linux - macOS - accessType: download + tags: + - reverse-engineering + - scripting + icon: 🗡️ license: LGPL v3 - knowledgebase: false + accessType: download - name: Rekall type: software description: >- - Googles Memory-Analysis-Framework mit Cloud-Scale-Capabilities und - AFF4-Streaming-Support. Live-Memory-Analysis über HTTP-Endpoints, - Jupyter-Notebook-Integration für Interactive-Analysis. Web-UI - demokratisiert Memory-Forensics, obwohl Development 2018 eingestellt wurde - zugunsten anderer Google-Projekte. - skillLevel: advanced + Memory-Analysis-Framework mit Cloud-Scale-Capabilities und innovativer + Live-Memory-Analysis über HTTP-Endpoints für Remote-Forensics. + AFF4-Streaming-Support ermöglicht Untersuchung von Memory-Dumps ohne + lokale Storage durch On-Demand-Block-Loading. Jupyter-Notebook-Integration + schafft interaktive Speicher-Forensik-Umgebung für Collaboration zwischen + Analysten und Dokumentation. Web-UI demokratisiert Memory-Forensics für + nicht-technische Ermittler durch Point-and-Click-Interface. Besonders + stark bei verteilten Ermittlungen und Cloud-Infrastructure-Analysis mit + horizontaler Skalierung. Python-API ermöglicht Custom-Plugin-Development, + obwohl Google Development 2018 zugunsten anderer Projekte einstellte. url: https://github.com/google/rekall - icon: 🧬 + skillLevel: advanced domains: - incident-response phases: - analysis - tags: - - memory - - python platforms: - Windows - Linux - macOS - accessType: download + tags: + - memory + - python + icon: 🧬 license: Apache 2.0 - knowledgebase: false + accessType: download - name: Suricata type: software description: >- @@ -3984,12 +4007,17 @@ tools: - name: VirusTotal type: software description: >- - Multi-Engine-Malware-Scanner aggregiert 70+ AV-Erkennungen mit - Behavioral-Analysis - und Dynamic-Sandbox-Detonation für sofortige IOC-Assessment. Retro-Hunt durchsucht - Milliarden-Sample-Datenbank nach YARA-Signaturen, Graph-View visualisiert - Malware-Familie-Relationships. Livehunt-Service alertiert bei neuen Campaign-Matches, - API ermöglicht Bulk-Hash-Submission für Incident-Response-Automation. + Google's Malware-Intelligence-Aggregation-Platform kombiniert 70+ + Antivirus-Engine-Erkennungen für sofortige Multi-Vendor-Threat-Assessment + von Files, URLs, IP-Addresses und Domains. Retro-Hunt-Service durchsucht + historische Malware-Database mit YARA-Rules für ähnliche Samples durch + Fuzzy-Hashing und Behavioral-Signatures. Interactive-Graph-View + visualisiert Malware-Family-Relationships, C2-Infrastructure-Connections + und Campaign-Attribution durch Metadata-Correlation. Livehunt-Service + alertiert in Real-Time bei neuen YARA-Rule-Matches für proaktive + Threat-Hunting und IOC-Development. Community-Intelligence erweitert + Automated-Detection durch Analyst-Comments, Crowdsourced-Verdicts und + Threat-Actor-Attribution-Data für Enhanced-Context. url: https://www.virustotal.com skillLevel: beginner domains: @@ -4392,22 +4420,27 @@ tools: - name: dc3dd type: software description: >- - dc3dd ist eine forensisch erweiterte Variante des klassischen Unix-Befehls - dd. Sie unterstützt das gleichzeitige Berechnen mehrerer Hash-Werte (MD5, - SHA-1, SHA-256, SHA-512) während der Image-Erstellung, führt ein - detailliertes Log mit Prüfsummen und Fehlerblöcken und zeigt einen - Fortschrittsbalken an. Weitere Funktionen sind das Splitten großer - Abbilder, das gezielte Überschreiben von Mustern zum sicheren Löschen\_und - die Möglichkeit, Fehlersektoren separat auszugeben, was besonders bei - defekten Medien hilfreich ist. - skillLevel: intermediate + Department of Defense Cyber Crime Center DD für + Military-Grade-Disk-Imaging mit forensisch detailliertem Logging und + Evidence-Documentation. Simultane Multi-Hash-Berechnung (MD5, SHA-1, + SHA-256, SHA-512) mit automatischer Segment-weiser Hash-Verifizierung für + Large-File-Integrity. Comprehensive-Log-Output dokumentiert jeden + einzelnen Sector-Read-Attempt für Chain-of-Custody-Compliance und + Court-Admissibility. Error-Granularity behandelt defekte Medien durch + intelligentes Bad-Block-Mapping und Retry-Strategies. + Split-Archive-Support für verschiedene Storage-Medien mit + Resume-Funktionalität nach Unterbrechungen. Pattern-Fill für sichere + Wiping-Operations nach DoD-Standards. url: https://sourceforge.net/projects/dc3dd/ - icon: 💾 + skillLevel: intermediate domains: - incident-response - static-investigations phases: - data-collection + platforms: + - Linux + - Windows tags: - disk-imaging - hashing @@ -4416,12 +4449,9 @@ tools: - cli related_concepts: - Hash Functions & Digital Signatures - platforms: - - Linux - - Windows - accessType: download + icon: 💾 license: "GPL\_v2" - knowledgebase: false + accessType: download - name: ddrescue type: software description: >-