From 60bfa69b2f628bd71d90ad37de7a79cc3dabcf0c Mon Sep 17 00:00:00 2001 From: overcuriousity Date: Mon, 28 Jul 2025 22:33:17 +0200 Subject: [PATCH] content --- src/data/tools.yaml | 922 ++++++++++++++++++++++---------------------- 1 file changed, 452 insertions(+), 470 deletions(-) diff --git a/src/data/tools.yaml b/src/data/tools.yaml index 13e1848..96ba19f 100644 --- a/src/data/tools.yaml +++ b/src/data/tools.yaml @@ -126,9 +126,10 @@ tools: ausgeklügelte Rollen- und Rechtesystem ermöglicht sichere Zusammenarbeit zwischen SOC-Analysten, Forensikern und Management. Templates standardisieren Response-Prozesse nach Incident-Typ. Die RESTful API - integriert nahtlos mit SIEM, SOAR und Ticketing-Systemen. Metrics und KPIs - messen die Team-Performance. Die Community Edition bleibt kostenlos für - kleinere Teams, während Gold/Platinum-Lizenzen Enterprise-Features bieten. + integriert nahtlos mit SIEM, SOAR und Ticketing-Systemen. Metrics und + KPIs messen die Team-Performance. Die Community Edition bleibt kostenlos + für kleinere Teams, während Gold/Platinum-Lizenzen Enterprise-Features + bieten. domains: - incident-response - static-investigations @@ -174,19 +175,18 @@ tools: icon: 🌐 type: software description: >- - Die Threat-Intelligence-Sharing-Plattform vernetzt viele - Organisationen weltweit im Kampf gegen Cyberkriminalität. Strukturiertes - Teilen von IOCs durch standardisierte Attribute: IP-Adressen, Domains, - Hashes, YARA-Rules, Malware-Samples. Die Galaxies und Taxonomien - klassifizieren Bedrohungen nach ATT&CK, Kill-Chain oder eigenen Schemata. - Föderierte Architektur ermöglicht selektives Sharing zwischen - vertrauenswürdigen Partnern. Correlation-Engine findet Zusammenhänge - zwischen scheinbar unabhängigen Incidents. Warninglists reduzieren - False-Positives durch Whitelisting bekannter Good-Entities. ZeroMQ-Feed - pusht IOCs in Echtzeit an Firewalls und SIEMs. Die ausgereiften APIs - (REST, PyMISP) automatisieren Threat-Intelligence-Workflows. Export in - STIX, OpenIOC und Dutzende andere Formate. Essenziell für proaktive - Verteidigung. + Die Threat-Intelligence-Sharing-Plattform vernetzt viele Organisationen + weltweit im Kampf gegen Cyberkriminalität. Strukturiertes Teilen von IOCs + durch standardisierte Attribute: IP-Adressen, Domains, Hashes, YARA-Rules, + Malware-Samples. Die Galaxies und Taxonomien klassifizieren Bedrohungen + nach ATT&CK, Kill-Chain oder eigenen Schemata. Föderierte Architektur + ermöglicht selektives Sharing zwischen vertrauenswürdigen Partnern. + Correlation-Engine findet Zusammenhänge zwischen scheinbar unabhängigen + Incidents. Warninglists reduzieren False-Positives durch Whitelisting + bekannter Good-Entities. ZeroMQ-Feed pusht IOCs in Echtzeit an Firewalls + und SIEMs. Die ausgereiften APIs (REST, PyMISP) automatisieren + Threat-Intelligence-Workflows. Export in STIX, OpenIOC und Dutzende andere + Formate. Essenziell für proaktive Verteidigung. domains: - incident-response - static-investigations @@ -233,13 +233,14 @@ tools: Googles Timeline-Analyse-Platform meistert die Herausforderung, Millionen von Zeitstempeln aus heterogenen Quellen zu korrelieren. Die Elasticsearch-Backend-Architektur ermöglicht Suchen über Mengen - forensischer Daten in verhältnismäßig kurzer Zeit. Plaso/Log2timeline-Integration parst - automatisch über 300 Log-Formate in eine einheitliche Super-Timeline. - Collaborative Investigation durch geteilte Sketches, Kommentare und Saved - Searches. Die Timeline-Explorer visualisiert Ereignisse interaktiv mit - Heatmaps und Aktivitätsgraphen. Analyzers erkennen Anomalien wie - Login-Brute-Force oder Data-Exfiltration-Muster. Sigma-Rules werden direkt - auf Timelines angewendet. Stories dokumentieren Findings narrativ für + forensischer Daten in verhältnismäßig kurzer Zeit. + Plaso/Log2timeline-Integration parst automatisch über 300 Log-Formate in + eine einheitliche Super-Timeline. Collaborative Investigation durch + geteilte Sketches, Kommentare und Saved Searches. Die Timeline-Explorer + visualisiert Ereignisse interaktiv mit Heatmaps und Aktivitätsgraphen. + Analyzers erkennen Anomalien wie Login-Brute-Force oder + Data-Exfiltration-Muster. Sigma-Rules werden direkt auf Timelines + angewendet. Stories dokumentieren Findings narrativ für Management-Reports. Die Python-API ermöglicht automatisierte Analysen. Unverzichtbar für Incidents mit komplexen zeitlichen Abläufen über multiple Systeme. @@ -285,7 +286,8 @@ tools: icon: 🦈 type: software description: >- - Der unangefochtene König der Netzwerk-Protokoll-Analyse dekodiert die meisten Netzwerkprotokolle von Ethernet bis zu exotischen ICS-Protokollen. + Der unangefochtene König der Netzwerk-Protokoll-Analyse dekodiert die + meisten Netzwerkprotokolle von Ethernet bis zu exotischen ICS-Protokollen. Display-Filter mit mächtiger Syntax ermöglichen chirurgisch präzise Paket-Selektion. Follow-Stream rekonstruiert komplette TCP-Sessions, HTTP-Uploads oder FTP-Transfers. Expert-Info identifiziert Anomalien wie @@ -337,26 +339,26 @@ tools: - tls-decryption related_concepts: - Regular Expressions (Regex) - - name: Magnet AXIOM icon: 🧲 type: software description: >- Die umfassende Digital-Investigation-Plattform kombiniert Akquisition, - Analyse und Reporting in einer integrierten Suite für End-to-End-Forensik. - AXIOM Process sammelt Artefakte von über 300 Datenquellen: Computers, - Mobile Devices, Cloud Services, IoT-Geräte. Die KI-gestützte Artifact- - Categorization klassifiziert automatisch verdächtige Inhalte und reduziert - manuelle Review-Zeit drastisch. Besonders wertvoll: Internet Evidence - Finder (IEF) Engine extrahiert Web-Artefakte aus allen Major-Browsern, - Magnet.AI beschleunigt CSAM-Detection, Connections-View visualisiert - Kommunikations-Patterns zwischen Personen. Cloud-Forensics-Module greifen - auf Google, Microsoft, Apple-Accounts zu. Die Parallel-Processing-Engine - analysiert Terabytes in Stunden statt Tagen. Advanced-Carving rekonstruiert - gelöschte Multimedia-Dateien. Timeline-Engine korreliert Events über alle + Analyse und Reporting in einer integrierten Suite für + End-to-End-Forensik. AXIOM Process sammelt Artefakte von über 300 + Datenquellen: Computers, Mobile Devices, Cloud Services, IoT-Geräte. Die + KI-gestützte Artifact- Categorization klassifiziert automatisch + verdächtige Inhalte und reduziert manuelle Review-Zeit drastisch. + Besonders wertvoll: Internet Evidence Finder (IEF) Engine extrahiert + Web-Artefakte aus allen Major-Browsern, Magnet.AI beschleunigt + CSAM-Detection, Connections-View visualisiert Kommunikations-Patterns + zwischen Personen. Cloud-Forensics-Module greifen auf Google, Microsoft, + Apple-Accounts zu. Die Parallel-Processing-Engine analysiert Terabytes in + Stunden statt Tagen. Advanced-Carving rekonstruiert gelöschte + Multimedia-Dateien. Timeline-Engine korreliert Events über alle Evidenzen. Report-Templates generieren gerichtsfeste Dokumentation. - Integration mit AXIOM Cyber für Endpoint-Response. Eine etablierte Software - für High-Volume-Ermittlungen mit Budget für Enterprise-Lizenzen. + Integration mit AXIOM Cyber für Endpoint-Response. Eine etablierte + Software für High-Volume-Ermittlungen mit Budget für Enterprise-Lizenzen. domains: - incident-response - static-investigations @@ -396,23 +398,22 @@ tools: related_concepts: - Digital Evidence Chain of Custody - Hash Functions & Digital Signatures - - name: Cellebrite UFED icon: 📱 type: software description: >- - Der de-facto-Behördenstandard der mobilen Forensik greift aktuelle iPhones und - Android-Flaggschiffe durch Zero-Day-Exploits und proprietäre - Bypass-Methoden an, ist aber auch sehr teuer. Physical Extraction umgeht Verschlüsselung für - vollständigen Dateisystem-Zugriff. Logical Plus erweitert Standard-Backups - um gelöschte Daten. Advanced Services greifen auf Cellebrites - Exploit-Labor für besonders resistente Geräte zurück. Physical Analyzer - visualisiert extrahierte Daten intelligent: Timeline-Ansicht, - Geo-Location-Maps, Social-Network-Graphen, Kommunikations-Muster. - Project-VIC Integration für CSAM-Erkennung. Chain-of-Custody-Dokumentation - erfüllt höchste forensische Standards. Die Cloud-Analyzer-Lizenz - ermöglicht Zugriff auf über 50 Cloud-Services. Updates alle 3 Monate für - neue Geräte und Apps. + Der de-facto-Behördenstandard der mobilen Forensik greift aktuelle iPhones + und Android-Flaggschiffe durch Zero-Day-Exploits und proprietäre + Bypass-Methoden an, ist aber auch sehr teuer. Physical Extraction umgeht + Verschlüsselung für vollständigen Dateisystem-Zugriff. Logical Plus + erweitert Standard-Backups um gelöschte Daten. Advanced Services greifen + auf Cellebrites Exploit-Labor für besonders resistente Geräte zurück. + Physical Analyzer visualisiert extrahierte Daten intelligent: + Timeline-Ansicht, Geo-Location-Maps, Social-Network-Graphen, + Kommunikations-Muster. Project-VIC Integration für CSAM-Erkennung. + Chain-of-Custody-Dokumentation erfüllt höchste forensische Standards. Die + Cloud-Analyzer-Lizenz ermöglicht Zugriff auf über 50 Cloud-Services. + Updates alle 3 Monate für neue Geräte und Apps. domains: - static-investigations - mobile-forensics @@ -791,18 +792,18 @@ tools: type: software description: >- Das Full-Packet-Capture-Monster (früher Moloch) speichert und indiziert - große Aufkommen von Netzwerkverkehr für historische Forensik. Erfasst Traffic - mit 10Gbit/s+ und speichert PCAP mit intelligenter Kompression. Die - Elasticsearch-Integration ermöglicht schnelle Suchen über - Monate von Daten: IPs, Ports, Protokolle, HTTP-Header, SSL-Zertifikate. - Session-Page visualisiert Verbindungen mit Protokoll-Dekodierung. - SPI-Graph zeigt Traffic-Patterns. WISE (With Intelligence See Everything) - reichert Daten mit Threat-Intel an. Arkime-Capture skaliert horizontal für - Multiple 10G-Links. Die Viewer-Permissions ermöglichen granulare - Zugriffskontrolle. Hunt-Jobs durchsuchen historische Daten nach neuen - IOCs. API für Integration mit SOC-Tools. Die Hardware-Anforderungen sind - massiv (TB RAM, PB Storage), aber für ernsthafte NSM unverzichtbar. - Perfekt für APT-Jagd und Incident-Rekonstruktion. + große Aufkommen von Netzwerkverkehr für historische Forensik. Erfasst + Traffic mit 10Gbit/s+ und speichert PCAP mit intelligenter Kompression. + Die Elasticsearch-Integration ermöglicht schnelle Suchen über Monate von + Daten: IPs, Ports, Protokolle, HTTP-Header, SSL-Zertifikate. Session-Page + visualisiert Verbindungen mit Protokoll-Dekodierung. SPI-Graph zeigt + Traffic-Patterns. WISE (With Intelligence See Everything) reichert Daten + mit Threat-Intel an. Arkime-Capture skaliert horizontal für Multiple + 10G-Links. Die Viewer-Permissions ermöglichen granulare Zugriffskontrolle. + Hunt-Jobs durchsuchen historische Daten nach neuen IOCs. API für + Integration mit SOC-Tools. Die Hardware-Anforderungen sind massiv (TB RAM, + PB Storage), aber für ernsthafte NSM unverzichtbar. Perfekt für APT-Jagd + und Incident-Rekonstruktion. domains: - incident-response - static-investigations @@ -950,14 +951,14 @@ tools: type: software description: >- Die Blockchain-Intelligence-Plattform ist wohlbekannt in Krypto-Forensik - mit einer der größten Attribution-Datenbank weltweit. Clustering-Algorithmen - identifizieren Millionen von Services: Exchanges, Darknet-Märkte, Mixer, - Ransomware-Wallets, Scams. Reactor visualisiert Transaktionsflüsse mit - automatischer Risikobewertung. KYT (Know Your Transaction) für Echtzeit- - Compliance. Sanctions Screening gegen OFAC und internationale Listen. Der - Investigation-Workflow traced Funds durch Mixer und Tumblers. Intelligente - Alerts bei verdächtigen Bewegungen. Court-Ready Reports mit - Blockchain-Beweiskette. Die API integriert in bestehende Case- + mit einer der größten Attribution-Datenbank weltweit. + Clustering-Algorithmen identifizieren Millionen von Services: Exchanges, + Darknet-Märkte, Mixer, Ransomware-Wallets, Scams. Reactor visualisiert + Transaktionsflüsse mit automatischer Risikobewertung. KYT (Know Your + Transaction) für Echtzeit- Compliance. Sanctions Screening gegen OFAC und + internationale Listen. Der Investigation-Workflow traced Funds durch Mixer + und Tumblers. Intelligente Alerts bei verdächtigen Bewegungen. Court-Ready + Reports mit Blockchain-Beweiskette. Die API integriert in bestehende Case- Management-Systeme. Unterstützt Bitcoin, Ethereum, und 100+ andere Blockchains. Trainings und Zertifizierungen für Ermittler. Die Lizenzkosten (sechsstellig) und US-Zentrierung limitieren auf @@ -1380,9 +1381,9 @@ tools: Hex-Editor zeigt Rohdaten parallel zur interpretierten Ansicht. Template-Support für proprietäre Dateiformate. Die spartanische GUI schreckt Einsteiger ab, aber Profis schätzen die Effizienz. Deutlich - günstiger als US-Konkurrenz bei vergleichbarer Funktionalität. - Der legendäre Support durch Stefan Fleischmann persönlich. Made in Germany - mit Fokus auf Gründlichkeit statt Marketing. + günstiger als US-Konkurrenz bei vergleichbarer Funktionalität. Der + legendäre Support durch Stefan Fleischmann persönlich. Made in Germany mit + Fokus auf Gründlichkeit statt Marketing. domains: - static-investigations - incident-response @@ -1470,7 +1471,6 @@ tools: related_concepts: - Digital Evidence Chain of Custody - name: Regular Expressions (Regex) - icon: 🔤 type: concept description: >- Die universelle Mustererkennungssprache ermöglicht komplexe Textsuchen und @@ -1485,28 +1485,18 @@ tools: komplexen Patterns beachten. Integration in alle Major-Forensik-Tools macht Regex-Kenntnisse unverzichtbar. Der Unterschied zwischen einem guten und großartigen Forensiker liegt oft in der Regex-Beherrschung. + skillLevel: intermediate + url: https://regexr.com/ + icon: 🔤 domains: - incident-response - - malware-analysis - - network-forensics - - fraud-investigation - static-investigations + - malware-analysis + - fraud-investigation + - network-forensics phases: - examination - analysis - platforms: [] - related_software: - - CyberChef - - YARA - - Plaso (log2timeline) - - grep - domain-agnostic-software: null - skillLevel: intermediate - accessType: null - url: https://regexr.com/ - projectUrl: null - license: null - knowledgebase: true tags: - regex-search - string-search @@ -1518,8 +1508,8 @@ tools: - capture-groups - lookarounds - performance-critical + knowledgebase: true - name: SQL - icon: 🗃️ type: concept description: >- Die Structured Query Language ist das Rückgrat moderner Datenanalyse in @@ -1534,26 +1524,18 @@ tools: Malware). Die Fähigkeit, aus Rohdaten Erkenntnisse zu extrahieren, macht SQL zur Kernkompetenz. Unterschätzt aber unverzichtbar für moderne Ermittlungen. + skillLevel: intermediate + url: https://www.w3schools.com/sql/ + icon: 🗃️ domains: - incident-response - - mobile-forensics - - fraud-investigation - - cloud-forensics - static-investigations + - fraud-investigation + - mobile-forensics + - cloud-forensics phases: - examination - analysis - platforms: [] - related_software: - - Autopsy - - ALEAPP - domain-agnostic-software: null - skillLevel: intermediate - accessType: null - url: https://www.w3schools.com/sql/ - projectUrl: null - license: null - knowledgebase: false tags: - sqlite-viewer - correlation-engine @@ -1565,8 +1547,8 @@ tools: - aggregate-analysis - wal-analysis - python-integration + knowledgebase: true - name: Hash Functions & Digital Signatures - icon: 🔐 type: concept description: >- Kryptographische Hash-Funktionen und digitale Signaturen bilden das @@ -1582,27 +1564,18 @@ tools: essentiell. Tools berechnen automatisch, aber Verständnis der Prinzipien unterscheidet Profis von Amateuren. Blockchain als verteilte Hash-Kette revolutioniert Evidence-Management. + skillLevel: advanced + url: https://en.wikipedia.org/wiki/Cryptographic_hash_function + icon: 🔐 domains: - incident-response - static-investigations - malware-analysis - - cloud-forensics - mobile-forensics + - cloud-forensics phases: - data-collection - examination - platforms: [] - related_software: - - md5sum / sha256sum - - hashdeep - - ssdeep - domain-agnostic-software: null - skillLevel: advanced - accessType: null - url: https://en.wikipedia.org/wiki/Cryptographic_hash_function - projectUrl: null - license: null - knowledgebase: false tags: - hashing - integrity-check @@ -1614,8 +1587,8 @@ tools: - digital-signatures - timestamping - blockchain-evidence + knowledgebase: true - name: Digital Evidence Chain of Custody - icon: ⛓️ type: concept description: >- Die lückenlose Dokumentation digitaler Beweise von der Sicherstellung bis @@ -1630,6 +1603,10 @@ tools: Automatisierung durch LIMS (Laboratory Information Management Systems). Die CoC ist kein technisches sondern ein prozedurales Thema - oft unterschätzt aber entscheidend für erfolgreiche Verfahren. + skillLevel: advanced + url: >- + https://www.unodc.org/e4j/en/cybercrime/module-6/key-issues/handling-of-digital-evidence.html + icon: ⛓️ domains: - incident-response - static-investigations @@ -1641,17 +1618,6 @@ tools: - examination - analysis - reporting - platforms: [] - related_software: - - FRED - domain-agnostic-software: null - skillLevel: advanced - accessType: null - url: >- - https://www.unodc.org/e4j/en/cybercrime/module-6/key-issues/handling-of-digital-evidence.html - projectUrl: null - license: null - knowledgebase: true tags: - chain-of-custody - standards-compliant @@ -1663,21 +1629,22 @@ tools: - iso-27037 - legal-compliance - process-management + knowledgebase: true - name: MSAB XRY type: software description: >- Die schwedische Mobile-Forensik-Suite bietet Physical und Logical Extraction für iOS und Android mit regelmäßigen Exploit-Updates. Besonders stark bei chinesischen Smartphones (Huawei, Xiaomi) und - speziellen Hardware-Typen. Der Drone-Module extrahiert Flugdaten von - DJI und Parrot. XRY Camera identifiziert Geräte aus Bildern. Die - Analyze-Software visualisiert Kommunikationsmuster und Bewegungs- - profile. XAMN-Elements für Link-Analyse zwischen mehreren Geräten. - Cloud-Extraction für 30+ Services. Die PIN-Code-Breaker-Hardware - knackt 4-6 stellige Codes. Training und Zertifizierung inklusive. - Preislich mit Cellebrite vergleichbar (15.000€+) aber mit - transparenterer Verkaufspolitik. Updates alle 6-8 Wochen für neue - Apps. EU-basierte Alternative zu US-amerikanischen Lösungen. + speziellen Hardware-Typen. Der Drone-Module extrahiert Flugdaten von DJI + und Parrot. XRY Camera identifiziert Geräte aus Bildern. Die + Analyze-Software visualisiert Kommunikationsmuster und Bewegungs- profile. + XAMN-Elements für Link-Analyse zwischen mehreren Geräten. + Cloud-Extraction für 30+ Services. Die PIN-Code-Breaker-Hardware knackt + 4-6 stellige Codes. Training und Zertifizierung inklusive. Preislich mit + Cellebrite vergleichbar (15.000€+) aber mit transparenterer + Verkaufspolitik. Updates alle 6-8 Wochen für neue Apps. EU-basierte + Alternative zu US-amerikanischen Lösungen. skillLevel: beginner url: https://www.msab.com/product/xry-extract/ icon: 📱 @@ -2132,16 +2099,17 @@ tools: icon: 💾 type: software description: >- - Command-line Tool aus der libewf-Bibliothek zum Erstellen forensischer Images - im Expert Witness Format (E01/Ex01). Erstellt segmentierte Archive mit - MD5/SHA1-Hash-Verifizierung und optionaler Kompression. Besonders wertvoll - für Linux-basierte Imaging-Workflows ohne GUI-Overhead. Unterstützt - Case-Metadaten, Examiner-Notizen und Error-Granularity für defekte Sektoren. - Die Segment-Größe ist konfigurierbar für verschiedene Storage-Medien. - Integration in Autopsy und andere Tools über libewf. Alternative zu - proprietären Windows-Imaging-Tools für Open-Source-Forensik-Umgebungen. - Besonders geschätzt: Zuverlässigkeit, Cross-Platform-Kompatibilität und - Standards-Compliance für gerichtsfeste Images. + Command-line Tool aus der libewf-Bibliothek zum Erstellen forensischer + Images im Expert Witness Format (E01/Ex01). Erstellt segmentierte Archive + mit MD5/SHA1-Hash-Verifizierung und optionaler Kompression. Besonders + wertvoll für Linux-basierte Imaging-Workflows ohne GUI-Overhead. + Unterstützt Case-Metadaten, Examiner-Notizen und Error-Granularity für + defekte Sektoren. Die Segment-Größe ist konfigurierbar für verschiedene + Storage-Medien. Integration in Autopsy und andere Tools über libewf. + Alternative zu proprietären Windows-Imaging-Tools für + Open-Source-Forensik-Umgebungen. Besonders geschätzt: Zuverlässigkeit, + Cross-Platform-Kompatibilität und Standards-Compliance für gerichtsfeste + Images. domains: - incident-response - static-investigations @@ -2650,10 +2618,10 @@ tools: Dokumentation. REMnux-Integration für Malware-Analyse. Die VM kann als Appliance oder WSL2 laufen. Regelmäßige Updates durch SANS- Community. Die mitgelieferten Cheat-Sheets beschleunigen Einarbeitung. mount-image-pro - automatisiert Evidence-Mounting. SIFT-CLI verwaltet Updates. Die kostenlosen Workbooks - führen durch typische Untersuchungen. Performance optimiert für - Forensik-Workloads. Die Alternative wenn Budget für kommerzielle Tools - fehlt. + automatisiert Evidence-Mounting. SIFT-CLI verwaltet Updates. Die + kostenlosen Workbooks führen durch typische Untersuchungen. Performance + optimiert für Forensik-Workloads. Die Alternative wenn Budget für + kommerzielle Tools fehlt. domains: - incident-response - static-investigations @@ -2972,10 +2940,10 @@ tools: Unterstützung exotischer Formate. Die Touchscreen- Konsole steuert Imaging-Vorgänge. Field-Kit-Version für Vor-Ort-Einsätze. Integration mit FTK, EnCase, X-Ways. Die Workstation-Komponente analysiert während des - Imaging. Der hohe Preis macht es zur Investition für High-Volume-Labs. - Der Support durch Digital Intelligence ist erstklassig. Die modulare - Bauweise erlaubt Upgrades. Für kleine Teams Overkill, für Behörden-Labs - oft Standard. Die Hardware-Zuverlässigkeit rechtfertigt den Premium-Preis. + Imaging. Der hohe Preis macht es zur Investition für High-Volume-Labs. Der + Support durch Digital Intelligence ist erstklassig. Die modulare Bauweise + erlaubt Upgrades. Für kleine Teams Overkill, für Behörden-Labs oft + Standard. Die Hardware-Zuverlässigkeit rechtfertigt den Premium-Preis. domains: - static-investigations - incident-response @@ -3277,16 +3245,17 @@ tools: type: software description: >- Esris kommerzielle GIS-Plattform transformiert forensische Geodaten in - aussagekräftige räumliche Analysen für Ermittlungen. Besonders wertvoll für - komplexe Bewegungsprofile aus GPS-Logs, Cell-Tower-Triangulation und + aussagekräftige räumliche Analysen für Ermittlungen. Besonders wertvoll + für komplexe Bewegungsprofile aus GPS-Logs, Cell-Tower-Triangulation und Fahrzeug-Telematik. Die ArcMap-Desktop-Anwendung bietet erweiterte - Spatial-Queries: Buffer-Analysen identifizieren Verdächtige in Tatort-Nähe, - Hot-Spot-Detection findet Kriminalitätsschwerpunkte, Network-Analyst - berechnet optimale Fluchtrouten. Integration mit Datenbanken ermöglicht - Korrelation von Orten mit Personen, Fahrzeugen, Kommunikation. Die - 3D-Scene-Funktionen rekonstruieren Tatorte photorealistisch. Crime-Mapping- - Extensions speziell für Strafverfolgung. Der Enterprise-Fokus bedeutet - hohe Kosten (ab 7.000€) und Schulungsaufwand, aber bewährte Kompetenz für Geo-Intelligence. + Spatial-Queries: Buffer-Analysen identifizieren Verdächtige in + Tatort-Nähe, Hot-Spot-Detection findet Kriminalitätsschwerpunkte, + Network-Analyst berechnet optimale Fluchtrouten. Integration mit + Datenbanken ermöglicht Korrelation von Orten mit Personen, Fahrzeugen, + Kommunikation. Die 3D-Scene-Funktionen rekonstruieren Tatorte + photorealistisch. Crime-Mapping- Extensions speziell für Strafverfolgung. + Der Enterprise-Fokus bedeutet hohe Kosten (ab 7.000€) und + Schulungsaufwand, aber bewährte Kompetenz für Geo-Intelligence. skillLevel: intermediate url: https://www.esri.com/arcgis icon: 🌍 @@ -3310,17 +3279,18 @@ tools: description: >- Vector 35s moderne Reverse-Engineering-Plattform kombiniert traditionelle Disassembly mit fortschrittlicher Program-Analysis. Die Multi-Level-IR - (Intermediate Representation) ermöglicht Cross-Architecture-Analysen durch - einheitliche Abstraktion. Besonders innovativ: Der Decompiler erzeugt - lesbaren High-Level-Code, Type-Recovery rekonstruiert Datenstrukturen - automatisch, die Plugin-API (Python/C++) erlaubt tiefe Customization. - Cloud-Integration synchronisiert Analysen zwischen Teams. Die moderne GUI - mit Multiple-Workspaces übertrifft IDA in Usability. Debugger-Integration - für Dynamic-Analysis. Scripting-Console für Ad-hoc-Automation. Die - Personal-License (399€) macht professionelle Binary-Analysis erschwinglich. - Commercial-Lizenzen bieten Team-Features und Cloud-Sync. Besonders stark - bei modernen Architekturen (ARM64, RISC-V) die IDA vernachlässigt. - Die Zukunft des Reverse Engineering für eine neue Generation von Analysten. + (Intermediate Representation) ermöglicht Cross-Architecture-Analysen + durch einheitliche Abstraktion. Besonders innovativ: Der Decompiler + erzeugt lesbaren High-Level-Code, Type-Recovery rekonstruiert + Datenstrukturen automatisch, die Plugin-API (Python/C++) erlaubt tiefe + Customization. Cloud-Integration synchronisiert Analysen zwischen Teams. + Die moderne GUI mit Multiple-Workspaces übertrifft IDA in Usability. + Debugger-Integration für Dynamic-Analysis. Scripting-Console für + Ad-hoc-Automation. Die Personal-License (399€) macht professionelle + Binary-Analysis erschwinglich. Commercial-Lizenzen bieten Team-Features + und Cloud-Sync. Besonders stark bei modernen Architekturen (ARM64, + RISC-V) die IDA vernachlässigt. Die Zukunft des Reverse Engineering für + eine neue Generation von Analysten. skillLevel: advanced url: https://binary.ninja icon: 🛠️ @@ -3351,10 +3321,10 @@ tools: Extraktion speichert übertragene Dateien, Credential-Harvesting findet Klartext-Passwörter in Streams. Die Timeline-Ansicht visualisiert Traffic-Patterns über Zeit. Batch-Export zu NetworkMiner oder Wireshark - für Detailanalyse. Performance-optimiert für Forensiker die täglich - mit großen Packet-Captures arbeiten. Integration mit NetWitness und - anderen Enterprise-NSM-Lösungen. Der Workflow beschleunigt Incident- - Response erheblich durch Vorsortierung relevanter Flows. + für Detailanalyse. Performance-optimiert für Forensiker die täglich mit + großen Packet-Captures arbeiten. Integration mit NetWitness und anderen + Enterprise-NSM-Lösungen. Der Workflow beschleunigt Incident- Response + erheblich durch Vorsortierung relevanter Flows. skillLevel: intermediate url: https://www.netresec.com/?page=CapLoader icon: 📡 @@ -3401,19 +3371,20 @@ tools: type: software description: >- TheHives Analyzer-Engine automatisiert Observable-Intelligence durch über - 100 integrierte Services von VirusTotal bis Shodan. Ein File-Hash triggert - parallel: AV-Scans, Sandbox-Detonation, YARA-Matching, Reputation-Checks - in Sekunden statt manueller Stunden-Arbeit. Die Plugin-Architektur erweitert - für Custom-APIs und interne Threat-Intelligence. Besonders wertvoll: - Responder-Actions ermöglichen automatische Incident-Response (Block-IP, - Quarantine-Host), Taxonomy-Integration kategorisiert Threats nach MISP- - Standards, Job-History dokumentiert alle Analysen für Audit-Trails. + 100 integrierte Services von VirusTotal bis Shodan. Ein File-Hash + triggert parallel: AV-Scans, Sandbox-Detonation, YARA-Matching, + Reputation-Checks in Sekunden statt manueller Stunden-Arbeit. Die + Plugin-Architektur erweitert für Custom-APIs und interne + Threat-Intelligence. Besonders wertvoll: Responder-Actions ermöglichen + automatische Incident-Response (Block-IP, Quarantine-Host), + Taxonomy-Integration kategorisiert Threats nach MISP- Standards, + Job-History dokumentiert alle Analysen für Audit-Trails. Docker-Deployment skaliert Workers je nach Load. Rate-Limiting verhindert API-Quota-Erschöpfung. Die RESTful-API integriert in SOAR-Playbooks. JSON-Templates definieren Analyzer-Konfigurationen. Community-Analyzer - erweitern für spezielle Use-Cases. Nach TheHive-Übernahme durch StrangeBee - wird Cortex 3.x als Open-Source weiterentwickelt. Standard-Component - moderner SOC-Automatisierung. + erweitern für spezielle Use-Cases. Nach TheHive-Übernahme durch + StrangeBee wird Cortex 3.x als Open-Source weiterentwickelt. + Standard-Component moderner SOC-Automatisierung. skillLevel: intermediate url: https://strangebee.com/cortex icon: 🧩 @@ -3435,18 +3406,19 @@ tools: description: >- Die verteilte Such- und Analytics-Engine bildet das Herzstück moderner Forensik-Infrastrukturen durch Near-Real-Time-Indexierung von Petabytes. - Lucene-basierte Volltext-Suche findet IOCs in Sekunden über Millionen Logs. - Die JSON-native Architektur verarbeitet strukturierte und unstrukturierte - Daten gleichermäßen. Besonders wertvoll: Aggregations-Framework erstellt - komplexe Timeline-Analysen, Geo-Queries korrelieren Events geografisch, - Machine-Learning-Features erkennen Anomalien automatisch. Horizontal- - Skalierung von Single-Node bis Multi-Datacenter-Clusters. Die RESTful-API - integriert mit allen Forensik-Tools. Ingest-Pipelines normalisieren - verschiedene Log-Formate. Security-Features (X-Pack) bieten Encryption und - RBAC für sensitive Ermittlungen. Snapshot-Funktionen sichern forensische - Integrität. Die Index-Lifecycle-Management rotiert alte Daten automatisch. - Basis für ELK-Stack (Logstash, Kibana) und SIEM-Systeme. Unverzichtbar für - moderne SOCs und Incident-Response-Teams. + Lucene-basierte Volltext-Suche findet IOCs in Sekunden über Millionen + Logs. Die JSON-native Architektur verarbeitet strukturierte und + unstrukturierte Daten gleichermäßen. Besonders wertvoll: + Aggregations-Framework erstellt komplexe Timeline-Analysen, Geo-Queries + korrelieren Events geografisch, Machine-Learning-Features erkennen + Anomalien automatisch. Horizontal- Skalierung von Single-Node bis + Multi-Datacenter-Clusters. Die RESTful-API integriert mit allen + Forensik-Tools. Ingest-Pipelines normalisieren verschiedene Log-Formate. + Security-Features (X-Pack) bieten Encryption und RBAC für sensitive + Ermittlungen. Snapshot-Funktionen sichern forensische Integrität. Die + Index-Lifecycle-Management rotiert alte Daten automatisch. Basis für + ELK-Stack (Logstash, Kibana) und SIEM-Systeme. Unverzichtbar für moderne + SOCs und Incident-Response-Teams. skillLevel: intermediate url: https://www.elastic.co/elasticsearch icon: 🔍 @@ -3467,20 +3439,21 @@ tools: - name: Elliptic type: software description: >- - Die kommerzielle Blockchain-Analytics-Plattform konkurriert mit Chainalysis - durch erweiterte Compliance-Features und RegTech-Integration. Clustering- - Algorithmen identifizieren Services durch Transaction-Pattern-Analysis: - Exchanges, Darknet-Markets, Mixers, Ransomware-Wallets. Die Compliance- - Suite bietet Real-Time-Screening gegen OFAC/EU-Sanctions-Listen. - Besonders stark: DeFi-Protocol-Analysis dekodiert Smart-Contract- - Interactions, Cross-Chain-Tracking folgt Funds über Bridges, - Investigation-Tools für Complex-Money-Laundering-Schemes. API-Integration - ermöglicht Automated-AML-Workflows. Die Typology-Library kategorisiert - Verdachtsmuster nach FATF-Standards. Court-Ready-Reports mit Blockchain- - Evidence-Chain. Training-Programme zertifizieren Investigators. - Unterstützt Bitcoin, Ethereum, und 15+ andere Blockchains. Enterprise- - Deployment für Banken, Exchanges und Strafverfolgung. Der europäische - Fokus macht es zur Alternative für EU-basierte Organisationen. + Die kommerzielle Blockchain-Analytics-Plattform konkurriert mit + Chainalysis durch erweiterte Compliance-Features und RegTech-Integration. + Clustering- Algorithmen identifizieren Services durch + Transaction-Pattern-Analysis: Exchanges, Darknet-Markets, Mixers, + Ransomware-Wallets. Die Compliance- Suite bietet Real-Time-Screening gegen + OFAC/EU-Sanctions-Listen. Besonders stark: DeFi-Protocol-Analysis + dekodiert Smart-Contract- Interactions, Cross-Chain-Tracking folgt Funds + über Bridges, Investigation-Tools für Complex-Money-Laundering-Schemes. + API-Integration ermöglicht Automated-AML-Workflows. Die Typology-Library + kategorisiert Verdachtsmuster nach FATF-Standards. Court-Ready-Reports + mit Blockchain- Evidence-Chain. Training-Programme zertifizieren + Investigators. Unterstützt Bitcoin, Ethereum, und 15+ andere Blockchains. + Enterprise- Deployment für Banken, Exchanges und Strafverfolgung. Der + europäische Fokus macht es zur Alternative für EU-basierte + Organisationen. skillLevel: intermediate url: https://www.elliptic.co icon: ₿ @@ -3504,20 +3477,21 @@ tools: - name: FACT type: software description: >- - Das Firmware Analysis and Comparison Tool des BSI revolutioniert IoT-Security - durch automatisierte Bulk-Analysis von Embedded-Firmware. Web-Interface - ermöglicht Upload ganzer Firmware-Sammlungen für parallele Verarbeitung. - Über 50 Analyzer dekomprimieren Archive, extrahieren Dateisysteme, - identifizieren Crypto-Keys, finden Backdoors. Besonders mächtig: - Diff-Analysis vergleicht Firmware-Versionen und identifiziert Security- - Patches, CVE-Matching findet bekannte Vulnerabilities in embedded Libraries, - Entropy-Analysis lokalisiert verschlüsselte Bereiche. Die Plugin-Architektur - ermöglicht Custom-Analyzer für proprietäre Formate. YARA-Integration für - Malware-Detection. Collaboration-Features für Team-Analysis. REST-API - automatisiert Bulk-Submissions. Die PostgreSQL-Backend speichert Metadaten - durchsuchbar. Perfekt für Router-Hersteller, Security-Researcher und - Incident-Response-Teams die IoT-Compromises untersuchen. Open-Source - aber Enterprise-Ready für kritische Infrastruktur-Assessments. + Das Firmware Analysis and Comparison Tool des BSI revolutioniert + IoT-Security durch automatisierte Bulk-Analysis von Embedded-Firmware. + Web-Interface ermöglicht Upload ganzer Firmware-Sammlungen für parallele + Verarbeitung. Über 50 Analyzer dekomprimieren Archive, extrahieren + Dateisysteme, identifizieren Crypto-Keys, finden Backdoors. Besonders + mächtig: Diff-Analysis vergleicht Firmware-Versionen und identifiziert + Security- Patches, CVE-Matching findet bekannte Vulnerabilities in + embedded Libraries, Entropy-Analysis lokalisiert verschlüsselte Bereiche. + Die Plugin-Architektur ermöglicht Custom-Analyzer für proprietäre + Formate. YARA-Integration für Malware-Detection. Collaboration-Features + für Team-Analysis. REST-API automatisiert Bulk-Submissions. Die + PostgreSQL-Backend speichert Metadaten durchsuchbar. Perfekt für + Router-Hersteller, Security-Researcher und Incident-Response-Teams die + IoT-Compromises untersuchen. Open-Source aber Enterprise-Ready für + kritische Infrastruktur-Assessments. skillLevel: advanced url: https://github.com/fkie-cad/FACT_core icon: 🔧 @@ -3537,21 +3511,21 @@ tools: - name: FOCA type: software description: >- - Elevenpaths (Telefonica) entwickelte dieses OSINT-Kraftpaket zur Extraktion - von Metadaten aus öffentlich verfügbaren Dokumenten für Infrastructure- - Reconnaissance. Crawlt systematisch Websites nach PDFs, Office-Docs, - Bildern und extrahiert: Autor-Namen (potentielle Mitarbeiter), Software- - Versionen (Attack-Surface), interne Pfade (Network-Topology), Drucker- - Namen (Physical-Access-Points). Die DNS-Analysis korreliert Domains mit - gefundenen Infrastrukturdaten. Geolocation-Features mappen IP-Ranges. - Besonders wertvoll für Social-Engineering-Vorbereitung: Email-Pattern- - Recognition generiert Username-Listen, Organization-Chart-Reconstruction - aus Metadaten. Plugin-System erweitert für Custom-Document-Types. - Shodan-Integration enrichert IP-Intelligence. Die GUI macht komplexe - OSINT-Workflows auch für Non-Technical-Investigators zugänglich. - Export-Funktionen für weitere Analysis-Tools. Unverzichtbar für - Penetration-Tester und Financial-Crime-Investigators die Target- - Organizations verstehen müssen. + Elevenpaths (Telefonica) entwickelte dieses OSINT-Kraftpaket zur + Extraktion von Metadaten aus öffentlich verfügbaren Dokumenten für + Infrastructure- Reconnaissance. Crawlt systematisch Websites nach PDFs, + Office-Docs, Bildern und extrahiert: Autor-Namen (potentielle + Mitarbeiter), Software- Versionen (Attack-Surface), interne Pfade + (Network-Topology), Drucker- Namen (Physical-Access-Points). Die + DNS-Analysis korreliert Domains mit gefundenen Infrastrukturdaten. + Geolocation-Features mappen IP-Ranges. Besonders wertvoll für + Social-Engineering-Vorbereitung: Email-Pattern- Recognition generiert + Username-Listen, Organization-Chart-Reconstruction aus Metadaten. + Plugin-System erweitert für Custom-Document-Types. Shodan-Integration + enrichert IP-Intelligence. Die GUI macht komplexe OSINT-Workflows auch + für Non-Technical-Investigators zugänglich. Export-Funktionen für weitere + Analysis-Tools. Unverzichtbar für Penetration-Tester und + Financial-Crime-Investigators die Target- Organizations verstehen müssen. skillLevel: beginner url: https://github.com/ElevenPaths/FOCA icon: 🗂️ @@ -3572,20 +3546,20 @@ tools: type: software description: >- Attifys Python-Framework automatisiert die komplexe Firmware-Emulation - für Dynamic-Analysis von IoT-Geräten. Basiert auf Firmadyne-Research - aber erweitert um praktische Exploitation-Tools. Automatischer Workflow: + für Dynamic-Analysis von IoT-Geräten. Basiert auf Firmadyne-Research aber + erweitert um praktische Exploitation-Tools. Automatischer Workflow: Binwalk-Extraction → Filesystem-Reconstruction → QEMU-Emulation → Network-Service-Discovery → Vulnerability-Scanning. Besonders wertvoll: Web-Interface-Crawler findet Admin-Panels automatisch, Default-Credential-Testing, SQL-Injection-Fuzzing der Management- - Interfaces. Die ARM/MIPS-Emulation ermöglicht Interactive-Debugging - mit GDB. Network-Simulation stellt Internet-Connectivity bereit. - Metasploit-Integration für Automated-Exploitation. Vulnerability- - Database korreliert Findings mit CVEs. Docker-Setup vereinfacht - komplexe Dependencies. Die Academic-Herkunft garantiert - Research-Quality aber User-Experience ist basic. Perfekt für - Security-Researcher die IoT-Firmware auf Scale analysieren müssen. - Ergänzt statische Tools um Dynamic-Analysis-Capabilities. + Interfaces. Die ARM/MIPS-Emulation ermöglicht Interactive-Debugging mit + GDB. Network-Simulation stellt Internet-Connectivity bereit. + Metasploit-Integration für Automated-Exploitation. Vulnerability- Database + korreliert Findings mit CVEs. Docker-Setup vereinfacht komplexe + Dependencies. Die Academic-Herkunft garantiert Research-Quality aber + User-Experience ist basic. Perfekt für Security-Researcher die + IoT-Firmware auf Scale analysieren müssen. Ergänzt statische Tools um + Dynamic-Analysis-Capabilities. skillLevel: advanced url: https://github.com/attify/firmware-analysis-toolkit icon: 📦 @@ -3632,15 +3606,14 @@ tools: Modularity-Clustering identifiziert Communities, Betweenness-Centrality findet Schlüsselfiguren in Netzwerken. Besonders wertvoll für Fraud- Investigations: Import von CSV/GEXF-Daten aus Transaktions-Logs, - Timeline-Animation zeigt Netzwerk-Evolution, Size/Color-Mapping - nach Attributen (Geldbeträge, Risikolevels). Die Statistics-Panel - berechnet Graph-Metriken automatisch. Filter isolieren verdächtige - Subgraphen. Export zu PDF/SVG für Reports. Plugin-Ecosystem erweitert - für spezielle Analysis-Methoden. Besonders stark bei großen Datensätzen - (100k+ Nodes) wo andere Tools versagen. Die Java-Basis macht es - Cross-Platform verfügbar. Steile Lernkurve aber unübertroffene - Visualisierungs-Power für Social-Network-Analysis und - Money-Laundering-Detection. + Timeline-Animation zeigt Netzwerk-Evolution, Size/Color-Mapping nach + Attributen (Geldbeträge, Risikolevels). Die Statistics-Panel berechnet + Graph-Metriken automatisch. Filter isolieren verdächtige Subgraphen. + Export zu PDF/SVG für Reports. Plugin-Ecosystem erweitert für spezielle + Analysis-Methoden. Besonders stark bei großen Datensätzen (100k+ Nodes) + wo andere Tools versagen. Die Java-Basis macht es Cross-Platform + verfügbar. Steile Lernkurve aber unübertroffene Visualisierungs-Power für + Social-Network-Analysis und Money-Laundering-Detection. skillLevel: intermediate url: https://gephi.org icon: 🕸️ @@ -3663,14 +3636,15 @@ tools: type: software description: >- Googles professionelle Geo-Intelligence-Plattform bietet forensische - Capabilities weit jenseits der Consumer-Version. Historische Satellitenbilder - ab 1984 ermöglichen Timeline-Analysis von Tatorten, Gebäude-Entwicklungen, - Umwelt-Veränderungen. High-Resolution-Imagery (bis 60cm/Pixel) zeigt - Details für Crime-Scene-Reconstruction. Besonders wertvoll: KML/KMZ-Import - von GPS-Tracks für Movement-Analysis, Measurement-Tools für genaue - Distanzen, 3D-Buildings für Sichtlinien-Analysen. Movie-Maker erstellt - Flyover-Animations für Jury-Präsentationen. The Street-View-Integration - zeigt Ground-Truth-Perspective. Polygon-Tools markieren Search-Areas. + Capabilities weit jenseits der Consumer-Version. Historische + Satellitenbilder ab 1984 ermöglichen Timeline-Analysis von Tatorten, + Gebäude-Entwicklungen, Umwelt-Veränderungen. High-Resolution-Imagery (bis + 60cm/Pixel) zeigt Details für Crime-Scene-Reconstruction. Besonders + wertvoll: KML/KMZ-Import von GPS-Tracks für Movement-Analysis, + Measurement-Tools für genaue Distanzen, 3D-Buildings für + Sichtlinien-Analysen. Movie-Maker erstellt Flyover-Animations für + Jury-Präsentationen. The Street-View-Integration zeigt + Ground-Truth-Perspective. Polygon-Tools markieren Search-Areas. Koordinaten-Anzeige in verschiedenen Formaten (Lat/Long, UTM, MGRS). Offline-Caching für Field-Operations. Die kostenlose Professional-Lizenz (seit 2015) demokratisiert Geo-Intelligence. GPS-Data-Import von @@ -3695,20 +3669,20 @@ tools: - name: GrayKey type: software description: >- - Grayshift Technologies entwickelt die kontroverse iOS-Forensik-Lösung - für Strafverfolgung - eine dedizierte Hardware-Box die iPhones durch - Zero-Day-Exploits entsperrt. Die Lightning-Kabel-Verbindung umgeht - Apples USB-Restricted-Mode und Secure-Enclave-Schutz. Zwei Varianten: + Grayshift Technologies entwickelt die kontroverse iOS-Forensik-Lösung für + Strafverfolgung - eine dedizierte Hardware-Box die iPhones durch + Zero-Day-Exploits entsperrt. Die Lightning-Kabel-Verbindung umgeht Apples + USB-Restricted-Mode und Secure-Enclave-Schutz. Zwei Varianten: GrayKey-On-Premises für lokale Nutzung, GrayKey-Connected mit Cloud- Updates für neueste Exploits. Unterstützt iOS 7-17 mit wechselnder Geräte-Coverage je nach verfügbaren Exploits. Die Brute-Force-Engine knackt 4-6 stellige PINs in Stunden bis Tagen. Besonders wertvoll: Partial-Extraction auch bei verschlüsselten Geräten, AFU/BFU-State- - Analysis, Keychain-Decryption. Der Preis (30.000€+) und ethische - Bedenken limitieren auf Strafverfolgung. Regelmäßige Exploits werden - durch iOS-Updates zunichte gemacht - ein Katz-und-Maus-Spiel zwischen - Apple und Grayshift. Standard-Tool in US-Polizei-Departments trotz - rechtlicher und ethischer Kontroversen um Überwachungstechnologie. + Analysis, Keychain-Decryption. Der Preis (30.000€+) und ethische Bedenken + limitieren auf Strafverfolgung. Regelmäßige Exploits werden durch + iOS-Updates zunichte gemacht - ein Katz-und-Maus-Spiel zwischen Apple und + Grayshift. Standard-Tool in US-Polizei-Departments trotz rechtlicher und + ethischer Kontroversen um Überwachungstechnologie. skillLevel: advanced url: https://grayshift.com/graykey icon: 🔑 @@ -3732,16 +3706,16 @@ tools: type: software description: >- Vertreten im Bereich des Reverse Engineering seit über 30 Jahren - - HexRays IDA Pro definierte die statische Binary-Analyse. Der - Disassembler unterstützt über 50 Prozessor-Architekturen von x86 - über ARM bis zu exotischen DSPs. Der Decompiler wandelt - Assembly in lesbaren C-Pseudocode um, interaktive Cross-References - visualisieren Code-Beziehungen, der Graph-View zeigt Control-Flow intuitiv. - IDAPython ermöglicht Automatisierung komplexer Analysen. Die Signature- - Datenbank (FLIRT) identifiziert Standard-Bibliotheken automatisch. - Collaborative-Features für Teamanalysen. Besonders stark bei Malware- - Dekonstruktion, Vulnerability-Research und Firmware-Analyse. Der Preis - schreckt Hobbyisten ab. + HexRays IDA Pro definierte die statische Binary-Analyse. Der Disassembler + unterstützt über 50 Prozessor-Architekturen von x86 über ARM bis zu + exotischen DSPs. Der Decompiler wandelt Assembly in lesbaren C-Pseudocode + um, interaktive Cross-References visualisieren Code-Beziehungen, der + Graph-View zeigt Control-Flow intuitiv. IDAPython ermöglicht + Automatisierung komplexer Analysen. Die Signature- Datenbank (FLIRT) + identifiziert Standard-Bibliotheken automatisch. Collaborative-Features + für Teamanalysen. Besonders stark bei Malware- Dekonstruktion, + Vulnerability-Research und Firmware-Analyse. Der Preis schreckt + Hobbyisten ab. skillLevel: advanced url: https://hex-rays.com/ida-pro icon: 🖥️ @@ -3764,17 +3738,18 @@ tools: type: software description: >- Kroll Artifact Parser and Extractor revolutioniert Windows-Forensik durch - intelligente Ziel-basierte Sammlung. Statt Full-Disk-Images extrahiert KAPE - gezielt kritische Artefakte: Registry-Hives, Event-Logs, Prefetch, Browser- - Daten, Scheduled-Tasks in Minuten statt Stunden. Die Target-Files definieren - was gesammelt wird, Module-Files wie es verarbeitet wird. Besonders clever: - Compound-Targets gruppieren zusammengehörige Artefakte (z.B. "Browser" sammelt - Chrome+Firefox+Edge), die gKAPE-GUI macht es auch für Nicht-Techniker - zugänglich. Batch-Mode verarbeitet mehrere Images parallel. Output direkt - kompatibel zu Timeline-Tools wie Plaso. Die ständigen Community-Updates - halten mit Windows-Entwicklungen Schritt. VSS-Processing analysiert Shadow- - Copies automatisch. Der Remote-Collection-Mode sammelt über Netzwerk. - Kostenlos aber Enterprise-Support verfügbar. Der neue Standard für effiziente + intelligente Ziel-basierte Sammlung. Statt Full-Disk-Images extrahiert + KAPE gezielt kritische Artefakte: Registry-Hives, Event-Logs, Prefetch, + Browser- Daten, Scheduled-Tasks in Minuten statt Stunden. Die Target-Files + definieren was gesammelt wird, Module-Files wie es verarbeitet wird. + Besonders clever: Compound-Targets gruppieren zusammengehörige Artefakte + (z.B. "Browser" sammelt Chrome+Firefox+Edge), die gKAPE-GUI macht es auch + für Nicht-Techniker zugänglich. Batch-Mode verarbeitet mehrere Images + parallel. Output direkt kompatibel zu Timeline-Tools wie Plaso. Die + ständigen Community-Updates halten mit Windows-Entwicklungen Schritt. + VSS-Processing analysiert Shadow- Copies automatisch. Der + Remote-Collection-Mode sammelt über Netzwerk. Kostenlos aber + Enterprise-Support verfügbar. Der neue Standard für effiziente Windows-Forensik-Triage. skillLevel: intermediate url: https://www.kroll.com/kape @@ -3795,20 +3770,22 @@ tools: - name: Kibana type: software description: >- - Das Visualisierungs-Frontend des Elastic-Stacks verwandelt rohe Forensik-Daten - in aussagekräftige Dashboards und Echtzeit-Analysen. Drag-and-Drop-Interface - erstellt komplexe Queries ohne Programmierkenntnisse. Besonders wertvoll für - Incident-Response: Timeline-Visualisierungen korrelieren Events über - verschiedene Systeme, Geo-Maps zeigen Angriffs-Ursprünge, Heat-Maps - identifizieren Aktivitätsmuster. Die Discover-Funktion ermöglicht explorative - Datenanalyse mit Drill-Down-Capabilities. Canvas erstellt Infografiken für - Management-Reports. Machine-Learning-Integration erkennt Anomalien automatisch. - Alerting-Framework triggert bei verdächtigen Mustern. Dashboard-Sharing für - SOC-Teams. Der Dev-Tools-Bereich bietet direkten Elasticsearch-Zugriff für - Power-User. Spaces isolieren verschiedene Ermittlungen. Die Integration mit - Wazuh, Suricata und anderen SIEM-Komponenten macht es zum Standard-Dashboard - moderner Security-Operations. Kostenlos bis zu Basic-Features, - X-Pack-Lizenzierung für Enterprise-Funktionen. + Das Visualisierungs-Frontend des Elastic-Stacks verwandelt rohe + Forensik-Daten in aussagekräftige Dashboards und Echtzeit-Analysen. + Drag-and-Drop-Interface erstellt komplexe Queries ohne + Programmierkenntnisse. Besonders wertvoll für Incident-Response: + Timeline-Visualisierungen korrelieren Events über verschiedene Systeme, + Geo-Maps zeigen Angriffs-Ursprünge, Heat-Maps identifizieren + Aktivitätsmuster. Die Discover-Funktion ermöglicht explorative + Datenanalyse mit Drill-Down-Capabilities. Canvas erstellt Infografiken + für Management-Reports. Machine-Learning-Integration erkennt Anomalien + automatisch. Alerting-Framework triggert bei verdächtigen Mustern. + Dashboard-Sharing für SOC-Teams. Der Dev-Tools-Bereich bietet direkten + Elasticsearch-Zugriff für Power-User. Spaces isolieren verschiedene + Ermittlungen. Die Integration mit Wazuh, Suricata und anderen + SIEM-Komponenten macht es zum Standard-Dashboard moderner + Security-Operations. Kostenlos bis zu Basic-Features, X-Pack-Lizenzierung + für Enterprise-Funktionen. skillLevel: beginner url: https://www.elastic.co/kibana icon: 📊 @@ -3834,14 +3811,14 @@ tools: Zero-Contamination durch minimalen Footprint, Network-Streaming überträgt RAM direkt an Remote-Analyst ohne lokale Storage, Format-Options (Raw, Padded, ELF) für verschiedene Analysis-Tools. Die Cross-Compilation - unterstützt embedded Systems und IoT-Geräte. Android-Portierung ermöglicht - Mobile-Memory-Forensics. Automatische Kernel-Symbol-Resolution für - Volatility-Profile-Generation. Die Installation erfordert Kernel-Headers - aber der Build-Prozess ist gut dokumentiert. TCP-Dump-Integration für - simultane Netzwerk-Capture. Besonders wichtig für Container-Forensik und - Cloud-Incidents wo traditionelle Tools versagen. Der Standard für - Linux-Memory-Acquisition in professionellen DFIR-Teams. Ergänzt - Windows-Tools wie WinPmem für heterogene Umgebungen. + unterstützt embedded Systems und IoT-Geräte. Android-Portierung + ermöglicht Mobile-Memory-Forensics. Automatische Kernel-Symbol-Resolution + für Volatility-Profile-Generation. Die Installation erfordert + Kernel-Headers aber der Build-Prozess ist gut dokumentiert. + TCP-Dump-Integration für simultane Netzwerk-Capture. Besonders wichtig + für Container-Forensik und Cloud-Incidents wo traditionelle Tools + versagen. Der Standard für Linux-Memory-Acquisition in professionellen + DFIR-Teams. Ergänzt Windows-Tools wie WinPmem für heterogene Umgebungen. skillLevel: advanced url: https://github.com/504ensicsLabs/LiME icon: 🧠 @@ -3867,15 +3844,15 @@ tools: auf jeden Windows-Endpoint ohne Agent-Installation. Die Python-basierte Engine scannt File-Hashes gegen NSRL-Whitelist und Custom-IOC-Sets, YARA-Rules gegen Memory und Dateisystem, Registry-Keys nach Malware- - Persistence, Running-Processes nach bekannten Threats. Besonders wertvoll: - Network-Share-Scanning durchsucht ganze Domänen, False-Positive-Reduction - durch Whitelist-Management, Detailed-Logging für Compliance-Audits. - Configuration-Files steuern Scan-Intensität vs. Performance. - Integration mit MISP für IOC-Updates. Die Executable-Version läuft - ohne Python-Installation. Härtungs-Checks validieren Sicherheits- - Konfigurationen. Sigma-Rule-Support für Log-Analysis. Community- - IOCs halten Threat-Database aktuell. Perfekt für Rapid-Response - wenn vollständige EDR-Lösungen fehlen. Standard-Tool in vielen + Persistence, Running-Processes nach bekannten Threats. Besonders + wertvoll: Network-Share-Scanning durchsucht ganze Domänen, + False-Positive-Reduction durch Whitelist-Management, Detailed-Logging für + Compliance-Audits. Configuration-Files steuern Scan-Intensität vs. + Performance. Integration mit MISP für IOC-Updates. Die Executable-Version + läuft ohne Python-Installation. Härtungs-Checks validieren Sicherheits- + Konfigurationen. Sigma-Rule-Support für Log-Analysis. Community- IOCs + halten Threat-Database aktuell. Perfekt für Rapid-Response wenn + vollständige EDR-Lösungen fehlen. Standard-Tool in vielen CERT-Incident-Response-Kits. Der Einstieg in professionelles Threat-Hunting ohne Budget-Hürden. skillLevel: intermediate @@ -3897,19 +3874,21 @@ tools: - name: Maltego type: software description: >- - Die Link-Analysis-Suite transformiert OSINT-Recherchen in visuelle Netzwerke - für Fraud-Ermittlungen und Threat-Intelligence. Graph-basierte Darstellung - zeigt Verbindungen zwischen Personen, Domains, IP-Adressen, Social-Media- - Accounts intuitiv. Transform-Engine automatisiert Datensammlung aus hunderten - Quellen: DNS-Records, Whois-Daten, Social-Networks, Darkweb-Mentions. - Besonders mächtig für BEC-Fraud: Email-to-Domain-to-Infrastructure-Mapping - enthüllt Scammer-Netzwerke. Die Maltego-Teeth-Integration bringt kommerzielle - Datenquellen. Machine-Learning-Algorithmen finden versteckte Cluster. - Collaboration-Features für Team-Ermittlungen. Case-Management dokumentiert - Recherche-Pfade. Export zu verschiedenen Formaten für Reports. Die - Community-Edition (kostenlos) limitiert auf 12 Entities, aber ausreichend - für kleinere Fälle. Professional-Versionen (ab 999€) entfernen Limits. - Standard-Tool für Financial-Crime-Units und OSINT-Analysten weltweit. + Die Link-Analysis-Suite transformiert OSINT-Recherchen in visuelle + Netzwerke für Fraud-Ermittlungen und Threat-Intelligence. Graph-basierte + Darstellung zeigt Verbindungen zwischen Personen, Domains, IP-Adressen, + Social-Media- Accounts intuitiv. Transform-Engine automatisiert + Datensammlung aus hunderten Quellen: DNS-Records, Whois-Daten, + Social-Networks, Darkweb-Mentions. Besonders mächtig für BEC-Fraud: + Email-to-Domain-to-Infrastructure-Mapping enthüllt Scammer-Netzwerke. Die + Maltego-Teeth-Integration bringt kommerzielle Datenquellen. + Machine-Learning-Algorithmen finden versteckte Cluster. + Collaboration-Features für Team-Ermittlungen. Case-Management + dokumentiert Recherche-Pfade. Export zu verschiedenen Formaten für + Reports. Die Community-Edition (kostenlos) limitiert auf 12 Entities, + aber ausreichend für kleinere Fälle. Professional-Versionen (ab 999€) + entfernen Limits. Standard-Tool für Financial-Crime-Units und + OSINT-Analysten weltweit. skillLevel: intermediate url: https://www.maltego.com icon: 🌐 @@ -3934,8 +3913,8 @@ tools: Die kollaborationsfokussierte Office-Suite kombiniert Microsoft-Office- Kompatibilität mit Open-Source-Flexibilität für forensische Team-Arbeit. Real-Time-Co-Editing ermöglicht simultane Report-Erstellung durch mehrere - Ermittler. Besonders wertvoll: Version-History dokumentiert alle Änderungen - für Audit-Trails, Comment-System koordiniert Review-Prozesse, + Ermittler. Besonders wertvoll: Version-History dokumentiert alle + Änderungen für Audit-Trails, Comment-System koordiniert Review-Prozesse, PDF-Forms für strukturierte Evidence-Collection. Die Plugin-Architecture integriert mit Nextcloud, ownCloud für sichere File-Sharing. Macro-Support (mit Sicherheits-Sandboxing) automatisiert repetitive @@ -3945,8 +3924,8 @@ tools: Enterprise-Features: SSO-Integration, LDAP-Authentication, Custom- Branding für behördliche Anforderungen. Mobile-Apps ermöglichen Field-Documentation. Deutlich günstiger als Microsoft-Lizenzen bei - vergleichbarer Funktionalität. Perfekte Balance zwischen Features - und Datenschutz für professionelle Forensik-Teams. + vergleichbarer Funktionalität. Perfekte Balance zwischen Features und + Datenschutz für professionelle Forensik-Teams. skillLevel: beginner url: https://www.onlyoffice.com icon: 📄 @@ -3978,10 +3957,10 @@ tools: Automated-Response. Team-Collaboration durch Workspaces und Knowledge-Sharing. Export zu SIEM-Systemen in Real-Time. The Modern-React-UI macht komplexe Intelligence-Workflows intuitiv. - Docker-Compose-Deployment für schnelle Installation. Enterprise- - Features: Multi-Tenancy, RBAC, Audit-Logging. Open-Source aber - Commercial-Support verfügbar. Standard-Platform für moderne - CTI-Teams die structured Intelligence-Sharing benötigen. + Docker-Compose-Deployment für schnelle Installation. Enterprise- Features: + Multi-Tenancy, RBAC, Audit-Logging. Open-Source aber Commercial-Support + verfügbar. Standard-Platform für moderne CTI-Teams die structured + Intelligence-Sharing benötigen. skillLevel: intermediate url: https://filigran.io/platforms/opencti icon: 🗂️ @@ -4000,19 +3979,19 @@ tools: - name: Oxygen Forensic Suite type: software description: >- - Die umfassende Mobile-Forensik-Suite positioniert sich als Alternative - zu westlichen Lösungen mit Fokus auf Android-Geräte und Cloud-Services. - Besonders stark: Deep-Extraction chinesischer Smartphones (Xiaomi, Huawei, - OnePlus), Telegram-Forensics inklusive Secret-Chats, Signal-Database- - Decryption bei Root-Access. Die Cloud-Explorer-Module greifen auf 50+ - Services zu: Google-Takeout, iCloud-Backups, Microsoft-Accounts ohne - Premium-Pricing. Physical-Analyzer visualisiert Timeline und Geo-Locations. - Die SQLite-Viewer parst App-Databases direkt. Besonders innovativ: - UFED-Image-Import ermöglicht Cross-Platform-Analysis, Live-Memory-Dumps - von Android-Geräten, Malware-Detection in APKs. Der Preis (ab 8.000€) - unterbietet Marktführer deutlich. Technisch solide Lösung mit - umfangreichem Cloud-Support und regelmäßigen Updates für neue - Smartphone-Modelle und Apps. + Die umfassende Mobile-Forensik-Suite positioniert sich als Alternative zu + westlichen Lösungen mit Fokus auf Android-Geräte und Cloud-Services. + Besonders stark: Deep-Extraction chinesischer Smartphones (Xiaomi, + Huawei, OnePlus), Telegram-Forensics inklusive Secret-Chats, + Signal-Database- Decryption bei Root-Access. Die Cloud-Explorer-Module + greifen auf 50+ Services zu: Google-Takeout, iCloud-Backups, + Microsoft-Accounts ohne Premium-Pricing. Physical-Analyzer visualisiert + Timeline und Geo-Locations. Die SQLite-Viewer parst App-Databases direkt. + Besonders innovativ: UFED-Image-Import ermöglicht + Cross-Platform-Analysis, Live-Memory-Dumps von Android-Geräten, + Malware-Detection in APKs. Der Preis (ab 8.000€) unterbietet Marktführer + deutlich. Technisch solide Lösung mit umfangreichem Cloud-Support und + regelmäßigen Updates für neue Smartphone-Modelle und Apps. skillLevel: advanced url: https://www.oxygenforensics.com icon: 📱 @@ -4032,15 +4011,16 @@ tools: - name: Radare2 type: software description: >- - Das modulare Reverse-Engineering-Framework vereint Disassembler, Debugger, - Hex-Editor und Scripter in einer mächtigen CLI-Suite. Die Unix-Philosophie - "do one thing well" ermöglicht granulare Kontrolle über jeden Analyse-Schritt. - Besonders innovativ: r2pipe-Integration bindet das Framework in Python, - Node.js, Go-Scripts ein, Visual-Mode bietet Pseudo-GUI im Terminal, - Project-Files speichern komplexe Analysen persistent. Über 20 Architekturen - unterstützt von x86 bis WebAssembly. Die aktive Community entwickelt ständig - neue Features: r2ghidra-Decompiler, r2dec für Pseudocode, cutter als GUI- - Frontend. Besonders stark bei Firmware-Analyse und CTF-Challenges. Die + Das modulare Reverse-Engineering-Framework vereint Disassembler, + Debugger, Hex-Editor und Scripter in einer mächtigen CLI-Suite. Die + Unix-Philosophie "do one thing well" ermöglicht granulare Kontrolle über + jeden Analyse-Schritt. Besonders innovativ: r2pipe-Integration bindet das + Framework in Python, Node.js, Go-Scripts ein, Visual-Mode bietet + Pseudo-GUI im Terminal, Project-Files speichern komplexe Analysen + persistent. Über 20 Architekturen unterstützt von x86 bis WebAssembly. + Die aktive Community entwickelt ständig neue Features: + r2ghidra-Decompiler, r2dec für Pseudocode, cutter als GUI- Frontend. + Besonders stark bei Firmware-Analyse und CTF-Challenges. Die steep-Learning-Curve wird durch unübertroffene Flexibilität belohnt. Docker-Images vereinfachen Deployment. Die LGPL-Lizenz ermöglicht kommerzielle Integration. Perfekt für Sicherheitsforscher die maximale @@ -4074,12 +4054,12 @@ tools: Integration für Interactive-Analysis. Web-UI demokratisiert Memory- Forensics für Non-CLI-Users. Machine-Learning-Plugins für Anomaly- Detection. Enterprise-Features: Distributed-Analysis, - Multi-Investigator-Collaboration, Case-Management. Die Development - wurde 2018 eingestellt zugunsten anderer Google-Projekte, aber - Community-Forks setzen Entwicklung fort. Legacy-Code läuft noch - stable für viele Use-Cases. Historical-Significance als Volatility- - Herausforderer und Cloud-Memory-Forensics-Pioneer. Lessons-Learned - fließen in moderne Tools wie Velociraptor ein. + Multi-Investigator-Collaboration, Case-Management. Die Development wurde + 2018 eingestellt zugunsten anderer Google-Projekte, aber Community-Forks + setzen Entwicklung fort. Legacy-Code läuft noch stable für viele + Use-Cases. Historical-Significance als Volatility- Herausforderer und + Cloud-Memory-Forensics-Pioneer. Lessons-Learned fließen in moderne Tools + wie Velociraptor ein. skillLevel: advanced url: https://github.com/google/rekall icon: 🧬 @@ -4101,19 +4081,20 @@ tools: type: software description: >- Die Open-Source-IDS/IPS-Engine der OISF revolutioniert Netzwerk-Security- - Monitoring durch Multi-Threading und moderne Protokoll-Decoder. Lua-Scripts - ermöglichen Custom-Detection-Logic jenseits einfacher Pattern-Matching. - Besonders mächtig: HTTP-Keyword-Matching in Request-Bodies, TLS-Certificate- - Fingerprinting, DNS-Tunneling-Detection, File-Extraction aus Netzwerk- - Streams. Die JSON-Ausgabe integriert nahtlos in ELK-Stack oder Splunk. - Rule-Updates von Proofpoint, Emerging-Threats halten Signaturen aktuell. - Bypass-Funktionen reduzieren False-Positives bei bekanntem Traffic. - Hardware-Acceleration durch DPDK/PF_RING steigert Performance auf 100Gbit+. - Cluster-Mode verteilt Load über mehrere Instanzen. Die Engine bildet das - Herzstück kommerzieller SIEM-Systeme von Elastic Security bis Wazuh. - Python-Output-Plugins ermöglichen Custom-Integrations. Unverzichtbar für - moderne SOCs die leistungsstarke Threat-Detection ohne Vendor-Lock-in - benötigen. Der De-facto-Standard für Open-Source-NSM. + Monitoring durch Multi-Threading und moderne Protokoll-Decoder. + Lua-Scripts ermöglichen Custom-Detection-Logic jenseits einfacher + Pattern-Matching. Besonders mächtig: HTTP-Keyword-Matching in + Request-Bodies, TLS-Certificate- Fingerprinting, DNS-Tunneling-Detection, + File-Extraction aus Netzwerk- Streams. Die JSON-Ausgabe integriert nahtlos + in ELK-Stack oder Splunk. Rule-Updates von Proofpoint, Emerging-Threats + halten Signaturen aktuell. Bypass-Funktionen reduzieren False-Positives + bei bekanntem Traffic. Hardware-Acceleration durch DPDK/PF_RING steigert + Performance auf 100Gbit+. Cluster-Mode verteilt Load über mehrere + Instanzen. Die Engine bildet das Herzstück kommerzieller SIEM-Systeme von + Elastic Security bis Wazuh. Python-Output-Plugins ermöglichen + Custom-Integrations. Unverzichtbar für moderne SOCs die leistungsstarke + Threat-Detection ohne Vendor-Lock-in benötigen. Der De-facto-Standard für + Open-Source-NSM. skillLevel: intermediate url: https://suricata.io icon: 🛡️ @@ -4174,9 +4155,10 @@ tools: direkt. Integration mit forensischen Workstations über API. Der Specialist-License (499€) bietet erweiterte Forensik-Features, während die Standard-Version (38€) bereits beeindruckende Capabilities liefert. - Die kompakte Exe-Datei (2MB) läuft ohne Installation. Besonders geschätzt: - die präzise Byte-Level-Kontrolle die bei komplexen Datenrettungen - entscheidend ist. Der Geheimtipp vieler Forensiker für Spezialfälle. + Die kompakte Exe-Datei (2MB) läuft ohne Installation. Besonders + geschätzt: die präzise Byte-Level-Kontrolle die bei komplexen + Datenrettungen entscheidend ist. Der Geheimtipp vieler Forensiker für + Spezialfälle. skillLevel: intermediate url: https://x-ways.net/winhex icon: 🗜️ @@ -4202,13 +4184,13 @@ tools: für Volatility-Auto-Detection. Besonders clever: Pagefile-Integration erweitert verfügbaren Memory-Space, Registry-Acquisition parallel zum RAM-Dump, Hash-Verification für forensische Integrität. Driver-Signing - für Secure-Boot-Kompatibilität. Die Portable-Version läuft ohne Installation - von USB-Stick. JSON-Metadata dokumentiert System-Configuration zum - Akquisitionszeitpunkt. Performance-Optimierung für SSD-Storage. - Integration in KAPE-Workflows für automatisierte Collection. Der - Open-Source-Ansatz ermöglicht Anpassungen für spezielle Anforderungen. - Standard-Tool für Windows-Memory-Forensics wenn kommerzielle Alternativen - nicht verfügbar oder zu teuer sind. + für Secure-Boot-Kompatibilität. Die Portable-Version läuft ohne + Installation von USB-Stick. JSON-Metadata dokumentiert + System-Configuration zum Akquisitionszeitpunkt. Performance-Optimierung + für SSD-Storage. Integration in KAPE-Workflows für automatisierte + Collection. Der Open-Source-Ansatz ermöglicht Anpassungen für spezielle + Anforderungen. Standard-Tool für Windows-Memory-Forensics wenn + kommerzielle Alternativen nicht verfügbar oder zu teuer sind. skillLevel: advanced url: https://winpmem.velocidex.com icon: 💾 @@ -4231,17 +4213,17 @@ tools: Das programmierbare Netzwerk-Analysis-Framework (vormals Bro) geht weit über traditionelle Packet-Inspection hinaus - es interpretiert Protokolle und extrahiert strukturierte Logs für forensische Analyse. Die eingebaute - Scripting-Sprache ermöglicht Custom-Protocol-Decoder und Anomalie-Detection- - Logic. Besonders wertvoll: Connection-Logs zeigen alle Netzwerk-Sessions, - HTTP/DNS/TLS-Logs extrahieren Metadaten, File-Analysis erkennt übertragene - Malware automatisch. Integration mit Intelligence-Frameworks für IOC- - Matching. Cluster-Deployment skaliert auf Enterprise-Netzwerke. Die - Script-Community teilt Detectors für moderne Threats: Cobalt-Strike- - Beacons, DNS-Tunneling, Lateral-Movement-Patterns. Real-Time-Streaming - zu SIEMs oder Offline-Analysis für Incident-Response. Die Lernkurve ist - steil aber die Analysemächtigkeit unübertroffen. Basis für kommerzielle - NSM-Lösungen und akademische Forschung. Standard in Security-Teams die - Netzwerk-Forensik ernst nehmen. + Scripting-Sprache ermöglicht Custom-Protocol-Decoder und + Anomalie-Detection- Logic. Besonders wertvoll: Connection-Logs zeigen alle + Netzwerk-Sessions, HTTP/DNS/TLS-Logs extrahieren Metadaten, File-Analysis + erkennt übertragene Malware automatisch. Integration mit + Intelligence-Frameworks für IOC- Matching. Cluster-Deployment skaliert auf + Enterprise-Netzwerke. Die Script-Community teilt Detectors für moderne + Threats: Cobalt-Strike- Beacons, DNS-Tunneling, Lateral-Movement-Patterns. + Real-Time-Streaming zu SIEMs oder Offline-Analysis für Incident-Response. + Die Lernkurve ist steil aber die Analysemächtigkeit unübertroffen. Basis + für kommerzielle NSM-Lösungen und akademische Forschung. Standard in + Security-Teams die Netzwerk-Forensik ernst nehmen. skillLevel: advanced url: https://zeek.org icon: 📈 @@ -4261,19 +4243,21 @@ tools: - name: osquery type: software description: >- - Facebooks revolutionäre Endpoint-Telemetry-Engine transformiert Betriebssystem- - Zustand in SQL-Queries für forensische Untersuchungen. Das "Operating System - as Database"-Konzept ermöglicht Abfragen wie "SELECT * FROM processes WHERE - name LIKE '%malware%'". Über 200 Tables exposieren System-Internals: Prozesse, - Netzwerkverbindungen, Dateien, Registry, Scheduled-Tasks. Besonders mächtig - für Fleet-Wide-Hunting: eine Query durchsucht tausende Endpoints parallel. - Die Event-Framework publiziert Changes in Real-Time. Extensions erweitern - für Cloud-APIs, YARA-Scanning, Custom-Tables. JSON-Output integriert nahtlos - in SIEMs. Distributed-Queries über TLS-verschlüsselte Channels. Der - Lightweight-Agent (< 50MB RAM) minimiert Performance-Impact. Configuration- - Management via JSON/YAML. Die Active-Community entwickelt ständig neue - Tables. Basis für zahlreiche kommerzielle Endpoint-Security-Produkte. - Unverzichtbar für moderne Threat-Hunting und Incident-Response at Scale. + Facebooks revolutionäre Endpoint-Telemetry-Engine transformiert + Betriebssystem- Zustand in SQL-Queries für forensische Untersuchungen. Das + "Operating System as Database"-Konzept ermöglicht Abfragen wie "SELECT * + FROM processes WHERE name LIKE '%malware%'". Über 200 Tables exposieren + System-Internals: Prozesse, Netzwerkverbindungen, Dateien, Registry, + Scheduled-Tasks. Besonders mächtig für Fleet-Wide-Hunting: eine Query + durchsucht tausende Endpoints parallel. Die Event-Framework publiziert + Changes in Real-Time. Extensions erweitern für Cloud-APIs, YARA-Scanning, + Custom-Tables. JSON-Output integriert nahtlos in SIEMs. + Distributed-Queries über TLS-verschlüsselte Channels. Der + Lightweight-Agent (< 50MB RAM) minimiert Performance-Impact. + Configuration- Management via JSON/YAML. Die Active-Community entwickelt + ständig neue Tables. Basis für zahlreiche kommerzielle + Endpoint-Security-Produkte. Unverzichtbar für moderne Threat-Hunting und + Incident-Response at Scale. skillLevel: intermediate url: https://osquery.io icon: 🗄️ @@ -4295,19 +4279,19 @@ tools: type: software description: >- Der 1987 entwickelte Packet-Sniffer bleibt nach fast 40 Jahren das - fundamentale Tool für Netzwerk-Troubleshooting und Traffic-Analysis. - Die BPF-Filter-Syntax (Berkeley Packet Filter) ermöglicht chirurgisch - präzise Packet-Selektion: "host 192.168.1.1 and port 80". Besonders - wertvoll: Memory-effiziente Capture auch bei High-Speed-Interfaces, + fundamentale Tool für Netzwerk-Troubleshooting und Traffic-Analysis. Die + BPF-Filter-Syntax (Berkeley Packet Filter) ermöglicht chirurgisch präzise + Packet-Selektion: "host 192.168.1.1 and port 80". Besonders wertvoll: + Memory-effiziente Capture auch bei High-Speed-Interfaces, ASCII/Hex-Output für Quick-Analysis, Timestamp-Precision für - Timeline-Correlation. Ring-Buffer-Mode rotiert Captures automatisch. - Die libpcap-Basis macht Captures kompatibel zu allen Major-Analysis-Tools. + Timeline-Correlation. Ring-Buffer-Mode rotiert Captures automatisch. Die + libpcap-Basis macht Captures kompatibel zu allen Major-Analysis-Tools. Remote-Capture via SSH-Tunneling für Network-Forensics. Integration in - Scripts für automatisierte Collection. Besonders geschätzt: die Stabilität - auch bei defekten Frames, minimaler CPU-Overhead, verfügbar auf jedem - Unix-System ohne Installation. Der Syntax mag archaisch wirken, aber die - Effizienz ist unübertroffen. Basis-Skill für jeden Netzwerk-Forensiker - und oft einziges Tool in restricted Environments. + Scripts für automatisierte Collection. Besonders geschätzt: die + Stabilität auch bei defekten Frames, minimaler CPU-Overhead, verfügbar + auf jedem Unix-System ohne Installation. Der Syntax mag archaisch wirken, + aber die Effizienz ist unübertroffen. Basis-Skill für jeden + Netzwerk-Forensiker und oft einziges Tool in restricted Environments. skillLevel: intermediate url: https://www.tcpdump.org icon: 🐙 @@ -4329,21 +4313,20 @@ tools: type: software description: >- Der kostenlose Windows-Debugger revolutioniert Malware-Analysis durch - intuitive GUI und Plugin-Ecosystem. Ersetzt den veralteten OllyDbg - mit moderner 64-Bit-Architektur und Active-Development. Besonders - stark: Anti-Anti-Debug-Plugins umgehen Evasion-Techniken, - Script-Engine automatisiert repetitive Tasks, Memory-Map-Viewer - zeigt Process-Layout übersichtlich. Die Plugin-Community entwickelt - ständig neue Extensions: Unpacker für gepackte Malware, Crypto- - Finder identifiziert Verschlüsselungsroutinen, API-Logger trackt - System-Calls. Integrated-Disassembler mit Syntax-Highlighting. - Conditional-Breakpoints für Complex-Debugging-Scenarios. - Multi-Threading-Support für moderne Malware. Export-Funktionen - für weitere Analysis. Die portable Version läuft von USB-Stick. - Besonders wertvoll: Zero-Cost für Hobbyisten und kleine Teams - bei Professional-Level-Features. Active-Community in Discord/GitHub - hilft bei Problemen. Der De-facto-Standard für Windows-Malware- - Dynamic-Analysis ohne Budget-Constraints. + intuitive GUI und Plugin-Ecosystem. Ersetzt den veralteten OllyDbg mit + moderner 64-Bit-Architektur und Active-Development. Besonders stark: + Anti-Anti-Debug-Plugins umgehen Evasion-Techniken, Script-Engine + automatisiert repetitive Tasks, Memory-Map-Viewer zeigt Process-Layout + übersichtlich. Die Plugin-Community entwickelt ständig neue Extensions: + Unpacker für gepackte Malware, Crypto- Finder identifiziert + Verschlüsselungsroutinen, API-Logger trackt System-Calls. + Integrated-Disassembler mit Syntax-Highlighting. Conditional-Breakpoints + für Complex-Debugging-Scenarios. Multi-Threading-Support für moderne + Malware. Export-Funktionen für weitere Analysis. Die portable Version + läuft von USB-Stick. Besonders wertvoll: Zero-Cost für Hobbyisten und + kleine Teams bei Professional-Level-Features. Active-Community in + Discord/GitHub hilft bei Problemen. Der De-facto-Standard für + Windows-Malware- Dynamic-Analysis ohne Budget-Constraints. skillLevel: advanced url: https://x64dbg.com icon: 🐛 @@ -4743,18 +4726,17 @@ tools: Die legendäre WLAN-Security-Suite vereint seit 2006 alle Tools für 802.11-Penetration-Testing und Forensic-WLAN-Analysis. Airodump-ng sammelt Packets und zeigt Hidden-Networks, Aireplay-ng injiziert - Deauth-Frames für Handshake-Capture, Aircrack-ng selbst bricht - WEP-Keys in Minuten und WPA2-PSKs mit Dictionary-Attacks. Besonders - wertvoll für Forensik: Packet-Capture-Analysis identifiziert - Rogue-APs, Client-Probing-Behavior enthüllt Bewegungsprofile, - WPS-PIN-Recovery bei Legacy-Routern. Die GPU-Acceleration - (via pyrit/hashcat) beschleunigt PSK-Cracking dramatisch. - Support für moderne Standards: WPA3-Transition-Mode, 802.11ac/ax. - Scripting-Interface automatisiert Mass-Assessments. - Cross-Platform-Verfügbarkeit mit Hardware-Treiber-Support. - Forensic-Mode bewahrt Evidence-Integrity. Integration in - Penetration-Testing-Frameworks. Der Klassiker für WLAN-Forensik - wenn moderne Enterprise-WLANs kompromittiert wurden. + Deauth-Frames für Handshake-Capture, Aircrack-ng selbst bricht WEP-Keys + in Minuten und WPA2-PSKs mit Dictionary-Attacks. Besonders wertvoll für + Forensik: Packet-Capture-Analysis identifiziert Rogue-APs, + Client-Probing-Behavior enthüllt Bewegungsprofile, WPS-PIN-Recovery bei + Legacy-Routern. Die GPU-Acceleration (via pyrit/hashcat) beschleunigt + PSK-Cracking dramatisch. Support für moderne Standards: + WPA3-Transition-Mode, 802.11ac/ax. Scripting-Interface automatisiert + Mass-Assessments. Cross-Platform-Verfügbarkeit mit + Hardware-Treiber-Support. Forensic-Mode bewahrt Evidence-Integrity. + Integration in Penetration-Testing-Frameworks. Der Klassiker für + WLAN-Forensik wenn moderne Enterprise-WLANs kompromittiert wurden. skillLevel: advanced url: https://www.aircrack-ng.org/ icon: 📦