diff --git a/src/components/AIQueryInterface.astro b/src/components/AIQueryInterface.astro index eeb613d..4c8f51e 100644 --- a/src/components/AIQueryInterface.astro +++ b/src/components/AIQueryInterface.astro @@ -242,13 +242,13 @@ document.addEventListener('DOMContentLoaded', () => { placeholder: "Beschreiben Sie Ihr forensisches Szenario... z.B. 'Verdacht auf Ransomware-Angriff auf Windows-Domänencontroller mit verschlüsselten Dateien und verdächtigen Netzwerkverbindungen'", description: "Beschreiben Sie Ihr forensisches Szenario und erhalten Sie maßgeschneiderte Empfehlungen basierend auf bewährten DFIR-Workflows und der verfügbaren Software-Datenbank.", submitText: "Empfehlungen generieren", - loadingText: "Analysiere Szenario und generiere Empfehlungen..." + loadingText: "Analysiere Szenario und generiere Empfehlungen. Eine Anfrage kann auch länger als eine Minute dauern." }, tool: { placeholder: "Beschreiben Sie Ihr spezifisches Problem oder Ihre Anforderung... z.B. 'Ich benötige eine Anwendung zur Analyse von Android-Backups mit WhatsApp-Nachrichten und GPS-Daten'", description: "Beschreiben Sie Ihr spezifisches Problem oder Ihre Anforderung und erhalten Sie 1-3 gezielt passende Empfehlungen mit detaillierten Erklärungen zur optimalen Anwendung.", submitText: "Empfehlungen finden", - loadingText: "Analysiere Anforderungen und suche passende Methode..." + loadingText: "Analysiere Anforderungen und suche passende Methode. Eine Anfrage kann auch länger als eine Minute dauern." } }; diff --git a/src/data/tools.yaml b/src/data/tools.yaml index 73e9779..8b0a315 100644 --- a/src/data/tools.yaml +++ b/src/data/tools.yaml @@ -2,24 +2,35 @@ tools: - name: Autopsy type: software description: >- - Die führende Open-Source-Alternative zu kommerziellen Forensik-Suiten mit - intuitiver grafischer Oberfläche. Besonders stark in der Timeline-Analyse, - Keyword-Suche und dem Carving gelöschter Dateien. Die modulare - Plugin-Architektur erlaubt Erweiterungen für spezielle - Untersuchungsszenarien. Zwar komplexer als kommerzielle Lösungen, aber - dafür vollständig transparent und kostenfrei. + Die führende Open-Source-Forensik-Suite vereint hunderte Analyse-Module + unter einer intuitiven Oberfläche. Exzellent für Timeline-Rekonstruktion + durch automatische Korrelation von Dateisystem-Artefakten, + Registry-Einträgen und Log-Dateien. Das integrierte Keyword-Search-Modul + findet Beweise in gelöschten Dateien, Slack-Space und unallokierten + Bereichen. Die TSK-basierte Engine unterstützt alle gängigen Dateisysteme + von NTFS über ext4 bis APFS. Besonders wertvoll: Die PhotoRec-Integration + für signaturbasiertes Carving und die automatische Hash-Analyse gegen NSRL + und eigene Datenbanken. Plugins erweitern die Funktionalität für + Spezialfälle wie Smartphone-Forensik oder Cloud-Artefakte. skillLevel: intermediate url: https://www.autopsy.com/ - icon: 📦 + icon: 🔍 domains: - incident-response - static-investigations - malware-analysis - mobile-forensics - cloud-forensics + - fraud-investigation phases: - examination - analysis + - reporting + scenarios: + - scenario:disk_imaging + - scenario:file_recovery + - scenario:browser_history + - scenario:windows-registry tags: - gui - timeline @@ -27,9 +38,24 @@ tools: - keyword-search - plugin-support - opensource + - hash-analysis + - deleted-data + - artifact-extraction + - multi-user + - case-management + - report-generation + - tsk-framework + - scenario:disk_imaging + - scenario:file_recovery + - scenario:browser_history related_concepts: - SQL - Hash Functions & Digital Signatures + - Digital Evidence Chain of Custody + related_software: + - Plaso (log2timeline) + - PhotoRec + - RegRipper platforms: - Windows - Linux @@ -39,16 +65,23 @@ tools: - name: Volatility 3 type: software description: >- - Das Universalwerkzeug der Live-Forensik, unverzichtbar für die Analyse von - RAM-Dumps. Mit über 100 Plugins extrahiert es Prozesse, - Netzwerkverbindungen, Registry-Keys und versteckte Malware aus dem - Arbeitsspeicher. Die Python-basierte Architektur macht es flexibel - erweiterbar, erfordert aber solide Kommandozeilen-Kenntnisse. Version 3 - bringt deutliche Performance-Verbesserungen und bessere - Formatunterstützung. + Der Goldstandard für Memory-Forensik - komplett neu entwickelt für moderne + Ermittlungen. Version 3 (Feature-Parity Mai 2025) eliminiert das lästige + --profile durch automatische OS-Erkennung. Revolutionäre Performance durch + symbolbasierte Analyse verarbeitet Multi-GB-Dumps in Sekunden statt + Minuten. Über 100 Plugins dekodieren Prozesse, DLL-Injections, + Netzwerkverbindungen, Registry-Hives und versteckte Rootkits. Native + Python-3-Architektur mit Timeline-Integration und Cloud-Storage-Support + (S3, GCS). Neue Plugins: windows.hollowprocesses für Process-Ghosting, + linux.ebpf für Kernel-Hooks, windows.shimcachemem für Persistence. + YARA-Integration und Sigma-Rules direkt im Framework. Die intuitivere API + beschleunigt Plugin-Entwicklung drastisch. Unterstützt aktuelle Windows + 11, Linux 6.x und macOS Sonoma. Der Umstieg von V2 lohnt sich allein wegen + der Performance - Analysen die früher Stunden dauerten sind jetzt in + Minuten erledigt. skillLevel: advanced url: https://www.volatilityfoundation.org/ - icon: 📦 + icon: 🧠 domains: - incident-response - static-investigations @@ -59,15 +92,30 @@ tools: - analysis scenarios: - scenario:memory_dump + - scenario:credential_theft + - scenario:persistence + - scenario:remote_access tags: - command-line - plugin-support - scripting - memory-timeline + - process-analysis + - network-artifacts + - rootkit-detection + - code-injection + - yara-integration + - python-api - scenario:memory_dump - opensource related_concepts: - Hash Functions & Digital Signatures + - Regular Expressions (Regex) + related_software: + - YARA + - Rekall + - WinPmem + - LiME platforms: - Windows - Linux @@ -76,33 +124,45 @@ tools: license: VSL knowledgebase: false - name: TheHive 5 - icon: 🌐 + icon: 🐝 type: software description: >- - Moderne Security-Orchestrierungs-Plattform für die koordinierte - Incident-Response im Team. Integriert nahtlos mit MISP, Cortex und anderen - Security-Tools für automatisierte Workflows. Die kostenlose Community - Edition wurde 2021 eingestellt, was die Langzeitperspektive fraglich - macht. Für professionelle SOCs dennoch eine der besten - Kollaborations-Lösungen am Markt. + Die zentrale Incident-Response-Plattform orchestriert komplexe + Sicherheitsvorfälle vom ersten Alert bis zum Abschlussbericht. Jeder Case + wird strukturiert durch Observables (IOCs), Tasks und Zeitleisten + abgebildet. Die Cortex-Integration automatisiert Analysen durch Dutzende + Analyzer - von VirusTotal-Checks bis Sandbox-Detonation. + MISP-Synchronisation reichert Cases mit Threat-Intelligence an. Das + ausgeklügelte Rollen- und Rechtesystem ermöglicht sichere Zusammenarbeit + zwischen SOC-Analysten, Forensikern und Management. Templates + standardisieren Response-Prozesse nach Incident-Typ. Die RESTful API + integriert nahtlos mit SIEM, SOAR und Ticketing-Systemen. Metrics und KPIs + messen die Team-Performance. Nach Einstellung der Community Edition ist + die kommerzielle Lizenz für professionelle SOCs alternativlos. domains: - incident-response - static-investigations - malware-analysis - network-forensics + - fraud-investigation phases: + - data-collection + - examination - analysis - reporting platforms: - Web - related_software: null + related_software: + - MISP + - Cortex + - Elasticsearch domain-agnostic-software: - collaboration-general skillLevel: intermediate accessType: server-based - url: https://github.com/TheHive-Project/TheHive + url: https://strangebee.com/thehive/ projectUrl: '' - license: Community Edition (Free) / Commercial + license: Community Edition (Discontinued) / Commercial knowledgebase: false statusUrl: https://uptime.example.lab/api/badge/1/status tags: @@ -112,25 +172,40 @@ tools: - api - workflow - multi-user-support + - cortex-analyzer + - misp-integration + - playbooks + - metrics + - rbac + - template-driven related_concepts: - Digital Evidence Chain of Custody - name: MISP icon: 🌐 type: software description: >- - Das Rückgrat des modernen Threat-Intelligence-Sharings mit über 40.000 - aktiven Instanzen weltweit. Ermöglicht den strukturierten Austausch von - IoCs zwischen Organisationen und automatisierte Bedrohungsanalyse. Die - föderierte Architektur und umfangreiche Taxonomie machen es zum - De-facto-Standard für CTI. Besonders wertvoll durch die Integration in - SIEMs, Firewalls und andere Sicherheitssysteme. + Die Threat-Intelligence-Sharing-Plattform vernetzt über 10.000 + Organisationen weltweit im Kampf gegen Cyberkriminalität. Strukturiertes + Teilen von IOCs durch standardisierte Attribute: IP-Adressen, Domains, + Hashes, YARA-Rules, Malware-Samples. Die Galaxies und Taxonomien + klassifizieren Bedrohungen nach ATT&CK, Kill-Chain oder eigenen Schemata. + Föderierte Architektur ermöglicht selektives Sharing zwischen + vertrauenswürdigen Partnern. Correlation-Engine findet Zusammenhänge + zwischen scheinbar unabhängigen Incidents. Warninglists reduzieren + False-Positives durch Whitelisting bekannter Good-Entities. ZeroMQ-Feed + pusht IOCs in Echtzeit an Firewalls und SIEMs. Die ausgereiften APIs + (REST, PyMISP) automatisieren Threat-Intelligence-Workflows. Export in + STIX, OpenIOC und Dutzende andere Formate. Essenziell für proaktive + Verteidigung. domains: - incident-response - static-investigations - malware-analysis - network-forensics - cloud-forensics + - fraud-investigation phases: + - data-collection - examination - analysis platforms: @@ -149,26 +224,50 @@ tools: - api - threat-scoring - collaboration + - correlation-engine + - galaxy-clusters + - warninglists + - zeromq-feed + - stix-export + - federation + related_concepts: + - Hash Functions & Digital Signatures + related_software: + - TheHive 5 + - Cortex + - OpenCTI - name: Timesketch - icon: 📦 + icon: ⏱️ type: software description: >- - Google's Open-Source-Lösung für kollaborative Timeline-Analyse großer - Datensätze. Visualisiert und korreliert Ereignisse aus verschiedenen - Quellen in einer interaktiven Zeitachse. Die Plaso-Integration ermöglicht - automatisches Parsing hunderter Log-Formate. Ideal für komplexe Fälle mit - mehreren Analysten und Millionen von Zeitstempeln. + Googles Timeline-Analyse-Platform meistert die Herausforderung, Millionen + von Zeitstempeln aus heterogenen Quellen zu korrelieren. Die + Elasticsearch-Backend-Architektur ermöglicht Suchen über Jahre + forensischer Daten in Sekunden. Plaso/Log2timeline-Integration parst + automatisch über 300 Log-Formate in eine einheitliche Super-Timeline. + Collaborative Investigation durch geteilte Sketches, Kommentare und Saved + Searches. Die Timeline-Explorer visualisiert Ereignisse interaktiv mit + Heatmaps und Aktivitätsgraphen. Analyzers erkennen Anomalien wie + Login-Brute-Force oder Data-Exfiltration-Muster. Sigma-Rules werden direkt + auf Timelines angewendet. Stories dokumentieren Findings narrativ für + Management-Reports. Die Python-API ermöglicht automatisierte Analysen. + Unverzichtbar für Incidents mit komplexen zeitlichen Abläufen über + multiple Systeme. domains: - incident-response - static-investigations - network-forensics - cloud-forensics + - fraud-investigation phases: - analysis - reporting platforms: - Web - related_software: null + related_software: + - Plaso (log2timeline) + - Elasticsearch + - Kibana domain-agnostic-software: null skillLevel: intermediate accessType: server-based @@ -184,23 +283,38 @@ tools: - visualization - timeline-correlation - timeline-view - related_concepts: null + - elasticsearch-backend + - plaso-integration + - sigma-rules + - heatmaps + - anomaly-detection + - narrative-documentation + related_concepts: + - Regular Expressions (Regex) - name: Wireshark - icon: 📦 + icon: 🦈 type: software description: >- - Der unangefochtene König der Netzwerk-Protokoll-Analyse mit Support für - über 3000 Protokolle. Unverzichtbar für die Untersuchung von - Netzwerk-Anomalien, Malware-Kommunikation und Datenexfiltration. Die - mächtigen Display-Filter und Follow-Stream-Funktionen machen komplexe - Analysen zugänglich. Hauptnachteil: Benötigt vorhandene PCAP-Dateien, - eignet sich weniger für historische Analysen. + Der unangefochtene König der Netzwerk-Protokoll-Analyse dekodiert über + 3000 Protokolle von Ethernet bis zu exotischen ICS-Protokollen. + Display-Filter mit mächtiger Syntax ermöglichen chirurgisch präzise + Paket-Selektion. Follow-Stream rekonstruiert komplette TCP-Sessions, + HTTP-Uploads oder FTP-Transfers. Expert-Info identifiziert Anomalien wie + Retransmissions, Malformed Packets oder Protokoll-Violations. Die + Statistik-Funktionen visualisieren Conversations, IO-Graphs und + Protocol-Hierarchien. Export-Objekte extrahiert übertragene Dateien aus + HTTP, SMB oder TFTP. Coloring-Rules heben verdächtige Pakete hervor. + GeoIP-Integration zeigt geografische Verbindungsdaten. TLS-Decryption mit + Private Keys oder SSLKEYLOGFILE. Die Lua- und C-Plugin-API erlaubt + Custom-Dissectors. Unverzichtbar für Malware-C2-Analyse, + Data-Exfiltration-Erkennung und Netzwerk-Troubleshooting. domains: - incident-response - malware-analysis - network-forensics - cloud-forensics - ics-forensics + - fraud-investigation phases: - examination - analysis @@ -208,7 +322,10 @@ tools: - Windows - Linux - macOS - related_software: null + related_software: + - NetworkMiner + - tcpdump + - Arkime domain-agnostic-software: null skillLevel: intermediate accessType: download @@ -223,21 +340,37 @@ tools: - pcap-capture - cross-platform - session-reconstruction + - display-filters + - follow-stream + - expert-info + - statistics + - coloring-rules + - tls-decryption + related_concepts: + - Regular Expressions (Regex) - name: Magnet AXIOM - icon: 📦 + icon: 🧲 type: software description: >- - Die Rolls-Royce unter den kommerziellen Forensik-Suiten mit - beeindruckender Automatisierung. Glänzt besonders bei Cloud-Forensik mit - nativer Unterstützung für Google, Apple und Microsoft-Dienste. Die - KI-gestützte Bilderkennung und Connection-Analyse spart Ermittlern - wertvolle Zeit. Der Preis von mehreren zehntausend Euro macht es primär - für Behörden und Großunternehmen interessant. + Die Premium-Forensik-Suite revolutioniert digitale Ermittlungen durch + KI-gestützte Automatisierung. Cloud-Analyzer greifen direkt auf + Google-Konten, iCloud-Backups, Microsoft 365 und Social-Media-Plattformen + zu - mit richterlicher Anordnung oder Zugangsdaten. Die patentierte + IEF-Engine (Internet Evidence Finder) extrahiert Chat-Verläufe aus + hunderten Messenger-Apps. AXIOM Process parallelisiert Analysen auf + Multi-Core-Systemen für drastische Zeitersparnis. Connections-View + visualisiert Kommunikationsnetzwerke zwischen Personen. Die AI-basierte + Bilderkennung kategorisiert Millionen Bilder nach Inhalt - inklusive + CSAM-Detection mit PhotoDNA. Timeline-Analyse korreliert Aktivitäten über + alle Datenquellen. Mobile-Extraction via GrayKey-Integration. Der hohe + Preis (50.000€+) und Wartungskosten machen es primär für Behörden und + Konzerne attraktiv. Gerichtsfeste Reports mit Hash-Verifizierung. domains: - incident-response - static-investigations - mobile-forensics - cloud-forensics + - fraud-investigation phases: - data-collection - examination @@ -245,7 +378,9 @@ tools: - reporting platforms: - Windows - related_software: null + related_software: + - GrayKey + - Cellebrite UFED domain-agnostic-software: null skillLevel: beginner accessType: commercial @@ -260,26 +395,47 @@ tools: - mobile-app-data - automation-ready - court-admissible + - ai-categorization + - ief-engine + - connections-view + - timeline-analysis + - csam-detection + - parallel-processing + related_concepts: + - Digital Evidence Chain of Custody + - Hash Functions & Digital Signatures - name: Cellebrite UFED - icon: 📦 + icon: 📱 type: software description: >- - Der Goldstandard der mobilen Forensik mit legendären - Entsperrungsfähigkeiten für aktuelle Smartphones. Nutzt Zero-Day-Exploits - und Hardware-Schwachstellen für den Zugriff auf verschlüsselte Geräte. Die - Physical Analyzer Software macht die extrahierten Daten durch intelligente - Visualisierung verständlich. Mit Preisen im sechsstelligen Bereich und - ethischen Bedenken bezüglich der Käuferauswahl nicht unumstritten. + Der Goldstandard der mobilen Forensik knackt selbst aktuelle iPhones und + Android-Flaggschiffe durch Zero-Day-Exploits und proprietäre + Bypass-Methoden. Physical Extraction umgeht Verschlüsselung für + vollständigen Dateisystem-Zugriff. Logical Plus erweitert Standard-Backups + um gelöschte Daten. Advanced Services greifen auf Cellebrites + Exploit-Labor für besonders resistente Geräte zurück. Physical Analyzer + visualisiert extrahierte Daten intelligent: Timeline-Ansicht, + Geo-Location-Maps, Social-Network-Graphen, Kommunikations-Muster. + Project-VIC Integration für CSAM-Erkennung. Chain-of-Custody-Dokumentation + erfüllt höchste forensische Standards. Die Cloud-Analyzer-Lizenz + ermöglicht Zugriff auf über 50 Cloud-Services. Updates alle 3 Monate für + neue Geräte und Apps. Die ethischen Bedenken wegen Verkauf an autoritäre + Regime und Preise ab 15.000€ (plus jährliche Lizenzen) limitieren auf + Strafverfolgung und Großunternehmen. domains: - static-investigations - mobile-forensics + - fraud-investigation phases: - data-collection - examination - analysis platforms: - Windows - related_software: null + related_software: + - Magnet AXIOM + - Oxygen Forensic Suite + - MSAB XRY domain-agnostic-software: null skillLevel: beginner accessType: commercial @@ -294,19 +450,33 @@ tools: - decryption - physical-copy - dongle-license + - zero-day-exploits + - cloud-analyzer + - project-vic + - timeline-view + - geo-mapping + - advanced-services related_concepts: - SQL - Digital Evidence Chain of Custody - name: Cuckoo Sandbox 3 - icon: 🌐 + icon: 🥚 type: software description: >- - Die führende Open-Source-Sandbox für automatisierte Malware-Analyse in - isolierten Umgebungen. Zeichnet Systemaufrufe, Netzwerkverkehr und - Verhaltensänderungen während der Malware-Ausführung auf. Version 3 vom - CERT-EE bringt moderne Python-3-Unterstützung und verbesserte - Erkennungsumgehung. Die Einrichtung erfordert fundierte - Virtualisierungskenntnisse, belohnt aber mit detaillierten Reports. + Die automatisierte Malware-Analyse-Umgebung führt Schadsoftware + kontrolliert in isolierten VMs aus und dokumentiert jede Aktion. Version 3 + vom CERT-EE modernisiert die Architektur mit Python 3, verbesserter + Evasion-Resistenz und Cloud-Scale-Fähigkeiten. Behavioral Analysis trackt + API-Calls, Registry-Änderungen, Datei-Operationen und + Netzwerk-Kommunikation. PCAP-Recording für vollständige Traffic-Analyse. + Memory-Dumps werden automatisch mit Volatility analysiert. Simulated + Services täuschen Internet-Konnektivität vor. Anti-Anti-VM umgeht moderne + Sandbox-Erkennung. Distributed-Mode analysiert hunderte Samples parallel. + Die Reporting-Engine generiert detaillierte JSON/HTML-Reports mit MITRE + ATT&CK Mapping. YARA-Integration für Signatur-Matching. REST-API für + Integration in CI/CD-Pipelines. Die komplexe Installation erfordert + Virtualisierungs-Expertise, belohnt aber mit industrieller + Malware-Analyse-Kapazität. domains: - incident-response - malware-analysis @@ -316,7 +486,11 @@ tools: platforms: - Linux - Web - related_software: null + related_software: + - YARA + - Volatility 3 + - MISP + - VirusTotal domain-agnostic-software: null skillLevel: advanced accessType: server-based @@ -331,30 +505,52 @@ tools: - malware-unpacking - virtual-analysis - sandbox-reports + - api-monitoring + - network-capture + - memory-analysis + - mitre-attack + - distributed-analysis + - anti-evasion + related_concepts: + - Regular Expressions (Regex) - name: Ghidra - icon: 📦 + icon: 🔮 type: software description: >- - NSAs Geschenk an die Reverse-Engineering-Community als mächtige - Alternative zu IDA Pro. Der Decompiler verwandelt Maschinencode zurück in - lesbaren Pseudocode für tiefgehende Analyse. Unterstützt dutzende - Prozessorarchitekturen von x86 bis zu obskuren Embedded-Systemen. Die - steile Lernkurve wird durch die aktive Community und exzellente - Dokumentation gemildert. + NSAs Reverse-Engineering-Suite demokratisiert Binary-Analyse auf + IDA-Pro-Niveau. Der Decompiler transformiert Assembly in lesbaren C-Code + für intuitiveres Verständnis von Programm-Logik. Unterstützt über 30 + Prozessor-Architekturen von x86/x64 über ARM bis zu obskuren + Embedded-CPUs. Das Software Reverse Engineering Framework ermöglicht + kollaborative Analyse durch Ghidra-Server. PCode als Intermediate Language + vereinheitlicht Cross-Architecture-Analysen. Der Function-Graph + visualisiert Control-Flow. Data-Type-Manager rekonstruiert Strukturen und + Klassen. Script-Manager automatisiert mit Python/Java wiederkehrende + Analysen. Version Tracking vergleicht Binaries über Versionen. + Cryptographic-Signature-Finder identifiziert Verschlüsselungs-Routinen. + Die Extension-Architektur erlaubt Custom-Analyzers. Perfekt für + Malware-Dekonstruktion, Vulnerability-Research und Firmware-Analyse. Die + steile Lernkurve wird durch exzellente Dokumentation und + NSA-Trainingsmaterial gemildert. domains: - malware-analysis - ics-forensics + - static-investigations phases: - analysis platforms: - Windows - Linux - macOS - related_software: null + related_software: + - IDA Pro + - Radare2 + - x64dbg + - Binary Ninja domain-agnostic-software: null skillLevel: expert accessType: download - url: https://github.com/NationalSecurityAgency/ghidra + url: https://ghidra-sre.org/ projectUrl: '' license: Apache 2.0 knowledgebase: false @@ -365,21 +561,38 @@ tools: - cross-platform - scripting - opensource + - decompiler + - multi-architecture + - collaborative + - function-graph + - pattern-matching + - version-tracking + related_concepts: + - Regular Expressions (Regex) - name: Plaso (log2timeline) - icon: 📦 + icon: ⏰ type: software description: >- - Der industrielle Staubsauger für Zeitstempel - extrahiert aus hunderten - Quellen eine Super-Timeline. Parst Windows-Event-Logs, Browser-Historie, - Registry und vieles mehr in ein einheitliches Format. Die Integration mit - Timesketch ermöglicht die Visualisierung von Millionen Events. Performance - kann bei großen Datenmengen leiden, aber die Vollständigkeit ist - unübertroffen. + Der industrielle Timeline-Generator extrahiert Zeitstempel aus hunderten + Artefakt-Typen für lückenlose Aktivitäts-Rekonstruktion. Parsers für + Windows Event Logs, Registry, Prefetch, Browser-History, Mobile Apps, + Cloud-Services und Linux-Logs. Die Storage-Architektur verarbeitet + Terabytes von Daten effizient. Output in standardisierten Formaten für + Elasticsearch, Timesketch oder CSV. Besonders wertvoll: Normalisierung + verschiedener Zeitstempel-Formate und Zeitzonen in UTC. Filterung nach + Zeitraum, Artefakt-Typ oder Keywords. Die modulare Parser-Architektur + erlaubt einfache Erweiterung für neue Formate. Psort sortiert und + dedupliziert Events. Analysis-Plugins erkennen Anomalien wie Timestomping. + Docker-Support vereinfacht Deployment. Die Performance bei sehr großen + Datensätzen kann leiden, aber die Vollständigkeit der Timeline ist + unübertroffen. Integration mit Timesketch für kollaborative Analyse macht + es zum Forensik-Kraftpaket. domains: - incident-response - static-investigations - network-forensics - cloud-forensics + - mobile-forensics phases: - data-collection - examination @@ -387,7 +600,10 @@ tools: - Windows - Linux - macOS - related_software: null + related_software: + - Timesketch + - Autopsy + - Plaso (log2timeline) domain-agnostic-software: null skillLevel: intermediate accessType: download @@ -402,28 +618,44 @@ tools: - cross-platform - timeline-merge - time-normalization + - artifact-parser + - elasticsearch-export + - docker-support + - timestomping-detection + - modular-parsers + - batch-processing related_concepts: - Regular Expressions (Regex) - name: CyberChef - icon: 🌐 + icon: 👨‍🍳 type: software description: >- - Das digitale Schweizer Taschenmesser für Daten-Manipulation mit über 300 - Operations. Von Base64-Dekodierung über Verschlüsselung bis zur - Malware-Deobfuskation - alles im Browser. Die visuelle "Rezept"-Metapher - macht komplexe Transformationsketten intuitiv verständlich. Unverzichtbar - für CTF-Challenges und tägliche Forensik-Aufgaben gleichermaßen. + Das "Schweizer Taschenmesser" der Daten-Manipulation vereint über 400 + Operations für Encoding, Verschlüsselung, Analyse und Transformation. Die + visuelle "Rezept"-Metapher macht komplexe Operationsketten intuitiv: + Base64 dekodieren → XOR entschlüsseln → Strings extrahieren → Hashes + berechnen. Besonders wertvoll für Malware-Deobfuskation, CTF-Challenges + und forensische Datenanalyse. Magic-Mode erkennt automatisch Encodings. + Regex-Support für Pattern-Extraktion. Entropy-Visualisierung identifiziert + verschlüsselte Bereiche. Die Offline-Fähigkeit (läuft komplett im Browser) + macht es DSGVO-konform für sensible Daten. Import/Export von Rezepten für + Wiederverwendung. Unterstützt Dateien bis 2GB. Code-Beautifier für + JavaScript, JSON, XML. Image-Forensik mit EXIF-Extraktion. Die + GitHub-Version kann selbst gehostet werden. Unverzichtbar für jeden + digitalen Ermittler. domains: - incident-response - static-investigations - malware-analysis - network-forensics + - fraud-investigation phases: - examination - analysis platforms: - Web - related_software: null + related_software: + - GCHQ Tools domain-agnostic-software: null skillLevel: beginner accessType: server-based @@ -438,18 +670,33 @@ tools: - malware-unpacking - string-search - triage + - regex-operations + - magic-detection + - entropy-analysis + - recipe-based + - offline-capable + - data-transformation related_concepts: - Regular Expressions (Regex) + - Hash Functions & Digital Signatures - name: Velociraptor - icon: 🌐 + icon: 🦖 type: software description: >- - Die nächste Evolution der Endpoint-Forensik mit skalierbarer - Remote-Collection-Architektur. Die mächtige VQL-Abfragesprache ermöglicht - chirurgisch präzise Artefakt-Sammlung ohne Full-Disk-Images. - Hunt-Funktionen durchsuchen tausende Endpoints gleichzeitig nach - Kompromittierungs-Indikatoren. Die Lernkurve ist steil, aber die - Effizienzgewinne bei großen Infrastrukturen sind enorm. + Die nächste Evolution der Endpoint-Forensik skaliert digitale Ermittlungen + auf zehntausende Systeme. VQL (Velociraptor Query Language) ermöglicht + chirurgisch präzise Artefakt-Sammlung ohne Full-Disk-Images: "SELECT * + FROM glob('/Users/*/Downloads/*.exe')". Hunt-Kampagnen durchsuchen die + gesamte Infrastruktur parallel nach IOCs. Der Agent läuft mit minimalem + Footprint und sammelt Artefakte verschlüsselt. Notebooks für gespeicherte + Queries und Analysen. Die Timeline-Funktion korreliert Events über alle + Endpoints. Offline-Collector für Air-Gapped-Systeme. + Server-Event-Monitoring für Real-Time-Detection. Automatische Triage mit + Artifact-Packs. Die eingebaute Quarantäne isoliert kompromittierte + Systeme. Cloud-Native-Architektur mit Multi-Tenancy. GUI und CLI für + verschiedene Nutzergruppen. Die Lernkurve für VQL ist steil, aber die + Effizienz-Gewinne sind enorm. Perfekt für Enterprise-IR und + Threat-Hunting. domains: - incident-response - static-investigations @@ -466,7 +713,10 @@ tools: - Linux - macOS - Web - related_software: null + related_software: + - GRR Rapid Response + - osquery + - KAPE domain-agnostic-software: null skillLevel: advanced accessType: server-based @@ -482,16 +732,30 @@ tools: - scripting - cross-platform - triage + - vql-queries + - hunt-campaigns + - real-time-monitoring + - offline-collector + - artifact-packs + - multi-tenancy + related_concepts: + - SQL - name: GRR Rapid Response - icon: 🌐 + icon: 🚨 type: software description: >- - Googles Antwort auf Enterprise-Scale-Forensik für die Untersuchung von - Flotten mit tausenden Clients. Sammelt gezielt Artefakte und führt - Memory-Analysen remote durch, ohne Systeme offline zu nehmen. Weniger - Features als Velociraptor, dafür stabiler und einfacher in der Handhabung. - Die Python-API ermöglicht die Automatisierung wiederkehrender - Untersuchungen. + Googles Remote-Live-Forensik-Framework wurde für die Untersuchung ihrer + globalen Infrastruktur entwickelt. Skaliert auf hunderttausende Clients + mit minimalem Server-Overhead. Der Python-Agent sammelt Artefakte, führt + YARA-Scans durch und erstellt Timeline-Daten. Flow-basierte Architektur + für asynchrone Operationen. Rekall-Integration für Remote-Memory-Analyse. + Hunt-Feature für unternehmensweite IOC-Suche. Approval-Workflows für + datenschutzkonforme Ermittlungen. Die Admin-UI visualisiert Client-Status + und Collection-Progress. Export zu BigQuery für Big-Data-Analysen. Der + Output-Plugin-System integriert mit SIEMs und Ticketing. Besonders stark + bei Linux-Flotten. Die API ermöglicht Automatisierung wiederkehrender + Ermittlungen. Weniger Features als Velociraptor, dafür ausgereifter und + stabiler. Ideal für Organisationen mit großen, homogenen Infrastrukturen. domains: - incident-response - static-investigations @@ -505,7 +769,10 @@ tools: - Linux - macOS - Web - related_software: null + related_software: + - Velociraptor + - osquery + - Rekall domain-agnostic-software: null skillLevel: advanced accessType: server-based @@ -520,28 +787,48 @@ tools: - api - cross-platform - triage + - flow-architecture + - hunt-feature + - approval-workflow + - bigquery-export + - yara-scanning + - timeline-generation + related_concepts: + - Regular Expressions (Regex) - name: Arkime - icon: 📦 + icon: 🦈 type: software description: >- - Das Heavy-Metal-Tool für Full-Packet-Capture mit der Fähigkeit, Petabytes - an Netzwerkverkehr zu speichern. Indiziert in Echtzeit Metadaten für - blitzschnelle Suchen über Monate historischer Daten. Die Integration mit - Elasticsearch ermöglicht komplexe Queries über Sessions, IPs und Payloads. - Ressourcenhungrig aber unverzichtbar für ernsthafte Network Security - Monitoring Operations. + Das Full-Packet-Capture-Monster (früher Moloch) speichert und indiziert + Petabytes von Netzwerkverkehr für historische Forensik. Erfasst Traffic + mit 10Gbit/s+ und speichert PCAP mit intelligenter Kompression. Die + Elasticsearch-Integration ermöglicht Millisekunden-schnelle Suchen über + Monate von Daten: IPs, Ports, Protokolle, HTTP-Header, SSL-Zertifikate. + Session-Page visualisiert Verbindungen mit Protokoll-Dekodierung. + SPI-Graph zeigt Traffic-Patterns. WISE (With Intelligence See Everything) + reichert Daten mit Threat-Intel an. Arkime-Capture skaliert horizontal für + Multiple 10G-Links. Die Viewer-Permissions ermöglichen granulare + Zugriffskontrolle. Hunt-Jobs durchsuchen historische Daten nach neuen + IOCs. API für Integration mit SOC-Tools. Die Hardware-Anforderungen sind + massiv (TB RAM, PB Storage), aber für ernsthafte NSM unverzichtbar. + Perfekt für APT-Jagd und Incident-Rekonstruktion. domains: - incident-response - static-investigations - network-forensics - cloud-forensics + - malware-analysis phases: - data-collection - examination - analysis platforms: - Linux - related_software: null + related_software: + - Wireshark + - Elasticsearch + - Suricata + - Zeek domain-agnostic-software: null skillLevel: expert accessType: server-based @@ -556,15 +843,29 @@ tools: - historical-analysis - packet-filtering - distributed + - full-packet-capture + - threat-intel-enrichment + - horizontal-scaling + - api-driven + - hunt-jobs + - spi-graph + related_concepts: null - name: NetworkMiner - icon: 📦 + icon: ⛏️ type: software description: >- - Der benutzerfreundliche kleine Bruder von Wireshark mit Fokus auf Forensik - statt Live-Analyse. Extrahiert automatisch übertragene Dateien, Bilder und - Credentials aus PCAP-Dateien. Die intuitive GUI zeigt Hosts, Sessions und - DNS-Queries übersichtlich ohne komplexe Filter. Perfekt für Einsteiger und - schnelle Übersichten, an Grenzen bei verschlüsseltem Traffic. + Der forensische Netzwerk-Analyzer extrahiert Artefakte aus PCAP-Dateien + mit Fokus auf Inhalts-Rekonstruktion statt Paket-Details. Automatische + Extraktion von Dateien (Bilder, Dokumente, Executables) aus HTTP, FTP, + TFTP und SMB-Traffic. Credentials-Harvesting findet Passwörter in + Klartext- Protokollen. Host-Inventar mit OS-Fingerprinting, offenen Ports + und Services. DNS-Resolution-Timeline zeigt Domain-Lookups. Keyword-Search + über alle extrahierten Inhalte. Die Professional-Version bietet + Geo-IP-Lokalisierung, VoIP-Rekonstruktion und Kommandozeilen-Scripting. + Besonders wertvoll: Frame-Reassembly auch bei Packet-Loss. Export zu + CSV/XML für weitere Analyse. Die intuitive GUI macht es zugänglich für + Nicht-Netzwerk-Spezialisten. Limitiert bei verschlüsseltem Traffic, glänzt + bei Klartext-Protokollen und Malware-C2-Analyse. domains: - incident-response - static-investigations @@ -576,7 +877,10 @@ tools: platforms: - Windows - Linux - related_software: null + related_software: + - Wireshark + - tcpdump + - CapLoader domain-agnostic-software: null skillLevel: beginner accessType: download @@ -591,16 +895,29 @@ tools: - session-reconstruction - dns-resolution - triage + - credential-extraction + - os-fingerprinting + - keyword-search + - artifact-extraction + - cleartext-protocols + - frame-reassembly + related_concepts: null - name: ExifTool - icon: 📦 + icon: 📷 type: software description: >- - Der Metadaten-Maestro, der aus über 1000 Dateiformaten verborgene - Informationen extrahiert. Findet GPS-Koordinaten in Fotos, Autoren in - Dokumenten und Bearbeitungshistorien in PDFs. Die Kommandozeile mag - abschrecken, aber die Mächtigkeit ist unübertroffen. Ein Must-Have für - jede Forensik-Toolbox, oft der erste Schritt bei - Dokumenten-Untersuchungen. + Der universelle Metadaten-Extraktor liest und schreibt Informationen in + über 1200 Dateiformaten - von JPEG-EXIF über PDF-Metadata bis zu + proprietären RAW-Formaten. Findet versteckte Schätze: GPS-Koordinaten in + Smartphone-Fotos, Autoren-Informationen in Office-Dokumenten, + Änderungshistorien in PDFs, Kamera-Seriennummern in Bildern. Besonders + wertvoll für OSINT und Dokumenten-Forensik. Batch-Processing für tausende + Dateien. Timeline-Erstellung aus Datei-Zeitstempeln. Die -k Option behält + Original-Zeitstempel bei Analyse. JSON/XML-Export für programmatische + Weiterverarbeitung. Unterstützt verschachtelte Archive und eingebettete + Dokumente. Die Kommandozeile mag abschrecken, aber die Mächtigkeit ist + unübertroffen. GUI-Wrapper wie ExifToolGUI erleichtern Einsteigern den + Zugang. Unverzichtbar für jede digitale Ermittlung mit Multimedia-Bezug. domains: - incident-response - static-investigations @@ -613,7 +930,9 @@ tools: - Windows - Linux - macOS - related_software: null + related_software: + - ExifTool + - FOCA domain-agnostic-software: null skillLevel: novice accessType: download @@ -628,25 +947,42 @@ tools: - cross-platform - triage - system-metadata + - batch-processing + - timeline-creation + - json-export + - osint-tool + - document-forensics + - multimedia-analysis + related_concepts: null - name: Chainalysis - icon: 📦 + icon: ₿ type: software description: >- - Der Platzhirsch der Blockchain-Forensik mit Zugriff auf die größte - Krypto-Intelligence-Datenbank weltweit. Clustering-Algorithmen - identifizieren Exchanges, Mixer und Darknet-Märkte mit beeindruckender - Genauigkeit. Die Sanctions Screening und Compliance-Features machen es zur - ersten Wahl für Behörden. Lizenzkosten im sechsstelligen Bereich - limitieren den Zugang auf Großorganisationen. + Die Blockchain-Intelligence-Plattform ist Marktführer in Krypto-Forensik + mit der größten Attribution-Datenbank weltweit. Clustering-Algorithmen + identifizieren Millionen von Services: Exchanges, Darknet-Märkte, Mixer, + Ransomware-Wallets, Scams. Reactor visualisiert Transaktionsflüsse mit + automatischer Risikobewertung. KYT (Know Your Transaction) für Echtzeit- + Compliance. Sanctions Screening gegen OFAC und internationale Listen. Der + Investigation-Workflow traced Funds durch Mixer und Tumblers. Intelligente + Alerts bei verdächtigen Bewegungen. Court-Ready Reports mit + Blockchain-Beweiskette. Die API integriert in bestehende Case- + Management-Systeme. Unterstützt Bitcoin, Ethereum, und 100+ andere + Blockchains. Trainings und Zertifizierungen für Ermittler. Die + Lizenzkosten (sechsstellig) und US-Zentrierung limitieren auf + Großorganisationen, aber die Intelligence-Qualität ist unübertroffen. domains: - static-investigations - fraud-investigation + - incident-response phases: - analysis - reporting platforms: - Web - related_software: null + related_software: + - GraphSense + - Elliptic domain-agnostic-software: null skillLevel: intermediate accessType: commercial @@ -661,16 +997,30 @@ tools: - visualization - anomaly-detection - threat-scoring + - clustering-analysis + - compliance-screening + - transaction-tracing + - risk-assessment + - multi-blockchain + - api-integration + related_concepts: null - name: Neo4j - icon: 🌐 + icon: 🕸️ type: software description: >- - Die führende Graph-Datenbank verwandelt komplexe Beziehungsgeflechte in - verständliche Visualisierungen. Mit Cypher-Queries lassen sich - Verbindungen zwischen Personen, Transaktionen und Events aufdecken. - Besonders wertvoll für Social-Media-Analysen, Geldflüsse und - Organisations-Strukturen. Die Community Edition limitiert auf einen - Benutzer - für Teams ist die kommerzielle Version nötig. + Die führende Graph-Datenbank transformiert komplexe Beziehungsgeflechte in + verständliche Visualisierungen. Cypher-Query-Language ermöglicht intuitive + Abfragen: "MATCH (person)-[:TRANSFERRED_TO]->(account) RETURN *". Perfekt + für Fraud-Rings, Social-Networks, Geldwäsche-Netzwerke und + Kommunikations-Analysen. Graph-Algorithmen finden kürzeste Pfade, + Communities und Influencer. Der Visual-Graph-Explorer macht verborgene + Verbindungen sichtbar. Import aus CSV, JSON und relationalen Datenbanken. + Die APOC-Bibliothek bietet 450+ Prozeduren für erweiterte Analysen. Bloom + visualisiert für nicht-technische Stakeholder. Integration mit + Elasticsearch für Volltext-Suche. Multi-Datenbank für Case-Isolation. Die + Community-Edition (kostenlos) limitiert auf 1 User und 4 CPU-Cores. + Skaliert auf Milliarden von Nodes und Relationships. Unverzichtbar für + moderne Financial-Crime-Investigations. domains: - static-investigations - malware-analysis @@ -685,7 +1035,10 @@ tools: - Linux - macOS - Web - related_software: null + related_software: + - Maltego + - Gephi + - Linkurious domain-agnostic-software: null skillLevel: intermediate accessType: server-based @@ -701,19 +1054,36 @@ tools: - correlation-engine - cross-platform - api + - cypher-queries + - community-detection + - path-finding + - bloom-visualization + - apoc-procedures + - import-tools + related_concepts: + - SQL - name: QGIS - icon: 📦 + icon: 🗺️ type: software description: >- - Das Open-Source-GIS-Kraftpaket für die Visualisierung von Geodaten in - forensischen Untersuchungen. Erstellt aus GPS-Logs von Smartphones - beeindruckende Bewegungsprofile und Heatmaps. Die Python-Integration - ermöglicht automatisierte Analysen großer Datensätze. Unverzichtbar wenn - Fahrzeuge, Drohnen oder mobile Geräte mit Standortdaten involviert sind. + Das Open-Source Geographic Information System verwandelt Forensik-Daten + mit Geobezug in aussagekräftige Karten und Analysen. Visualisiert + Bewegungsprofile aus Smartphone-GPS, Fahrzeug-Telematik oder + Fitness-Trackern. Heatmaps zeigen Aufenthaltsschwerpunkte. Buffer-Analysen + identifizieren mögliche Treffpunkte. Die Python-Integration (PyQGIS) + automatisiert Massen-Datenverarbeitung. Import aus GPX, KML, CSV mit + Koordinaten. Temporal Controller animiert Bewegungen über Zeit. Spatial + Queries finden Überschneidungen: "Wer war wann am selben Ort?". + OpenStreetMap- Integration für Kontext. 3D-Visualisierung für + Drohnen-Flugpfade. Print Composer erstellt gerichtsfeste Karten. Die + steile Lernkurve wird durch exzellente Tutorials gemildert. Plugins + erweitern für Spezialfälle wie Cell-Tower-Analyse. Unverzichtbar wenn + Wo-und-Wann zur Schlüsselfrage wird. domains: - static-investigations - fraud-investigation - mobile-forensics + - incident-response phases: - analysis - reporting @@ -721,7 +1091,9 @@ tools: - Windows - Linux - macOS - related_software: null + related_software: + - Google Earth Pro + - ArcGIS domain-agnostic-software: null skillLevel: intermediate accessType: download @@ -736,15 +1108,82 @@ tools: - heatmap - scripting - cross-platform - - name: Nextcloud - icon: 🌐 + - movement-analysis + - temporal-animation + - spatial-queries + - 3d-visualization + - print-composer + - plugin-ecosystem + related_concepts: null + - name: Binwalk + icon: 🔬 type: software description: >- - Die Open-Source-Cloud-Suite als sichere Kollaborations-Zentrale für - Forensik-Teams. Bietet verschlüsselte Dateifreigabe, Office-Integration - und Videokonferenzen DSGVO-konform. Der eingebaute SSO-Provider - vereinfacht das Identity Management für andere Forensik-Tools. Skaliert - vom Raspberry Pi für kleine Teams bis zur High-Availability-Installation. + Der Firmware-Forensiker extrahiert versteckte Schätze aus IoT-Geräten, + Routern und Embedded Systems. Signature-Scanning identifiziert + eingebettete Dateisysteme (SquashFS, JFFS2, CramFS), komprimierte Archive + und verschlüsselte Bereiche. Automatische Extraktion mit -e Flag. Entropy- + Analyse visualisiert Zufälligkeit für Crypto-Erkennung. Die Rules-Engine + erlaubt Custom-Signaturen für proprietäre Formate. Besonders wertvoll für + IoT-Malware-Analyse, Router-Backdoor-Suche und IP-Kameras-Forensik. + 3D-Entropy-Plots mit -E. Hexdump-Integration für manuelle Inspektion. Die + Plugin-Architektur ermöglicht Erweiterungen. Oft der erste Schritt bei + Hardware-Forensik. Kombiniert mit QEMU für Firmware-Emulation. Die + False-Positive-Rate kann hoch sein, aber die Alternative ist manuelles + Hex-Editing. Essential für jeden, der mit Embedded Devices arbeitet. + domains: + - malware-analysis + - ics-forensics + - static-investigations + phases: + - examination + - analysis + platforms: + - Linux + - macOS + related_software: + - Firmware Analysis Toolkit + - FACT + - Ghidra + domain-agnostic-software: null + skillLevel: advanced + accessType: download + url: https://github.com/ReFirmLabs/binwalk + projectUrl: '' + license: MIT + knowledgebase: false + tags: + - command-line + - firmware-extraction + - signature-analysis + - file-carving + - entropy-check + - binary-decode + - iot-forensics + - embedded-analysis + - custom-signatures + - hexdump-view + - plugin-support + - 3d-entropy + related_concepts: null + - name: Nextcloud + icon: ☁️ + type: software + description: >- + Die DSGVO-konforme Cloud-Collaboration-Suite für sichere Forensik-Team- + Zusammenarbeit. End-to-End-Verschlüsselung schützt sensitive Ermittlungs- + daten. File-Sharing mit granularen Berechtigungen und Ablaufdaten. + Versionierung dokumentiert alle Änderungen. + Collabora/OnlyOffice-Integration für gemeinsame Berichterstellung. Talk + ermöglicht verschlüsselte Video- konferenzen für Remote-Teams. Der + Kalender koordiniert Ermittlungen. Flow automatisiert Workflows: "Wenn + Report fertig → Benachrichtige Team". Audit-Logs für Compliance. External + Storage bindet bestehende Shares ein. Die Federation vernetzt mehrere + Behörden-Instanzen. Two-Factor-Auth und SSO für Enterprise-Security. Apps + erweitern für Passwort-Management, Projekt-Boards und Notizen. Skaliert + vom Raspberry Pi für kleine Teams bis zur High-Availability-Cluster. Die + Kontrolle über die eigenen Daten macht es zur ersten Wahl für Behörden und + Consultants. domains: - incident-response - static-investigations @@ -758,7 +1197,9 @@ tools: - reporting platforms: - Web - related_software: null + related_software: + - Collabora Online + - OnlyOffice domain-agnostic-software: - collaboration-general skillLevel: novice @@ -775,81 +1216,29 @@ tools: - multi-user-support - encrypted-reports - rbac - - name: Gitea - icon: 🌐 - type: software - description: >- - Das leichtgewichtige Git-Repository für die Versionierung von - Forensik-Skripten und Dokumentation. Perfekt für die Verwaltung von - YARA-Rules, Volatility-Plugins und Analysetools im Team. Die eingebaute - CI/CD-Pipeline automatisiert Tool-Deployments und Qualitätschecks. - Ressourcenschonend genug für den Betrieb auf einem NAS oder Mini-Server. - domains: - - incident-response - - malware-analysis - phases: - - reporting - platforms: - - Web - related_software: null - domain-agnostic-software: - - collaboration-general - skillLevel: beginner - accessType: server-based - url: https://gitea.io/ - projectUrl: https://git.cc24.dev - license: MIT - knowledgebase: null - statusUrl: https://status.mikoshi.de/api/badge/18/status - tags: - - web-interface + - end-to-end-encryption + - audit-logging + - workflow-automation + - video-conferencing - version-control - - git-integration - - collaboration - - multi-user-support - - automation-ready - - name: Binwalk - icon: 📦 + - federation + related_concepts: + - Digital Evidence Chain of Custody + - name: Kali Linux type: software description: >- - Der Firmware-Flüsterer, der aus IoT-Geräten und Routern ihre Geheimnisse - extrahiert. Erkennt eingebettete Dateisysteme, komprimierte Archive und - versteckte Partitionen automatisch. Besonders wertvoll für die Analyse von - Embedded-Malware und Backdoors in Smart Devices. Die Magie liegt in den - Signaturen - mit eigenen Rules erweiterbar für spezielle Formate. - domains: - - malware-analysis - - ics-forensics - phases: - - examination - - analysis - platforms: - - Linux - - macOS - related_software: null - domain-agnostic-software: null - skillLevel: advanced - accessType: download - url: https://github.com/ReFirmLabs/binwalk - projectUrl: '' - license: MIT - knowledgebase: false - tags: - - command-line - - firmware-extraction - - signature-analysis - - file-carving - - entropy-check - - binary-decode - - name: LibreOffice - icon: 📦 - type: software - description: >- - Die freie Office-Suite, die mehr kann als nur Berichte schreiben. Calc - eignet sich hervorragend für die Analyse von CSV-Exporten und Log-Dateien. - Die Makro-Funktionen ermöglichen die Automatisierung wiederkehrender - Auswertungen. Als Standardformat für Abschlussberichte unverzichtbar und - überall einsetzbar. + Die legendäre Penetration-Testing-Distribution dient Forensikern als + Schweizer Taschenmesser mit 600+ vorinstallierten Security-Tools. + Live-Boot ermöglicht forensische Untersuchungen ohne Host-Kontamination. + Forensics-Mode deaktiviert Auto-Mount und Netzwerk für saubere + Akquisition. Die Tool-Kategorien decken alle Phasen ab: Imaging (dc3dd), + Carving (Foremost), Memory-Analyse (Volatility), Netzwerk (Wireshark), + Mobile (ADB), Krypto (hashcat). Metapackages installieren Tool-Gruppen + gezielt. Die Rolling-Release-Natur hält alles aktuell. ARM-Images für + Raspberry Pi und Mobile-Forensik. NetHunter bringt Kali aufs Smartphone. + Anpassbare ISO-Builds für spezialisierte Teams. Die Dokumentation und + Community sind exzellent. Vorsicht: Viele Tools sind offensiv - klare + Policies nötig! Der Standard für Incident-Response-Teams weltweit. domains: - incident-response - static-investigations @@ -859,142 +1248,49 @@ tools: - mobile-forensics - cloud-forensics - ics-forensics - phases: - - examination - - analysis - - reporting - platforms: - - Windows - - Linux - - macOS - related_software: null - domain-agnostic-software: - - collaboration-general - skillLevel: novice - accessType: download - url: https://www.libreoffice.org/ - projectUrl: '' - license: Mozilla Public License Version 2.0 - knowledgebase: false - tags: - - gui - - reporting - - csv-export - - cross-platform - - macro-automation - - visualization - - name: Android Logical Imaging - icon: 📋 - type: method - description: >- - Es gibt immer wieder auch Fälle, wo man nicht allermodernste Mobilgeräte - knacken muss - der Großvater, der im Nachlass ein altes Samsung mit - wichtigen Daten hinterlassen hat. Es muss in diesn Fällen nicht der teure - Hersteller aus Israel sein. Die Androis-ADB-Shell bietet genug - Möglichkeiten, auch ohne viel Geld auszugeben an das logische Dateisystem - zu gelangen. Die Erfolgsaussichten sinken jedoch massiv bei neuren - Geräten. - domains: - - mobile-forensics - phases: - - data-collection - platforms: [] - skillLevel: advanced - accessType: null - url: https://claude.ai/public/artifacts/66785e1f-62bb-4eb9-9269-b08648161742 - projectUrl: null - license: null - knowledgebase: true - tags: - - command-line - - logical-copy - - mobile-app-data - - triage - - name: Microsoft Office 365 - type: software - description: >- - Der Industriestandard für professionelle Dokumentation mit nahtloser - Cloud-Integration. Excel's Power Query verwandelt komplexe - Forensik-Datensätze in aussagekräftige Visualisierungen. Die - Kollaborations-Features ermöglichen Echtzeit-Zusammenarbeit an Berichten. - Datenschutzbedenken bei Cloud-Speicherung sensibler Forensik-Daten sollten - bedacht werden. - domains: - - incident-response - - static-investigations - - malware-analysis - - fraud-investigation - - network-forensics - - mobile-forensics - - cloud-forensics - - ics-forensics - phases: - - examination - - analysis - - reporting - skillLevel: novice - url: https://www.office.com/ - icon: ☁️ - platforms: - - Windows - - macOS - - Web - accessType: commercial - license: Proprietary - knowledgebase: false - related_software: null - domain-agnostic-software: - - collaboration-general - tags: - - gui - - web-interface - - commercial - - collaboration - - visualization - - cloud-artifacts - - name: GraphSense - icon: 🌐 - type: software - description: >- - Die europäische Alternative zu Chainalysis mit Open-Source-Kern und Fokus - auf Privatsphäre. Clustering-Qualität noch nicht auf Chainalysis-Niveau, - dafür vollständige Kontrolle über die Daten. Die - Cassandra-Backend-Anforderungen machen Self-Hosting zur Herausforderung - für kleine Teams. Ideal für Organisationen, die Blockchain-Analysen ohne - US-Cloud-Abhängigkeit benötigen. - domains: - - static-investigations - - fraud-investigation - phases: - - analysis - - reporting - platforms: - - Web - related_software: null - domain-agnostic-software: null skillLevel: intermediate - accessType: server-based - url: https://graphsense.org/ - projectUrl: '' - license: MIT - knowledgebase: false + url: https://kali.org/ + icon: 🐉 + platforms: + - OS + accessType: download + license: GPL-3.0 + knowledgebase: true + related_software: + - Parrot Security OS + - SIFT Workstation + domain-agnostic-software: + - specific-os tags: - - web-interface - - blockchain-analysis + - gui + - command-line + - cross-platform + - live-acquisition + - write-blocker - opensource - - visualization - - anomaly-detection - - correlation-engine + - forensics-mode + - tool-collection + - arm-support + - nethunter + - custom-builds + - rolling-release + related_concepts: null - name: FTK Imager - icon: 📦 + icon: 💾 type: software description: >- - Der Oldtimer unter den Imaging-Tools, aber immer noch zuverlässig wie ein - Uhrwerk. Erstellt bit-genaue Kopien von Festplatten mit integrierter - Hash-Verifizierung für die Beweiskette. Die kostenlose Version reicht für - die meisten Aufgaben, unterstützt alle gängigen Image-Formate. Etwas - angestaubt in der Oberfläche, aber bewährt in tausenden Gerichtsverfahren. - Freeware, aber nicht open source. + Der Klassiker für Windows-basierte Disk-Akquisition erstellt gerichtsfeste + Images mit bewährter Zuverlässigkeit. Unterstützt RAW, SMART, E01 und AFF + Formate mit Kompression und Verschlüsselung. Die GUI führt durch den + Imaging-Prozess mit Hash-Verifizierung (MD5/SHA1). Preview-Mode ermöglicht + Triage ohne Full-Image. Memory-Capture für Live-RAM-Akquisition. Mount als + Read-Only für sichere Analyse. Die kostenlose Version deckt + Standard-Aufgaben ab, limitiert aber bei erweiterten Features. Besonders + geschätzt: Zuverlässigkeit bei defekten Sektoren, detaillierte Logs und + breite Gerichtsakzeptanz. Protected-Folder-Viewing für Systemdateien. + CLI-Version für Automatisierung. Die proprietäre Natur und Windows-Only + sind Nachteile, aber in vielen Labors der De-facto-Standard. Perfekt für + Einsteiger und Routine-Akquisitionen. domains: - static-investigations - incident-response @@ -1002,7 +1298,9 @@ tools: - data-collection platforms: - Windows - related_software: null + related_software: + - EnCase + - X-Ways Forensics domain-agnostic-software: null skillLevel: beginner accessType: download @@ -1017,87 +1315,640 @@ tools: - court-admissible - scenario:disk_imaging - ewf-support + - memory-capture + - preview-mode + - bad-sector-handling + - protected-folders + - cli-available + - triage related_concepts: - Hash Functions & Digital Signatures - Digital Evidence Chain of Custody - - name: Guymager - icon: 📦 + - name: YARA type: software description: >- - Das schlanke Linux-Imaging-Tool mit Fokus auf Performance und - Zuverlässigkeit. Multi-threaded Design nutzt moderne CPUs optimal für - schnellstmögliche Akquisition. Unterstützt RAW, EWF und AFF Formate mit - simultaner Hash-Berechnung. Die spartanische Oberfläche täuscht über die - solide Technik unter der Haube hinweg. + Die Pattern-Matching-Engine ist der De-facto-Standard für Malware- + Identifikation und Threat-Hunting. Rule-Syntax ermöglicht komplexe + Signaturen: Strings, Hex-Patterns, Regular Expressions, Bedingungen. Die + Community pflegt tausende Rules für bekannte Malware-Familien. Integration + in Forensik-Tools macht es allgegenwärtig: Volatility für Memory-Scans, + Cuckoo für Behavior-Matching, VirusTotal für Sample-Klassifikation. + Modules erweitern für PE-Analyse, Krypto- Erkennung und Macho-Parsing. Die + Condition-Syntax ermöglicht komplexe Logik: "any of ($a*) and filesize < + 200KB". Performance-Optimierung durch Aho-Corasick-Algorithmus. + Python-Bindings für Automatisierung. YARA-Editor erleichtert + Rule-Entwicklung. Die False-Positive-Rate erfordert sorgfältiges Tuning. + Unverzichtbar für proaktive Threat-Detection und Incident-Response. domains: - incident-response - - static-investigations + - malware-analysis phases: - - data-collection - platforms: - - Linux - related_software: null - domain-agnostic-software: null - skillLevel: novice - accessType: download - url: https://guymager.sourceforge.io/ - projectUrl: '' - license: GPL-2.0 - knowledgebase: false - tags: - - gui - - physical-copy - - multithreaded - - hashing - - scenario:disk_imaging - - ewf-support - related_concepts: - - Hash Functions & Digital Signatures - - Digital Evidence Chain of Custody - - name: Fuji - icon: 📦 - type: software - description: >- - Der Geheimtipp für macOS-Forensiker - Live-Imaging ohne - Kernel-Modifikationen. Umgeht geschickt Apples Sicherheitsmechanismen für - forensisch saubere Speicherabbilder. Besonders wertvoll da kommerzielle - Mac-Forensik-Tools rar und teuer sind. Die aktive Community sorgt für - Updates bei neuen macOS-Versionen. - domains: - - incident-response - - static-investigations - phases: - - data-collection - platforms: - - macOS - related_software: null - domain-agnostic-software: null + - examination + - analysis skillLevel: intermediate + url: https://virustotal.github.io/yara/ + icon: 🎯 + platforms: + - Windows + - Linux + - macOS accessType: download - url: https://github.com/Lazza/Fuji - projectUrl: '' - license: GPL-3.0 + license: BSD-3-Clause knowledgebase: false tags: - command-line - - live-acquisition - - physical-copy - - apfs - - scenario:disk_imaging - - zero-footprint - - name: ALEAPP - icon: 📦 + - yara-scan + - signature-analysis + - regex-search + - cross-platform + - memory-signatures + - pattern-matching + - rule-based + - module-support + - python-bindings + - community-rules + - performance-optimized + related_concepts: + - Regular Expressions (Regex) + - Hash Functions & Digital Signatures + related_software: + - Volatility 3 + - Cuckoo Sandbox 3 + - Loki + - name: Ghidra + icon: 🔮 type: software description: >- - Android-Forensik leicht gemacht - parst dutzende Apps und System-Artefakte - automatisch. Von WhatsApp-Chats über Standortdaten bis zu gelöschten - SQLite-Einträgen wird alles extrahiert. Die HTML-Reports sind gerichtsfest - aufbereitet mit Timeline und Kommunikationsanalyse. Teil der beliebten - LEAPP-Familie, ständig aktualisiert für neue Android-Versionen. + NSAs Reverse-Engineering-Suite demokratisiert Binary-Analyse auf + IDA-Pro-Niveau. Der Decompiler transformiert Assembly in lesbaren C-Code + für intuitiveres Verständnis von Programm-Logik. Unterstützt über 30 + Prozessor-Architekturen von x86/x64 über ARM bis zu obskuren + Embedded-CPUs. Das Software Reverse Engineering Framework ermöglicht + kollaborative Analyse durch Ghidra-Server. PCode als Intermediate Language + vereinheitlicht Cross-Architecture-Analysen. Der Function-Graph + visualisiert Control-Flow. Data-Type-Manager rekonstruiert Strukturen und + Klassen. Script-Manager automatisiert mit Python/Java wiederkehrende + Analysen. Version Tracking vergleicht Binaries über Versionen. + Cryptographic-Signature-Finder identifiziert Verschlüsselungs-Routinen. + Die Extension-Architektur erlaubt Custom-Analyzers. Perfekt für + Malware-Dekonstruktion, Vulnerability-Research und Firmware-Analyse. Die + steile Lernkurve wird durch exzellente Dokumentation und + NSA-Trainingsmaterial gemildert. + domains: + - malware-analysis + - ics-forensics + - static-investigations + phases: + - analysis + platforms: + - Windows + - Linux + - macOS + related_software: + - IDA Pro + - Radare2 + - x64dbg + - Binary Ninja + domain-agnostic-software: null + skillLevel: expert + accessType: download + url: https://ghidra-sre.org/ + projectUrl: '' + license: Apache 2.0 + knowledgebase: false + tags: + - gui + - binary-decode + - malware-unpacking + - cross-platform + - scripting + - opensource + - decompiler + - multi-architecture + - collaborative + - function-graph + - pattern-matching + - version-tracking + related_concepts: + - Regular Expressions (Regex) + - name: X-Ways Forensics + icon: 🔬 + type: software + description: >- + Das deutsche Präzisionswerkzeug maximiert Effizienz durch überlegene + Performance und durchdachte Workflows. Blitzschnelle Searches in + Multi-Terabyte-Images durch optimierte Algorithmen. Simultane Analyse + mehrerer Evidenzen spart Zeit. Die Gallery-View mit Skin-Tone-Detection + beschleunigt CSAM-Ermittlungen. X-Tensions automatisieren wiederkehrende + Aufgaben. Besonders stark: Physical-Search über Sektorgrenzen hinweg, + Registry-Report-Generator, Timeline mit Millisekunden-Präzision. Der + Hex-Editor zeigt Rohdaten parallel zur interpretierten Ansicht. + Template-Support für proprietäre Dateiformate. Die spartanische GUI + schreckt Einsteiger ab, aber Profis schätzen die Effizienz. Deutlich + günstiger als US-Konkurrenz (ab 2.500€) bei vergleichbarer Funktionalität. + Der legendäre Support durch Stefan Fleischmann persönlich. Made in Germany + mit Fokus auf Gründlichkeit statt Marketing. + domains: + - static-investigations + - incident-response + - fraud-investigation + phases: + - examination + - analysis + platforms: + - Windows + related_software: + - WinHex + - EnCase + - FTK Imager + domain-agnostic-software: null + skillLevel: expert + accessType: commercial + url: https://www.x-ways.net/forensics/ + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - gui + - commercial + - keyword-search + - fast-scan + - court-admissible + - dongle-license + - hex-editor + - gallery-view + - x-tensions + - physical-search + - registry-analysis + - template-support + related_concepts: + - Digital Evidence Chain of Custody + - name: Eric Zimmerman Tools + icon: 🧰 + type: software + description: >- + Die Tool-Suite des Windows-Forensik-Gurus Eric Zimmerman dekodiert + Windows-Artefakte mit unübertroffener Präzision. Jedes Tool ein + Spezialist: ShellBags Explorer zeigt Ordner-Zugriffe, PECmd parst Prefetch + für Programm-Ausführungen, AmcacheParser findet Programm- installationen, + JumpListExplorer enthüllt Recent Documents. Registry Explorer mit + Bookmarks und Plugins. MFTECmd extrahiert NTFS-Metadaten. Timeline + Explorer visualisiert CSV-Output aller Tools gemeinsam. KAPE orchestriert + die Tool-Collection. Besonders wertvoll: ständige Updates für neue + Windows-Versionen und Cloud-Artefakte wie OneDrive. Die + Kommandozeilen-Tools ermöglichen Batch-Processing. Kostenlos aber Spenden + erwünscht. Die aktive Community im Discord teilt Erfahrungen. + Dokumentation durch Cheat-Sheets und Blog-Posts. Der Goldstandard für + Windows-Forensik-Artefakte. + domains: + - incident-response + - static-investigations + - malware-analysis + phases: + - examination + - analysis + platforms: + - Windows + related_software: + - KAPE + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://ericzimmerman.github.io/ + projectUrl: '' + license: MIT + knowledgebase: false + tags: + - gui + - artifact-parser + - shellbags + - prefetch-viewer + - timeline + - jumplist + - registry-analysis + - mft-parser + - batch-processing + - cloud-artifacts + - community-driven + - free-tools + related_concepts: + - Digital Evidence Chain of Custody + - name: Regular Expressions (Regex) + icon: 🔤 + type: concept + description: >- + Die universelle Mustererkennungssprache ermöglicht komplexe Textsuchen und + Datenextraktion in der digitalen Forensik. Von einfachen Wildcards bis zu + komplexen Capture-Groups: IP-Adressen (\d{1,3}\.){3}\d{1,3}, + E-Mail-Adressen, Kreditkarten, Bitcoin-Adressen. Essentiell für + Log-Analyse, YARA-Rules, Grep-Searches und Data-Carving. Die Syntax + variiert zwischen Tools (PCRE, Python, grep), aber Grundkonzepte sind + universal. Quantifizierer (*, +, ?, {n,m}), Zeichenklassen ([a-z], \d, + \w), Anchors (^, $), Lookarounds für kontextuelle Matches. Online-Tester + wie regex101.com beschleunigen Entwicklung. Performance-Fallen bei + komplexen Patterns beachten. Integration in alle Major-Forensik-Tools + macht Regex-Kenntnisse unverzichtbar. Der Unterschied zwischen einem guten + und großartigen Forensiker liegt oft in der Regex-Beherrschung. + domains: + - incident-response + - malware-analysis + - network-forensics + - fraud-investigation + - static-investigations + phases: + - examination + - analysis + platforms: [] + related_software: + - CyberChef + - YARA + - Plaso (log2timeline) + - grep + domain-agnostic-software: null + skillLevel: intermediate + accessType: null + url: https://regexr.com/ + projectUrl: null + license: null + knowledgebase: true + tags: + - regex-search + - string-search + - log-parser + - automation-ready + - pattern-matching + - data-extraction + - text-processing + - capture-groups + - lookarounds + - performance-critical + - name: SQL + icon: 🗃️ + type: concept + description: >- + Die Structured Query Language ist das Rückgrat moderner Datenanalyse in + der digitalen Forensik. SQLite-Datenbanken dominieren mobile Forensik: + WhatsApp-Chats, Browser-History, App-Daten. Grundlegende Queries (SELECT, + JOIN, WHERE) bis zu komplexen Analysen mit Window-Functions und CTEs. + Forensik-spezifische Patterns: Timeline-Reconstruction mit ORDER BY + timestamp, Kommunikations-Analyse mit SELF-JOINs, Anomalie- Erkennung mit + GROUP BY/HAVING. Tools wie DB Browser for SQLite visualisieren Strukturen. + Vorsicht bei WAL-Mode und gelöschten Records. Python-Integration (sqlite3) + für Automatisierung. NoSQL- Grundlagen werden wichtiger (MongoDB in + Malware). Die Fähigkeit, aus Rohdaten Erkenntnisse zu extrahieren, macht + SQL zur Kernkompetenz. Unterschätzt aber unverzichtbar für moderne + Ermittlungen. + domains: + - incident-response + - mobile-forensics + - fraud-investigation + - cloud-forensics + - static-investigations + phases: + - examination + - analysis + platforms: [] + related_software: + - Autopsy + - ALEAPP + domain-agnostic-software: null + skillLevel: intermediate + accessType: null + url: https://www.w3schools.com/sql/ + projectUrl: null + license: null + knowledgebase: false + tags: + - sqlite-viewer + - correlation-engine + - mobile-app-data + - browser-history + - data-extraction + - timeline-queries + - join-operations + - aggregate-analysis + - wal-analysis + - python-integration + - name: Hash Functions & Digital Signatures + icon: 🔐 + type: concept + description: >- + Kryptographische Hash-Funktionen und digitale Signaturen bilden das + Fundament der digitalen Beweissicherung. MD5 (veraltet aber verbreitet), + SHA-1, SHA-256/512 für Integritätsprüfung. Kollisionsresistenz + gewährleistet Eindeutigkeit. Forensische Anwendungen: Datenträger- + Verifizierung vor/nach Imaging, Deduplizierung mit Hash-Sets (NSRL), + Known-Bad-Identifikation (Malware, CSAM). Rainbow-Tables für + Passwort-Cracking. Fuzzy-Hashing (ssdeep) für Ähnlichkeitsanalyse. + Digitale Signaturen authentifizieren Software und Dokumente. + Certificate-Chain-Analyse bei APT-Investigations. Timestamping für + Chain-of-Custody. Die Mathematik dahinter ist komplex, aber Anwendung ist + essentiell. Tools berechnen automatisch, aber Verständnis der Prinzipien + unterscheidet Profis von Amateuren. Blockchain als verteilte Hash-Kette + revolutioniert Evidence-Management. + domains: + - incident-response + - static-investigations + - malware-analysis + - cloud-forensics + - mobile-forensics + phases: + - data-collection + - examination + platforms: [] + related_software: + - md5sum / sha256sum + - hashdeep + - ssdeep + domain-agnostic-software: null + skillLevel: advanced + accessType: null + url: https://en.wikipedia.org/wiki/Cryptographic_hash_function + projectUrl: null + license: null + knowledgebase: false + tags: + - hashing + - integrity-check + - chain-of-custody + - standards-compliant + - deduplication + - known-bad-detection + - fuzzy-hashing + - digital-signatures + - timestamping + - blockchain-evidence + - name: Digital Evidence Chain of Custody + icon: ⛓️ + type: concept + description: >- + Die lückenlose Dokumentation digitaler Beweise von der Sicherstellung bis + zur Gerichtsverhandlung. Kernprinzipien: Authentizität, Integrität, + Nachvollziehbarkeit, Nicht-Abstreitbarkeit. Praktische Umsetzung durch + Hash-Verifizierung, Write-Blocker, detaillierte Dokumentation aller + Schritte. Formulare dokumentieren Wer/Was/Wann/Wo/Warum. Fotografische + Dokumentation der Hardware. Versiegelte Beweismitteltaschen mit + Tamper-Evidence. Digitale CoC durch Blockchain-Timestamping. ISO/IEC 27037 + als internationaler Standard. Gerichtliche Anforderungen variieren nach + Jurisdiktion. Fehler in der CoC können zur Beweisverwerfung führen. + Automatisierung durch LIMS (Laboratory Information Management Systems). + Die CoC ist kein technisches sondern ein prozedurales Thema - oft + unterschätzt aber entscheidend für erfolgreiche Verfahren. + domains: + - incident-response + - static-investigations + - fraud-investigation + - mobile-forensics + - cloud-forensics + phases: + - data-collection + - examination + - analysis + - reporting + platforms: [] + related_software: + - FRED + domain-agnostic-software: null + skillLevel: advanced + accessType: null + url: >- + https://www.unodc.org/e4j/en/cybercrime/module-6/key-issues/handling-of-digital-evidence.html + projectUrl: null + license: null + knowledgebase: true + tags: + - chain-of-custody + - standards-compliant + - court-admissible + - audit-trail + - documentation + - hash-verification + - tamper-evidence + - iso-27037 + - legal-compliance + - process-management + - name: MSAB XRY + type: software + description: >- + Die schwedische Alternative zu Cellebrite positioniert sich als ethischere + Wahl im Mobile-Forensik-Markt. Physical und Logical Extraction für iOS und + Android mit regelmäßigen Exploit-Updates. Besonders stark bei chinesischen + Smartphones (Huawei, Xiaomi) die Cellebrite vernachlässigt. Der + Drone-Module extrahiert Flugdaten von DJI und Parrot. XRY Camera + identifiziert Geräte aus Bildern. Die Analyze-Software visualisiert + Kommunikationsmuster und Bewegungs- profile. XAMN-Elements für + Link-Analyse zwischen mehreren Geräten. Cloud-Extraction für 30+ Services. + Die PIN-Code-Breaker-Hardware knackt 4-6 stellige Codes. Training und + Zertifizierung inklusive. Preislich mit Cellebrite vergleichbar (15.000€+) + aber mit transparenterer Verkaufspolitik. Die EU-Herkunft macht es für + europäische Behörden attraktiv. Updates alle 6-8 Wochen für neue Apps. + skillLevel: beginner + url: https://www.msab.com/product/xry-extract/ + icon: 📱 + domains: + - mobile-forensics + - static-investigations + - fraud-investigation + phases: + - data-collection + - examination + - analysis + platforms: + - Windows + accessType: download + license: Proprietary + knowledgebase: false + tags: + - gui + - commercial + - mobile-app-data + - physical-copy + - decryption + - court-admissible + - drone-forensics + - chinese-phones + - pin-cracking + - cloud-extraction + - link-analysis + - eu-based + related_concepts: + - SQL + - Digital Evidence Chain of Custody + related_software: + - Cellebrite UFED + - Oxygen Forensic Suite + - Magnet AXIOM + - name: OSFMount + icon: 💿 + type: software + description: >- + Das kostenlose Windows-Tool mountet Forensik-Images als virtuelle + Laufwerke für komfortable Analyse ohne Vollinstallation einer + Forensik-Suite. Unterstützt RAW (dd), E01 (EnCase), AFF, VHD, VMDK und + weitere Formate. Write-Cache-Modus schützt Original-Images vor + Veränderung. RAM-Disk-Feature für Performance bei kleinen Images. Die + Plugin-Architektur erweitert für exotische Formate. Besonders praktisch: + Partition-Selection bei Multi-Partition-Images, automatische + Offset-Erkennung, Unterstützung für Disk- und Memory-Images. Der + Image-Conversion-Wizard wandelt zwischen Formaten. Integration mit Windows + Explorer für gewohnte Navigation. Mounting von Volume Shadow Copies. Die + Freeware-Lizenz macht es zur ersten Wahl für Budget- bewusste Teams. + Limitiert bei verschlüsselten Images, glänzt bei Standard-Aufgaben. + Perfekt für schnelle Triage oder wenn kommerzielle Tools nicht verfügbar + sind. + domains: + - incident-response + - static-investigations + phases: + - examination + platforms: + - Windows + related_software: + - FTK Imager + domain-agnostic-software: null + skillLevel: beginner + accessType: download + url: https://www.osforensics.com/tools/mount-disk-images.html + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - gui + - virtual-machine + - ewf-support + - raw-image-support + - write-blocker + - triage + - format-conversion + - vss-support + - partition-selection + - ram-disk + - explorer-integration + - free-tool + related_concepts: + - Digital Evidence Chain of Custody + - name: Live Memory Acquisition Procedure + icon: 🧠 + type: method + description: >- + Die forensisch korrekte Sicherung des Arbeitsspeichers laufender Systeme + erfordert systematisches Vorgehen zur Minimierung der + Artefakt-Kontamination. Kritische Entscheidung: Priorisierung flüchtiger + Beweise vs. System-Stabilität. Tool-Auswahl nach OS: WinPmem (Windows), + LiME (Linux), osxpmem (macOS). Vorbereitung: Tool auf externem Medium, + Admin-Rechte sichern, Ziel-Storage mit ausreichend Platz. Durchführung: + Dokumentation des System-Zustands, Tool-Ausführung mit minimalen Befehlen, + Hash-Generierung sofort. Besondere Herausforderungen: + Kernel-Schutz-Mechanismen (PatchGuard, Secure Boot), + Anti-Forensik-Malware, Virtualisierte Umgebungen. Die ersten Sekunden + kontaminieren unweigerlich - Transparenz in der Dokumentation essentiell. + Post-Akquisition: Volatility-Profil erstellen, Timeline der Sammlung, + Vergleich mit Disk-Artefakten. Der Unterschied zwischen verwertbaren und + wertlosen Memory-Dumps liegt oft in der Methodik. + domains: + - incident-response + - static-investigations + - malware-analysis + phases: + - data-collection + platforms: [] + related_software: + - WinPmem + - LiME + - Volatility 3 + domain-agnostic-software: null + skillLevel: advanced + accessType: null + url: >- + https://www.nist.gov/publications/guide-integrating-forensic-techniques-incident-response + projectUrl: null + license: null + knowledgebase: false + tags: + - live-acquisition + - scenario:memory_dump + - chain-of-custody + - standards-compliant + - contamination-aware + - tool-selection + - kernel-protection + - anti-forensics + - documentation-critical + - volatility-compatible + related_concepts: + - Digital Evidence Chain of Custody + - name: Android Logical Imaging + icon: 📱 + type: method + description: >- + Die forensische Datenextraktion von Android-Geräten ohne Rooting oder + Exploits - ideal für Legacy-Geräte und BYOD-Szenarien. Nutzt ADB (Android + Debug Bridge) für autorisierten Zugriff. Vorbereitung: USB-Debugging + aktivieren, ADB-Autorisierung, OEM-spezifische Tricks (Samsung Smart + Switch, LG Mobile Switch). Extraktion: ADB backup für App-Daten, + Pull-Befehle für zugängliche Bereiche (/sdcard, /data/media), Content + Provider Queries für Kontakte/SMS. Parsing: Android Backup Extractor für + .ab-Files, SQLite-Analyse der Datenbanken, XML-Auswertung der Preferences. + Limitierungen: Keine System-Apps, verschlüsselte Bereiche unzugänglich, + neuere Android-Versionen (12+) stark eingeschränkt. Spezial-Techniken: + Downgrade-Attacks, Sideloading forensischer Apps, Screen-Recording für + UI-basierte Extraktion. Der Sweet-Spot: Android 4-8 Geräte mit schwachen + Sicherheitsmechanismen. Dokumentation der Berechtigungen und + Nutzer-Autorisierung für Gerichtsverwertbarkeit essentiell. + domains: + - mobile-forensics + - static-investigations + phases: + - data-collection + platforms: [] + related_software: + - Android Studio + - ADB + - ALEAPP + - Android Backup Extractor + domain-agnostic-software: null + skillLevel: advanced + accessType: null + url: https://developer.android.com/studio/command-line/adb + projectUrl: null + license: null + knowledgebase: true + tags: + - command-line + - logical-copy + - mobile-app-data + - triage + - adb-based + - legacy-devices + - content-providers + - backup-extraction + - permission-based + - court-considerations + related_concepts: + - SQL + - Digital Evidence Chain of Custody + - name: ALEAPP + icon: 📱 + type: software + description: >- + Android Logs Events And Protobuf Parser automatisiert die Extraktion + forensischer Artefakte aus Android-Geräten. Parst über 200 App-Datenbanken + und System-Logs in übersichtliche HTML-Reports. Von WhatsApp-Chats über + Google-Maps-Timeline bis zu gelöschten SQLite-Records - ALEAPP findet + versteckte Beweise. Die Timeline-Funktion korreliert Aktivitäten über alle + Apps. Besonders wertvoll: Protobuf-Dekodierung für moderne Apps, Analyse + von Well-Being-Daten, Batteriestatistiken für Aktivitätsmuster. + Unterstützt physische Dumps, logische Extractions und sogar Teilbackups. + Die Plugin-Architektur erlaubt Erweiterungen für neue Apps. Ständige + Updates durch die aktive Community halten mit Android-Entwicklungen + Schritt. Der generierte Report ist gerichtsfest strukturiert mit + Quellenangaben zu jedem Artefakt. Integration mit iLEAPP und VLEAPP für + Cross-Device-Analysen. domains: - incident-response - static-investigations - mobile-forensics + - fraud-investigation phases: - examination - analysis @@ -1105,7 +1956,10 @@ tools: - Windows - Linux - macOS - related_software: null + related_software: + - iLEAPP + - VLEAPP + - Autopsy domain-agnostic-software: null skillLevel: intermediate accessType: download @@ -1120,21 +1974,36 @@ tools: - timeline - html-export - sqlite-viewer + - protobuf-parser + - whatsapp-analysis + - google-artifacts + - battery-stats + - well-being-data + - cross-platform related_concepts: - SQL - name: iLEAPP - icon: 📦 + icon: 🍎 type: software description: >- - Das iOS-Pendant zu ALEAPP mit Fokus auf Apple's geschlossenem Ökosystem. - Extrahiert versteckte Schätze aus iPhone-Backups inklusive gelöschter - Daten. Besonders stark bei der Analyse von iMessage, FaceTime und - Apple-eigenen Apps. Die regelmäßigen Updates halten Schritt mit - iOS-Änderungen und neuen Artefakten. + iOS Logs, Events, And Plists Parser extrahiert forensische Schätze aus + iPhone-Backups und physischen Dumps. Über 350 Artefakt-Parser dekodieren + iOS-Geheimnisse: gelöschte iMessages, Safari-History, Screen-Time-Daten, + AirDrop-Transfers. Die KnowledgeC-Analyse rekonstruiert App-Nutzungsmuster + minutengenau. Besonders mächtig: Parsing von Unified Logs für + System-Events, Health-Daten-Extraktion, Significant-Locations mit + Karten-Visualisierung. Die HTML-Reports sind durchsuchbar und gerichtsfest + aufbereitet. Neue Features: iOS 17 Support, Live-Photos-Metadaten, + Apple-Pay-Transaktionen. Die ständigen Updates halten mit Apples + Verschleierungstaktiken Schritt. PowerLog-Parser zeigt Batterie-Events für + Aktivitätsanalyse. Die modulare Architektur erlaubt Custom-Parser für + proprietäre Apps. Cross-Referenzierung mit macOS-Artefakten über + Continuity. Ein Muss für jeden iOS-Forensiker. domains: - incident-response - static-investigations - mobile-forensics + - fraud-investigation phases: - examination - analysis @@ -1142,7 +2011,10 @@ tools: - Windows - Linux - macOS - related_software: null + related_software: + - ALEAPP + - VLEAPP + - Cellebrite UFED domain-agnostic-software: null skillLevel: intermediate accessType: download @@ -1157,20 +2029,35 @@ tools: - timeline - html-export - deleted-file-recovery + - knowledgec-parser + - unified-logs + - health-data + - screen-time + - imessage-recovery + - ios-forensics related_concepts: - SQL - name: VLEAPP - icon: 📦 + icon: 🚗 type: software description: >- - Die Zukunft der Fahrzeug-Forensik für vernetzte Autos und - Infotainment-Systeme. Parst CAN-Bus-Daten, GPS-Tracks und - Smartphone-Verbindungen aus modernen Fahrzeugen. Ein Nischen-Tool, aber - unverzichtbar bei Unfallrekonstruktionen und Kriminalfällen. Die - Unterstützung für verschiedene Hersteller wächst mit der Community. + Vehicle Logs, Events, And Properties Parser erschließt die digitale + Blackbox moderner Fahrzeuge. Extrahiert Daten aus Infotainment-Systemen, + Telematik- Modulen und verbundenen Smartphones. CAN-Bus-Logs enthüllen + Geschwindigkeit, Bremsverhalten, Airbag-Events für Unfallrekonstruktion. + Die GPS-Timeline zeigt Routen mit Stopps und Fahrtzeiten. Besonders + wertvoll: Bluetooth- Verbindungsprotokolle identifizieren Fahrer, + CarPlay/Android-Auto-Daten, gespeicherte WLAN-Hotspots. Unterstützt Tesla, + BMW, Mercedes, VW-Gruppe und erweitert ständig. Die + Kontaktlisten-Extraktion findet synchronisierte Telefonbücher. + USB-Historie zeigt angeschlossene Geräte. Event-Data-Recorder parsing für + Crash-Forensik. Die HTML-Reports visualisieren Bewegungsprofile auf + Karten. Unersetzlich für Unfälle, Diebstähle und Alibis. Die wachsende + Fahrzeug-Forensik-Community teilt Parser für neue Modelle. domains: - static-investigations - ics-forensics + - fraud-investigation phases: - examination - analysis @@ -1178,7 +2065,9 @@ tools: - Windows - Linux - macOS - related_software: null + related_software: + - ALEAPP + - iLEAPP domain-agnostic-software: null skillLevel: intermediate accessType: download @@ -1193,50 +2082,30 @@ tools: - timeline - html-export - system-metadata - - name: Kali Linux - type: software - description: >- - Die wohlbekannte Hacker-Distribution mit über 600 vorinstallierten - Security-Tools. Von Forensik über Penetration Testing bis Reverse - Engineering ist alles an Bord. Die Live-Boot-Option ermöglicht forensische - Untersuchungen ohne Installation. Regelmäßige Updates halten die - Tool-Sammlung auf dem neuesten Stand. - domains: - - incident-response - - static-investigations - - malware-analysis - - fraud-investigation - - network-forensics - - mobile-forensics - - cloud-forensics - - ics-forensics - skillLevel: intermediate - url: https://kali.org/ - icon: 🖥 - platforms: - - OS - accessType: download - license: GPL-3.0 - knowledgebase: true - related_software: null - domain-agnostic-software: - - specific-os - tags: - - gui - - command-line - - cross-platform - - live-acquisition - - write-blocker - - opensource + - vehicle-forensics + - can-bus-data + - infotainment + - crash-data + - bluetooth-connections + - gps-tracking + related_concepts: null - name: dd - icon: 📦 + icon: 💾 type: software description: >- - Das Unix-Urgestein für bit-genaues Kopieren von Datenträgern seit 1974. - Minimalistisch aber mächtig - der Goldstandard für forensische Disk-Images - unter Linux. Mit den richtigen Parametern (conv=noerror,sync) übersteht es - auch defekte Sektoren. Keine Schnörkel, keine GUI, nur pure - Zuverlässigkeit für Forensik-Puristen. + Das Unix-Urgestein 'data duplicator' ist seit 1974 der minimalistische + Standard für bit-genaue Datenträger-Kopien. Keine GUI, keine Extras - nur + pure Zuverlässigkeit. Die wichtigsten forensischen Parameter: + conv=noerror,sync für defekte Sektoren, bs=4M für optimale Performance, + status=progress für Fortschrittsanzeige. Pipe zu Hash-Tools für simultane + Verifizierung: dd if=/dev/sda | tee image.raw | md5sum. Die Einfachheit + ist die Stärke: funktioniert auf jedem Unix-System ohne Installation. + Vorsicht vor klassischen Fehlern: if/of-Verwechslung zerstört Beweise! + dcfldd und dc3dd sind forensische Weiterentwicklungen mit eingebauter + Hash-Verifizierung. Split-Feature für FAT32-Limits: dd if=/dev/sda | split + -b 4G. Network-Imaging via netcat möglich. Der Respekt vor dd trennt + Profis von Amateuren - ein falscher Parameter vernichtet unwiederbringlich + Daten. Immer noch die Basis vieler kommerzieller Imaging-Tools. domains: - incident-response - static-investigations @@ -1245,7 +2114,10 @@ tools: platforms: - Linux - macOS - related_software: null + related_software: + - dcfldd + - dc3dd + - ewfacquire domain-agnostic-software: null skillLevel: intermediate accessType: built-in @@ -1260,17 +2132,32 @@ tools: - scenario:disk_imaging - zero-footprint - offline-mode + - bit-for-bit + - pipe-capable + - network-imaging + - unix-standard + - minimal-contamination + - performance-tuning related_concepts: - Digital Evidence Chain of Custody - name: dcfldd - icon: 📦 + icon: 🔐 type: software description: >- - Die forensische Weiterentwicklung von dd mit eingebauter - Hash-Verifizierung. Zeigt Fortschrittsbalken, splittet große Images und - berechnet mehrere Hashes gleichzeitig. Von der DoD Computer Forensics Lab - entwickelt für professionelle Anforderungen. Die Status-Ausgabe während - langer Imaging-Vorgänge rettet Nerven und Zeit. + Defense Computer Forensics Lab DD erweitert das klassische dd um + essenzielle forensische Features. Simultane Hash-Berechnung (MD5, SHA1, + SHA256) während des Imaging spart Zeit und garantiert Integrität. + Status-Output zeigt Geschwindigkeit, verbleibende Zeit und übertragene + Daten. Split-on-the-fly für Multi-Volume-Archives ohne + Zwischenspeicherung. Pattern-Wiping für sicheres Löschen nach + DoD-Standards. Log-Output dokumentiert jeden Schritt für Chain-of-Custody. + Die Verify-Funktion prüft geschriebene Daten sofort. Besonders wertvoll: + Hashing einzelner Blöcke für granulare Integritätsprüfung, Fortsetzen + unterbrochener Images, mehrere Output-Ziele gleichzeitig. Die forensischen + Erweiterungen machen es zur ersten Wahl für professionelle Labore. Syntax + bleibt dd-kompatibel für einfachen Umstieg. Performance mit großen + Blockgrößen optimiert. Die aktive Entwicklung hält mit modernen + Anforderungen Schritt. Standard in vielen Forensik-Distributionen. domains: - incident-response - static-investigations @@ -1278,7 +2165,10 @@ tools: - data-collection platforms: - Linux - related_software: null + related_software: + - dd + - dc3dd + - FTK Imager domain-agnostic-software: null skillLevel: intermediate accessType: download @@ -1293,18 +2183,32 @@ tools: - scenario:disk_imaging - compression - integrity-check + - split-output + - status-display + - pattern-wipe + - verify-mode + - block-hashing + - progress-reporting related_concepts: - Hash Functions & Digital Signatures - Digital Evidence Chain of Custody - name: ewfacquire - icon: 📦 + icon: 📀 type: software description: >- - Das Kommandozeilen-Tool für Expert Witness Format (E01) Images mit - Kompression. Teil der libewf-Suite, erstellt gerichtsfeste Images mit - Metadaten und Chain of Custody. Besonders wertvoll für große Datenträger - dank effizienter Kompression. Die E01-Kompatibilität ermöglicht nahtlosen - Austausch mit kommerziellen Tools. + Das Kommandozeilen-Tool der libewf-Suite erstellt Expert Witness Format + (E01) Images - der De-facto-Standard für forensische Beweissicherung. + Kompression reduziert Storage-Bedarf um 50-70% bei Beibehaltung der + forensischen Integrität. Eingebaute CRC-Prüfung erkennt + Übertragungsfehler. Case-Metadata (Ermittler, Fallnummer, Notizen) werden + im Image gespeichert. Multi-Threading beschleunigt Kompression auf + modernen CPUs. Segment-Files ermöglichen Speicherung auf FAT32. Die + Error-Granularity dokumentiert defekte Sektoren präzise. Resume-Feature + für unterbrochene Akquisitionen. Hash-Verifizierung (MD5/SHA1) integriert + für Chain-of-Custody. Die breite Tool-Unterstützung (EnCase, FTK, X-Ways) + macht E01 zur sicheren Wahl. Besonders wertvoll: Kompatibilität mit + Windows-Tools trotz Linux-Erstellung. Die Entwicklung durch Joachim Metz + garantiert Qualität. ewfmount für Read-Only-Zugriff ohne Extraktion. domains: - incident-response - static-investigations @@ -1313,7 +2217,10 @@ tools: platforms: - Linux - macOS - related_software: null + related_software: + - FTK Imager + - EnCase + - dd domain-agnostic-software: null skillLevel: intermediate accessType: download @@ -1328,18 +2235,343 @@ tools: - compression - chain-of-custody - scenario:disk_imaging + - error-handling + - segment-files + - metadata-storage + - hash-verification + - resume-capability + - cross-tool-compatible related_concepts: - Hash Functions & Digital Signatures - Digital Evidence Chain of Custody - - name: PhotoRec - icon: 📦 + - name: Guymager + icon: 💿 type: software description: >- - Der Datenretter in der Not - findet gelöschte Dateien ohne - Dateisystem-Strukturen. Signature-basiertes Carving für über 300 - Dateiformate von Fotos bis Office-Dokumenten. Arbeitet read-only und ist - damit forensisch sauber für die Beweissicherung. Die Schwestersoftware - TestDisk repariert zusätzlich beschädigte Partitionen. + Das schlanke Linux-Imaging-Tool maximiert Performance durch intelligentes + Multi-Threading und optimierte I/O-Operationen. Die Qt-basierte GUI macht + forensisches Imaging auch für Linux-Neulinge zugänglich. Gleichzeitiges + Schreiben mehrerer Formate (RAW + EWF) ohne Performance-Verlust. Die + eingebaute FIFO-Architektur ermöglicht Pipe-Operationen für + Netzwerk-Imaging. Besonders geschätzt: Automatische Badblock-Erkennung mit + detailliertem Logging, simultane Hash-Berechnung (MD5, SHA1, SHA256), + Fortschrittsbalken mit Zeitschätzung. Die Clone-Funktion dupliziert + Datenträger direkt. HPA/DCO-Erkennung warnt vor versteckten Bereichen. + Unterstützt USB-Write- Blocker für zusätzliche Sicherheit. Die Performance + übertrifft oft kommerzielle Tools bei gleicher Zuverlässigkeit. + Debian-Pakete vereinfachen Installation. Der niedrige Ressourcen-Verbrauch + erlaubt Imaging auf älteren Systemen. Logging im Detail-Level + konfigurierbar für verschiedene Compliance-Anforderungen. + domains: + - incident-response + - static-investigations + phases: + - data-collection + platforms: + - Linux + related_software: + - FTK Imager + - dc3dd + - ddrescue + domain-agnostic-software: null + skillLevel: novice + accessType: download + url: https://guymager.sourceforge.io/ + projectUrl: '' + license: GPL-2.0 + knowledgebase: false + tags: + - gui + - physical-copy + - multithreaded + - hashing + - scenario:disk_imaging + - ewf-support + - performance-optimized + - bad-sector-handling + - hpa-dco-detection + - simultaneous-output + - progress-estimation + - low-resource + related_concepts: + - Hash Functions & Digital Signatures + - Digital Evidence Chain of Custody + - name: Fuji + icon: 🗻 + type: software + description: >- + Das clevere macOS-Tool umgeht Apples restriktive Sicherheitsmechanismen + für forensisch saubere Datenträger-Akquisition. Nutzt undokumentierte APIs + für Raw-Device-Zugriff ohne Kernel-Extensions. Besonders wertvoll seit + macOS Big Sur mit verstärktem System Integrity Protection (SIP). Die + Target-Disk-Mode-Alternative für moderne Macs ohne Firewire. Unterstützt + APFS-Container-Imaging inklusive verschlüsselter Volumes (mit Passwort). + Live-Imaging von System-Volumes ohne Reboot möglich. Die minimale + Footprint kontaminiert das Zielsystem kaum. Besonders clever: Umgehung der + Read-Only-System-Volume-Beschränkungen. Hash-Verifizierung integriert für + forensische Standards. Die Active-Development durch macOS-Forensik- + Community garantiert Updates für neue OS-Versionen. Perfekt für Incident + Response auf Macs ohne teure kommerzielle Tools. Die Kommandozeile + ermöglicht Scripting für Massenakquisitionen. + domains: + - incident-response + - static-investigations + phases: + - data-collection + platforms: + - macOS + related_software: + - dd + - FTK Imager + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://github.com/Lazza/Fuji + projectUrl: '' + license: GPL-3.0 + knowledgebase: false + tags: + - command-line + - live-acquisition + - physical-copy + - apfs + - scenario:disk_imaging + - zero-footprint + - sip-bypass + - encrypted-volume + - container-imaging + - minimal-contamination + - scripting-capable + - macos-specific + related_concepts: + - Digital Evidence Chain of Custody + - name: Rapid Incident Response Triage on macOS + icon: 🚨 + type: method + description: >- + Spezialisierte Methodik für schnelle forensische Triage auf macOS-Systemen + optimiert für Enterprise-Incident-Response. Priorisiert flüchtige + Artefakte und kritische Indicators of Compromise (IOCs) für Entscheidungen + in unter 60 Minuten. Sammlung ohne Full-Disk-Imaging: Prozesslisten, + Netzwerk- verbindungen, LaunchAgents/Daemons, Quarantine-Events, + TCC-Datenbank. Besondere macOS-Artefakte: Unified Logs, FSEvents, + Spotlight-Metadaten, XProtect-Detections. Tools wie Aftermath oder osquery + automatisieren Datensammlung. Die Methodik adressiert macOS-spezifische + Herausforderungen: SIP, Gatekeeper, Code-Signing-Verifizierung. + Timeline-Erstellung aus ASL/ULS für Ereigniskorrelation. Besonders + wertvoll für MDM-verwaltete Flotten mit hunderten Macs. Die Dokumentation + für Remote-Collection via SSH/ARD. Post-Triage-Entscheidung: + Full-Forensics oder Neuinstallation. Anpassbar für verschiedene + Bedrohungsszenarien von Malware bis Insider-Threats. + domains: + - incident-response + - static-investigations + - malware-analysis + phases: + - data-collection + - examination + platforms: [] + related_software: + - Aftermath + - osquery + - Fuji + domain-agnostic-software: null + skillLevel: intermediate + accessType: null + url: >- + https://www.sans.org/white-papers/rapid-incident-response-on-macos-actionable-insights-under-hour/ + projectUrl: null + license: null + knowledgebase: null + tags: + - triage + - fast-scan + - apfs + - selective-imaging + - macos-artifacts + - unified-logs + - launch-agents + - quarantine-events + - remote-collection + - mdm-compatible + - timeline-focused + - sip-aware + related_concepts: + - Digital Evidence Chain of Custody + - name: Aftermath + icon: 🎯 + type: software + description: >- + Jamfs Open-Source-Juwel für macOS-Forensik sammelt systematisch Artefakte + ohne Full-System-Image. Optimiert für Incident-Response mit minimalem + System-Impact. Extrahiert kritische Daten: laufende Prozesse, Netzwerk- + verbindungen, installierte Software, Persistence-Mechanismen. Besonders + wertvoll: Unified-Log-Parser für System-Events, Browser-Artefakte aller + Major-Browser, Quick-Look-Thumbnails, FSEvents für Dateiaktivitäten. Die + modulare Architektur erlaubt selektive Sammlung. Output in strukturierten + JSON/CSV für einfache Analyse. Zeitstempel-Normalisierung für + Timeline-Erstellung. Unterstützt moderne macOS-Security-Features: + TCC-Permissions, Code-Signing-Status, XProtect-Matches. Die Remote- + Collection via MDM/SSH skaliert auf Unternehmensflotten. Besonders clever: + Sammlung von Cloud-Synchronisations-Artefakten (iCloud, Dropbox). + Regelmäßige Updates für neue macOS-Versionen. Die Alternative zu teuren + kommerziellen Mac-Forensik-Suiten. + domains: + - incident-response + - static-investigations + - malware-analysis + phases: + - data-collection + - examination + platforms: + - macOS + related_software: + - osquery + - KAPE + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://github.com/jamf/aftermath/ + projectUrl: '' + license: Apache 2.0 + knowledgebase: false + tags: + - command-line + - triage + - system-metadata + - apfs + - time-normalization + - structured-output + - unified-log-parser + - browser-artifacts + - persistence-checks + - tcc-analysis + - remote-capable + - json-export + related_concepts: + - Digital Evidence Chain of Custody + - name: RegRipper + icon: 🔑 + type: software + description: >- + Harlan Carveys Registry-Analyse-Framework revolutioniert Windows-Forensik + durch Plugin-basierte Automatisierung. Über 300 Plugins extrahieren + spezifische Artefakte aus Registry-Hives: USB-Historie, installierte + Software, User-Aktivitäten, Malware-Spuren. Die Perl-basierte Architektur + ermöglicht einfache Plugin-Entwicklung für neue Artefakte. Besonders + wertvoll: Timeline-Plugins für zeitbasierte Analyse, RegRipper-Reports im + strukturierten Format, automatische Korrelation zwischen Hives. + Profile-System gruppiert Plugins nach Untersuchungstyp (Malware, User- + Activity, Network). Die Community teilt ständig neue Plugins für aktuelle + Bedrohungen. Integration mit anderen Tools über CSV-Export. Besonders + stark bei APT-Investigations: Services-Analyse, Run-Keys, Scheduled-Tasks. + Die Plugin-Dokumentation erklärt forensische Relevanz jedes Artefakts. + Version 3.0 modernisiert für aktuelle Windows-Versionen. Der Time-Saver + für Registry-Deep-Dives - was manuell Stunden dauert, erledigt RegRipper + in Minuten. + domains: + - incident-response + - static-investigations + - malware-analysis + phases: + - examination + - analysis + platforms: + - Windows + - Linux + related_software: + - Eric Zimmerman Tools + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://github.com/keydet89/RegRipper3.0 + projectUrl: '' + license: MIT + knowledgebase: false + tags: + - command-line + - registry-hives + - plugin-support + - scenario:windows-registry + - usb-history + - artifact-parser + - timeline-analysis + - malware-detection + - user-activity + - batch-processing + - profile-based + - community-plugins + related_concepts: + - Digital Evidence Chain of Custody + - name: Strings + icon: 🔤 + type: software + description: >- + Das unterschätzte Basis-Tool extrahiert lesbare ASCII- und Unicode-Strings + aus Binärdateien - oft der erste Hinweis auf Malware-Funktionalität. + Findet URLs für C2-Server, Hardcoded-Passwords, Pfadangaben, + Error-Messages. Die Sysinternals-Version (Windows) bietet GUI und + erweiterte Features. GNU-Strings (Linux) integriert perfekt in + Pipe-Workflows. Encoding-Options (-e) für Unicode-Varianten essentiell bei + modernen Samples. Minimum-Length (-n) filtert Rauschen. Offset-Anzeige + (-o) für spätere Hex-Editor-Analyse. Besonders wertvoll: Kombination mit + grep für Pattern-Matching, Sort/Uniq für Häufigkeitsanalyse, Integration + in automatisierte Malware-Triage. Die Einfachheit täuscht - erfahrene + Analysten extrahieren erstaunliche Intelligence. Perfekt für + verschlüsselte/gepackte Malware wenn Strings im Unpacking-Stub verbleiben. + Output oft Ausgangspunkt für YARA-Rules. Das 5-Minuten-Tool das Stunden + detaillierter Analyse spart. + domains: + - incident-response + - malware-analysis + - static-investigations + phases: + - examination + platforms: + - Windows + - Linux + - macOS + related_software: null + domain-agnostic-software: null + skillLevel: novice + accessType: built-in + url: https://docs.microsoft.com/en-us/sysinternals/downloads/strings + projectUrl: '' + license: Proprietary/GPL + knowledgebase: false + tags: + - command-line + - string-search + - binary-decode + - triage + - cross-platform + - fast-scan + - unicode-support + - pattern-extraction + - malware-triage + - c2-discovery + - password-finding + - pipe-friendly + related_concepts: + - Regular Expressions (Regex) + - name: PhotoRec + icon: 📸 + type: software + description: >- + Der Datenretter ignoriert Dateisysteme und findet gelöschte Dateien durch + Signature-Scanning - selbst nach Formatierung. Über 300 Dateiformate von + JPEGs über Office-Dokumente bis zu verschlüsselten Archives. Die + Companion- Software TestDisk repariert zusätzlich Partitionstabellen. + Arbeitet read-only für forensische Integrität. Besonders stark: Recovery + von FAT/NTFS/ext-Systemen, Rettung von SD-Karten und USB-Sticks, + funktioniert bei beschädigten Dateisystemen. Die Brute-Force-Methode + findet Dateien die andere Tools übersehen. Konfigurierbare Signaturen für + spezielle Formate. Der Paranoid-Mode prüft jeden Sektor. Besonders + wertvoll für Multimedia-Recovery bei Kinderpornografie-Fällen. Die Text-UI + wirkt antiquiert, aber die Effektivität ist unübertroffen. Batch-Mode für + automatisierte Recovery. Die freie Lizenz und Cross-Platform-Support + machen es zum Standard-Tool weltweit. Oft letzte Hoffnung wenn + kommerzielle Tools versagen. domains: - incident-response - static-investigations @@ -1365,81 +2597,36 @@ tools: - scenario:file_recovery - signature-analysis - cross-platform - - name: Kismet - icon: 📦 - type: software - description: >- - Der WLAN-Schnüffler der Extraklasse für Wireless-Forensik und - Sicherheitsaudits. Passives Monitoring deckt versteckte Netzwerke, Rogue - Access Points und Client-Geräte auf. Die GPS-Integration ermöglicht - War-Driving mit präziser Standort-Zuordnung. Unterstützt moderne Standards - wie 802.11ac und Bluetooth LE Sniffing. - domains: - - incident-response - - network-forensics - phases: - - data-collection - - examination - platforms: - - Linux - related_software: null - domain-agnostic-software: null - skillLevel: advanced - accessType: download - url: https://www.kismetwireless.net/ - projectUrl: '' - license: GPL-2.0 - knowledgebase: false - tags: - - gui - - pcap-capture - - geolocation - - live-acquisition - - anomaly-detection - - wireless-analysis - - name: OSFMount - icon: 📦 - type: software - description: >- - Mountet Disk-Images als virtuelle Laufwerke unter Windows für komfortable - Analyse. Unterstützt alle gängigen Formate von RAW über E01 bis zu - VM-Images. Der schreibgeschützte Modus garantiert forensische Integrität - der Beweise. Besonders praktisch für schnelle Triage ohne vollständige - Forensik-Suite. Freeware, aber nicht open source. - domains: - - incident-response - - static-investigations - phases: - - examination - platforms: - - Windows - related_software: null - domain-agnostic-software: null - skillLevel: beginner - accessType: download - url: https://www.osforensics.com/tools/mount-disk-images.html - projectUrl: '' - license: Proprietary - knowledgebase: false - tags: - - gui - - virtual-machine - - ewf-support - - raw-image-support - - write-blocker - - triage + - filesystem-agnostic + - multimedia-recovery + - partition-recovery + - read-only-mode + - batch-capable + - custom-signatures + related_concepts: + - Digital Evidence Chain of Custody - name: Thumbcache Viewer - icon: 📦 + icon: 🖼️ type: software description: >- - Spezialist für Windows Thumbnail-Caches mit Zugriff auf gelöschte - Bildvorschauen. Extrahiert Thumbnails aus thumbcache_*.db Dateien - inklusive EXIF-Zeitstempel. Unbezahlbar für den Nachweis, dass Bilder auf - einem System vorhanden waren. Die einfache GUI macht es auch für weniger - technische Ermittler zugänglich. + Windows speichert Miniaturansichten aller betrachteten Bilder in + versteckten thumbcache_*.db Dateien - ein Goldschatz für Forensiker. Das + Tool extrahiert diese Thumbnails inklusive EXIF-Zeitstempel, selbst wenn + Originalbilder längst gelöscht sind. Beweist unwiderlegbar, dass Bilder + auf dem System vorhanden waren. Besonders wertvoll bei CSAM-Ermittlungen + und Datendiebstahl. Die verschiedenen Auflösungen (32, 96, 256, 1024) + zeigen Detailgrade. Timestamp-Analyse rekonstruiert + Betrachtungszeitpunkte. Export als einzelne Bilder oder HTML-Report. Die + GUI macht es auch für nicht-technische Ermittler zugänglich. Unterstützt + Windows Vista bis 11. Der Batch-Mode verarbeitet mehrere + Thumbcache-Dateien. Hash-Matching gegen bekannte CSAM-Datenbanken möglich. + Integration mit Timeline-Tools über CSV-Export. Die kostenlose Lizenz + demokratisiert wichtige Forensik-Fähigkeiten. Oft der entscheidende Beweis + in Kinderschutz-Fällen. domains: - static-investigations - fraud-investigation + - incident-response phases: - examination - analysis @@ -1460,114 +2647,31 @@ tools: - triage - system-metadata - thumbnail-analysis - - name: RegRipper - icon: 📦 - type: software - description: >- - Der scenario:windows-registry-Experte mit hunderten Plugins für - automatisierte Analyse. Extrahiert USB-Historie, installierte Software, - Benutzeraktivitäten und Malware-Spuren. Die Plugin-Architektur erlaubt - maßgeschneiderte Untersuchungen für spezielle Fälle. Spart Stunden - manueller Registry-Analyse und findet oft übersehene Artefakte. - domains: - - incident-response - - static-investigations - - malware-analysis - phases: - - examination - - analysis - platforms: - - Windows - - Linux - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: download - url: https://github.com/keydet89/RegRipper3.0 - projectUrl: '' - license: MIT - knowledgebase: false - tags: - - command-line - - registry-hives - - plugin-support - - scenario:windows-registry - - usb-history - - artifact-parser - - name: YARA - type: software - description: >- - Die Pattern-Matching-Engine für Malware-Jäger und Threat Hunter. - Regelbasierte Suche nach Strings, Byte-Sequenzen und regulären Ausdrücken. - De-facto Standard für Malware-Signaturen mit riesiger - Community-Rule-Sammlung. Integration in viele Forensik-Tools macht es zum - Marktstandard. - domains: - - incident-response - - malware-analysis - phases: - - examination - - analysis - skillLevel: intermediate - url: https://virustotal.github.io/yara/ - icon: 🛠 - platforms: - - Windows - - Linux - - macOS - accessType: download - license: BSD-3-Clause - knowledgebase: false - tags: - - command-line - - yara-scan - - signature-analysis - - regex-search - - cross-platform - - memory-signatures + - exif-extraction + - csam-investigation + - timeline-creation + - batch-processing + - html-reporting + - hash-export related_concepts: - - Regular Expressions (Regex) - - name: Strings - icon: 📦 - type: software - description: >- - Das simple Tool mit großer Wirkung - extrahiert lesbare Texte aus - Binärdateien. Findet URLs, Passwörter, Pfade und andere - ASCII/Unicode-Strings in Malware. Die Ausgabe gibt oft erste Hinweise auf - Funktionalität und Herkunft. In Kombination mit grep ein mächtiges - Werkzeug für schnelle Triage. - domains: - - incident-response - - malware-analysis - phases: - - examination - platforms: - - Windows - - Linux - - macOS - related_software: null - domain-agnostic-software: null - skillLevel: novice - accessType: built-in - url: https://docs.microsoft.com/en-us/sysinternals/downloads/strings - projectUrl: '' - license: Proprietary/GPL - knowledgebase: false - tags: - - command-line - - string-search - - binary-decode - - triage - - cross-platform - - fast-scan + - Digital Evidence Chain of Custody - name: MaxMind GeoIP type: software description: >- - Die Geolocation-Datenbank für IP-Adressen-Zuordnung zu Ländern und - Städten. Unverzichtbar für die Analyse von Netzwerk-Logs und - Angriffsherkunft. Die kostenlose GeoLite2-Version reicht für die meisten - forensischen Zwecke. API-Integration ermöglicht automatisierte - Anreicherung großer Datensätze. + Die Geolocation-Datenbank-Lösung übersetzt IP-Adressen in geografische + Standorte für Threat-Intelligence und Incident-Attribution. GeoLite2 + (kostenlos) bietet Stadt-Level-Genauigkeit für die meisten IPs weltweit. + Die kommerzielle GeoIP2 erhöht Präzision und fügt ISP/Organisation-Daten + hinzu. Besonders wertvoll: VPN/Proxy-Erkennung identifiziert verschleierte + Verbindungen, Anonymous-IP-Datenbank für Tor/Hosting-Provider, Accuracy- + Radius zeigt Konfidenz. Die wöchentlichen Updates halten mit + IP-Allokationen Schritt. APIs für alle Major-Programmiersprachen + ermöglichen Integration in Forensik-Workflows. Bulk-Processing für + Log-Analyse. Die historischen Datenbanken ermöglichen Geolocation zum + Tatzeitpunkt. GDPR-konform durch Verzicht auf Tracking. Der Offline-Modus + schützt sensible Ermittlungsdaten. Integration in Splunk, ELK, und andere + SIEMs. Die Genauigkeit variiert nach Region - Europa/USA präziser als + Entwicklungsländer. Standard für Geo-Attribution in der Forensik. domains: - incident-response - fraud-investigation @@ -1576,7 +2680,7 @@ tools: - analysis skillLevel: beginner url: https://www.maxmind.com/ - icon: 🗄 + icon: 🌍 platforms: - Windows - Linux @@ -1591,14 +2695,32 @@ tools: - cross-platform - automation-ready - offline-mode + - vpn-detection + - proxy-identification + - bulk-processing + - accuracy-metrics + - historical-data + - gdpr-compliant + related_concepts: null + related_software: null - name: SIFT Workstation type: software description: >- - SANS' kuratierte Ubuntu-Distribution vollgepackt mit Forensik-Tools und - Skripten. Über 500 Tools vorinstalliert, vorkonfiguriert und dokumentiert - für sofortigen Einsatz. Die begleitenden Trainingsmaterialien machen es - zur idealen Lernumgebung. Regelmäßige Updates vom SANS-Team halten die - Tool-Sammlung aktuell. + SANS Investigative Forensic Toolkit vereint über 500 Open-Source-Tools in + einer kuratierten Ubuntu-Distribution. Rob Lees Vision einer kostenlosen + Alternative zu kommerziellen Suiten wurde Realität. Vorinstalliert und + konfiguriert: Autopsy, Volatility, Plaso, Registry-Tools, + Timeline-Analyzer. Die DFIR-Menüstruktur gruppiert Tools nach + Untersuchungsphasen. Besonders wertvoll: Vorkonfigurierte + Python-Umgebungen, aktualisierte Tool-Versionen, integrierte + Dokumentation. REMnux-Integration für Malware-Analyse. Die VM kann als + Appliance oder WSL2 laufen. Regelmäßige Updates durch SANS- Community. Die + mitgelieferten Cheat-Sheets beschleunigen Einarbeitung. mount-image-pro + automatisiert Evidence-Mounting. SIFT-CLI verwaltet Updates. Der + Goldstandard für Forensik-Ausbildung weltweit. Die kostenlosen Workbooks + führen durch typische Untersuchungen. Performance optimiert für + Forensik-Workloads. Die Alternative wenn Budget für kommerzielle Tools + fehlt. domains: - incident-response - static-investigations @@ -1607,13 +2729,16 @@ tools: - mobile-forensics skillLevel: intermediate url: https://www.sans.org/tools/sift-workstation/ - icon: 🖥 + icon: 🧰 platforms: - OS accessType: download license: Free / Mixed knowledgebase: false - related_software: null + related_software: + - REMnux + - CAINE + - Kali Linux domain-agnostic-software: - specific-os tags: @@ -1623,16 +2748,30 @@ tools: - write-blocker - live-acquisition - signature-updates + - tool-collection + - documentation-rich + - training-focused + - vm-ready + - wsl2-compatible + - community-maintained + related_concepts: null - name: Tsurugi Linux type: software description: >- - Die von Forensikern entwickelte Forensik-Distribution mit Fokus auf - Benutzerfreundlichkeit. Besonders stark bei Mobile- und Malware-Forensik - mit vielen spezialisierten Tools. Die DFIR-Menüstruktur gruppiert Tools - logisch nach Untersuchungsphasen. Läuft performant auch auf älterer - Hardware dank optimiertem Kernel. Hat einen integrierten Write-Blocker und - existiert in einer reduzierten "Acquire"-Version, die Imaging als - Live-System-Umgebung ermöglicht. + Die Forensik-Distribution kombiniert Tools für ultimative + Ermittlungs-Power. Spezialisiert auf Mobile- und Malware-Forensik mit + einzigartigen Features. Der integrierte Hardware-Write-Blocker verhindert + Beweis-Kontamination. Bento-Menü organisiert Tools nach japanischer + Effizienz-Philosophie. Besonders stark: Android-Forensik-Suite mit + ADB-Automatisierung, iOS-Backup-Analyzer, umfangreiche Malware-Sandbox. + Die Acquire-Edition ist optimiert für schnelles Imaging mit minimalem RAM. + Performance- Kernel speziell für Forensik-Hardware. Einzigartig: + Integrierte Übersetzungs-Tools für internationale Ermittlungen, + Unterstützung asiatischer Zeichensätze, LINE-Messenger-Parser. Die + 64-Bit-Only- Architektur nutzt modernen RAM voll aus. Live-Patching hält + Tools aktuell ohne Neustart. Der Stealth-Mode deaktiviert alle Netzwerk- + Interfaces. Die Alternative für Ermittler die mehr als + Standard-Distributionen wollen. domains: - incident-response - static-investigations @@ -1640,13 +2779,15 @@ tools: - mobile-forensics skillLevel: intermediate url: https://tsurugi-linux.org/ - icon: 🖥 + icon: ⛩️ platforms: - OS accessType: download license: GPL / Mixed knowledgebase: false - related_software: null + related_software: + - CAINE + - Kali Linux domain-agnostic-software: - specific-os tags: @@ -1656,14 +2797,30 @@ tools: - triage - forensic-snapshots - selective-imaging + - mobile-focused + - malware-sandbox + - asian-language + - hardware-writeblock + - performance-kernel + - stealth-mode + related_concepts: null - name: Parrot Security OS type: software description: >- - Die Datenschutz-fokussierte Alternative zu Kali mit Forensik-Werkzeugen. - AnonSurf für anonymisierte Ermittlungen und verschlüsselte Kommunikation - eingebaut. Ressourcenschonender als Kali, läuft flüssig auch in VMs mit - wenig RAM. Die rolling-release Natur hält Tools aktuell ohne - Neuinstallation. + Die Privacy-fokussierte Alternative zu Kali Linux mit eingebautem + Anonymisierungs-Framework. AnonSurf routet Traffic durch Tor für verdeckte + Ermittlungen. Forensik-Tools treffen auf Pentesting-Arsenal in + datenschutzfreundlicher Umgebung. Rolling-Release hält 600+ Tools aktuell + ohne Neuinstallation. Der ressourcenschonende MATE-Desktop läuft flüssig + auf älteren Laptops. Besonders wertvoll: Eingebaute Kryptographie-Tools, + sichere Kommunikations-Apps, Sandbox für Malware. Die Forensik-Edition + fokussiert auf Incident-Response. Docker-Support für Tool-Isolation. + ARM-Versionen für Raspberry Pi und Mobile-Forensik. Die italienische + Entwicklung bringt europäische Datenschutz-Werte. Mehrere + Desktop-Umgebungen wählbar. Live-Boot mit Persistence für Feldarbeit. Der + AppArmor-Schutz härtet gegen Exploits. Community kleiner aber engagierter + als Kali. Perfekt für Ermittler die Privatsphäre und Sicherheit + priorisieren. domains: - incident-response - static-investigations @@ -1671,13 +2828,14 @@ tools: - network-forensics skillLevel: intermediate url: https://parrotsec.org/ - icon: 🖥 + icon: 🦜 platforms: - OS accessType: download license: GPL-3.0 knowledgebase: false - related_software: null + related_software: + - Kali Linux domain-agnostic-software: - specific-os tags: @@ -1687,47 +2845,414 @@ tools: - encrypted-traffic - secure-sharing - anonymous-analysis - - name: Eric Zimmerman Tools - icon: 📦 + - privacy-focused + - tor-integration + - rolling-release + - lightweight + - arm-support + - docker-ready + related_concepts: null + - name: LibreOffice + icon: 📄 type: software description: >- - Die Tool-Sammlung des Windows-Forensik-Gurus für Artefakt-Analyse. Von - ShellBags über Prefetch bis zu Amcache - jedes Tool ein Spezialist. Die - Timeline Explorer GUI vereint alle Ausgaben in einer durchsuchbaren - Ansicht. Ständige Updates für neue Windows-Versionen und Cloud-Artefakte. + Die freie Office-Suite ist mehr als nur Dokumentenerstellung - ein + unterschätztes Forensik-Werkzeug. Calc verarbeitet massive CSV-Logs und + Datenbank-Exporte mit Pivot-Tabellen und Filtern. Die Makro-Sprache + automatisiert wiederkehrende Analysen. Writer erstellt gerichtsfeste + Reports mit Inhaltsverzeichnis und Querverweisen. Besonders wertvoll: + Import obskurer Dateiformate die Microsoft Office ablehnt, Reparatur + korrupter Dokumente, Metadaten-Anzeige fremder Files. Die Version-History + in Dokumenten enthüllt Bearbeitungen. Draw visualisiert Netzwerk-Diagramme + und Timelines. Base als Frontend für SQLite-Forensik-Datenbanken. Die + PDF-Export-Optionen mit Sicherheitseinstellungen für vertrauliche Reports. + Kompatibilität mit allen gängigen Formaten. Die Portable-Version läuft von + USB ohne Installation. Extensions erweitern für spezielle Aufgaben. + Kostenlos aber professionell - spart Lizenzbudget für Spezial-Tools. Der + Standard für Forensik-Dokumentation weltweit. domains: - incident-response - static-investigations + - malware-analysis + - fraud-investigation + - network-forensics + - mobile-forensics + - cloud-forensics + - ics-forensics phases: - examination - analysis + - reporting platforms: - Windows + - Linux + - macOS + related_software: + - Microsoft Office 365 + domain-agnostic-software: + - collaboration-general + skillLevel: novice + accessType: download + url: https://www.libreoffice.org/ + projectUrl: '' + license: Mozilla Public License Version 2.0 + knowledgebase: false + tags: + - gui + - reporting + - csv-export + - cross-platform + - macro-automation + - visualization + - document-analysis + - metadata-viewer + - portable-version + - format-converter + - pdf-creation + - free-alternative + related_concepts: null + - name: Microsoft Office 365 + type: software + description: >- + Der Industriestandard bietet mehr als Textverarbeitung - ein mächtiges + Forensik-Analyse-Toolkit. Excel's Power Query transformiert komplexe + Log-Dateien in aussagekräftige Visualisierungen. Power Pivot verarbeitet + Millionen Datensätze für Big-Data-Forensik. Die Kollaborations-Features + ermöglichen Echtzeit-Teamarbeit an Ermittlungen. Besonders wertvoll: + Cloud-Storage für große Beweis-Sammlungen, Version-History für + Audit-Trails, Advanced eDiscovery für Compliance. Teams integriert sichere + Kommunikation. Der Compliance-Manager dokumentiert Datenschutz-konform. + OneNote sammelt Notizen und Screenshots strukturiert. Die KI-Features in + Editor verbessern Report-Qualität. Makros automatisieren Routine-Analysen. + Die Mobile-Apps ermöglichen Feld-Dokumentation. Power Automate verbindet + mit Forensik-Tools. Der Industriestandard hat seinen Preis, aber die + Integration und Support sind unübertroffen. Vorsicht: Cloud-Storage kann + Datenschutz-problematisch sein für sensible Ermittlungen. + domains: + - incident-response + - static-investigations + - malware-analysis + - fraud-investigation + - network-forensics + - mobile-forensics + - cloud-forensics + - ics-forensics + phases: + - examination + - analysis + - reporting + skillLevel: novice + url: https://www.office.com/ + icon: 📊 + platforms: + - Windows + - macOS + - Web + accessType: commercial + license: Proprietary + knowledgebase: false + related_software: + - LibreOffice + domain-agnostic-software: + - collaboration-general + tags: + - gui + - web-interface + - commercial + - collaboration + - visualization + - cloud-artifacts + - power-query + - ediscovery + - version-control + - team-integration + - mobile-apps + - automation-capable + related_concepts: null + - name: EnCase + icon: 🔍 + type: software + description: >- + Der Veteran der digitalen Forensik seit 1997 - in vielen Behörden noch + immer der Gold-Standard. EnScript-Programmierung ermöglicht komplexe + Automatisierungen die andere Tools nicht bieten. Die Gerichtserfahrung ist + unübertroffen - tausende erfolgreiche Verfahren weltweit. Version 21 + modernisiert die alternde Architektur mit Cloud-Forensik und + Mobile-Support. Besonders stark: Evidence-Processor für + Batch-Verarbeitung, umfangreiche Dateisystem-Unterstützung, integrierte + Hex-Ansicht. Die EnCE-Zertifizierung öffnet Karrieretüren. + Physical-Analyzer-Modul für Smartphones konkurriert mit Cellebrite. Die + Case-Management-Features skalieren auf Großverfahren. Nachteile: Hohe + Kosten (20.000€+), steile Lernkurve, Performance-Probleme bei großen + Images. OpenText-Übernahme bringt Unsicherheit. Der Dongle-Schutz nervt im + Feldeinsatz. Viele wechseln zu moderneren Alternativen, aber für + EnScript-Power-User noch immer unverzichtbar. Das Prestige-Tool das + langsam seine Krone verliert. + domains: + - static-investigations + - incident-response + - mobile-forensics + phases: + - data-collection + - examination + - analysis + - reporting + platforms: + - Windows + related_software: + - FTK Imager + - X-Ways Forensics + - Autopsy + domain-agnostic-software: null + skillLevel: intermediate + accessType: commercial + url: https://www.opentext.com/products/encase-forensic + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - gui + - commercial + - scripting + - court-admissible + - case-management + - dongle-license + - enscript + - evidence-processor + - batch-capable + - certification-path + - legacy-standard + - enterprise-scale + related_concepts: + - Digital Evidence Chain of Custody + - name: FRED + icon: 🖥️ + type: software + description: >- + Forensic Recovery of Evidence Device - die High-End-Hardware-Lösung für + professionelle Forensik-Labore. Kombiniert Workstation, Imager und + Write-Blocker in einem System. Die UltraBay-Technologie ermöglicht + Hot-Swap von bis zu 8 Laufwerken gleichzeitig. Eingebaute Hardware- + Write-Blocker für alle gängigen Interfaces: SATA, SAS, IDE, USB, FireWire. + Die RAID-Rekonstruktion arbeitet mit defekten Arrays. Besonders wertvoll: + Paralleles Imaging mehrerer Evidenzen, Hardware- beschleunigte Hashing, + Unterstützung exotischer Formate. Die Touchscreen- Konsole steuert + Imaging-Vorgänge. Field-Kit-Version für Vor-Ort-Einsätze. Integration mit + FTK, EnCase, X-Ways. Die Workstation-Komponente analysiert während des + Imaging. Preis ab 15.000€ macht es zur Investition für High-Volume-Labs. + Der Support durch Digital Intelligence ist erstklassig. Die modulare + Bauweise erlaubt Upgrades. Für kleine Teams Overkill, für Behörden-Labs + oft Standard. Die Hardware-Zuverlässigkeit rechtfertigt den Premium-Preis. + domains: + - static-investigations + - incident-response + phases: + - data-collection + platforms: + - Hardware related_software: null domain-agnostic-software: null skillLevel: intermediate - accessType: download - url: https://ericzimmerman.github.io/ + accessType: commercial + url: https://www.digitalintelligence.com/products/fred/ + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - gui + - commercial + - write-blocker + - physical-copy + - scenario:disk_imaging + - multithreaded + - hardware-solution + - hot-swap + - raid-recovery + - parallel-imaging + - touch-control + - lab-equipment + related_concepts: + - Digital Evidence Chain of Custody + - name: GraphSense + icon: 📊 + type: software + description: >- + Die Open-Source-Blockchain-Analyse-Plattform aus Österreich bietet eine + datenschutzfreundliche Alternative zu US-Diensten. Attributions- freie + Analyse respektiert Privatsphäre während Ermittlungen. Der + Clustering-Algorithmus gruppiert Adressen zu Entities basierend auf + Heuristiken. TagPacks ermöglichen kollaboratives Labeling bekannter + Services. Die Apache-Cassandra-Architektur skaliert auf Milliarden + Transaktionen. REST-API für Tool-Integration. Unterstützt Bitcoin, + Ethereum, Litecoin mit wachsender Liste. Besonders wertvoll: Graphbasierte + Visualisierung von Geldflüssen, Risiko-Scores ohne externe Abhängigkeiten, + Self-Hosting für sensible Ermittlungen. Die akademische Herkunft (AIT) + garantiert Transparenz. Docker-Deployment vereinfacht Installation. Die + Attributions-Qualität erreicht noch nicht Chainalysis-Niveau, verbessert + sich aber stetig. EU-Förderung sichert Weiterentwicklung. Perfekt für + Organisationen die Blockchain-Forensik ohne US-Cloud-Abhängigkeit + benötigen. Die Zukunft der souveränen Krypto-Ermittlungen. + domains: + - static-investigations + - fraud-investigation + - incident-response + phases: + - analysis + - reporting + platforms: + - Web + related_software: + - Chainalysis + - Maltego + - Neo4j + domain-agnostic-software: null + skillLevel: intermediate + accessType: server-based + url: https://graphsense.org/ projectUrl: '' license: MIT knowledgebase: false tags: - - gui - - artifact-parser - - shellbags - - prefetch-viewer - - timeline - - jumplist - related_concepts: null - - name: Impacket - icon: 📦 + - web-interface + - blockchain-analysis + - opensource + - visualization + - anomaly-detection + - correlation-engine + - privacy-preserving + - self-hosted + - clustering-algorithm + - tagpack-system + - academic-backing + - eu-compliant + related_concepts: + - Hash Functions & Digital Signatures + - name: Gitea + icon: 🍵 type: software description: >- - Python-Bibliothek für Netzwerk-Protokoll-Manipulation und - Windows-Forensik. Ermöglicht Remote-Zugriff auf Windows-Systeme für - Live-Forensik und IR. Die Skript-Sammlung deckt von SMB-Enumeration bis - Kerberos-Attacks alles ab. Unverzichtbar für die Untersuchung von Lateral - Movement und scenario:persistence. + Das federleichte Git-Repository-System perfekt für Forensik-Teams die ihre + Tools und Dokumentation versionieren. Go-basierte Architektur läuft + ressourcenschonend auf Raspberry Pi bis Enterprise-Server. Die intuitive + Web-UI macht Git zugänglich für weniger technische Teammitglieder. + Besonders wertvoll für Forensik: Versionierung von YARA-Rules, IOC-Listen, + Analysis-Scripts, Case-Dokumentation. Die eingebaute CI/CD-Pipeline + (Actions) automatisiert Tool-Deployments und Qualitätschecks. + Issue-Tracker organisiert Ermittlungs-Tasks. Wiki dokumentiert Prozeduren. + Der Code-Review-Workflow sichert Vier-Augen-Prinzip. + Pull-Request-Templates standardisieren Contributions. Die API integriert + mit Forensik-Workflows. Mirror-Funktionen synchronisieren externe + Repositories. Niedrige Systemanforderungen erlauben Hosting im eigenen + Lab. Die Migration von GitHub/GitLab ist nahtlos. Perfekt für Teams die + Kontrolle über ihre Forensik- Artefakte behalten wollen ohne + Cloud-Abhängigkeit. Der Community- Fork von Gogs mit aktiverer + Entwicklung. + domains: + - incident-response + - malware-analysis + - static-investigations + phases: + - reporting + platforms: + - Web + related_software: null + domain-agnostic-software: + - collaboration-general + skillLevel: beginner + accessType: server-based + url: https://gitea.io/ + projectUrl: https://git.cc24.dev + license: MIT + knowledgebase: null + statusUrl: https://status.mikoshi.de/api/badge/18/status + tags: + - web-interface + - version-control + - git-integration + - collaboration + - multi-user-support + - automation-ready + - ci-cd-actions + - issue-tracking + - wiki-system + - code-review + - api-driven + - lightweight + related_concepts: + - Digital Evidence Chain of Custody + - name: ICSpector + type: software + description: >- + Microsofts Open-Source-Framework revolutioniert Industrial-Control-System- + Forensik mit spezialisierten Tools für SCADA/PLC-Untersuchungen. + Extrahiert Metadaten aus Siemens S7, Rockwell, Schneider Electric + Controllern. Die Python-basierte Architektur parst proprietäre Protokolle + und Dateiformate. Besonders wertvoll: Ladder-Logic-Extraktion zeigt + manipulierte Programme, Configuration-Diff erkennt unauthorized Changes, + Network-Capture-Analyse für ICS-Protokolle (Modbus, DNP3, IEC-104). + Timeline-Rekonstruktion aus Historian-Daten. Die Plugin-Architektur + erlaubt Erweiterung für neue Hersteller. Integration mit + Wireshark-Dissectors. Unterstützt sowohl Live-Systeme als auch + Offline-Images. Die Dokumentation erklärt ICS-Besonderheiten für + IT-Forensiker. Besonders relevant nach Stuxnet und zunehmenden + ICS-Angriffen. Die Community wächst mit kritischer + Infrastruktur-Bedeutung. Füllt die Lücke zwischen IT- und OT-Forensik. + Unverzichtbar für Kraftwerke, Wasserversorgung, Produktionsanlagen. Die + Zukunft der Infrastruktur-Forensik beginnt hier. + domains: + - ics-forensics + - incident-response + - malware-analysis + phases: + - data-collection + - examination + - analysis + skillLevel: advanced + url: https://github.com/microsoft/ics-forensics-tools + icon: 🏭 + platforms: + - Windows + - Linux + - macOS + accessType: download + license: MIT + knowledgebase: false + tags: + - command-line + - system-metadata + - artifact-parser + - cross-platform + - scripting + - opensource + - plc-analysis + - scada-forensics + - ladder-logic + - protocol-parser + - configuration-analysis + - ot-security + related_concepts: + - Digital Evidence Chain of Custody + related_software: + - Wireshark + - name: Impacket + icon: 🔨 + type: software + description: >- + Die Python-Bibliothek ist das Schweizer Taschenmesser für Windows- + Netzwerk-Forensik und Living-off-the-Land. Über 50 Beispiel-Scripts + demonstrieren mächtige Capabilities: smbexec.py für Remote-Execution, + secretsdump.py extrahiert Hashes, wmiexec.py für WMI-basierte Forensik. + Die Low-Level-Protokoll-Implementation ermöglicht granulare Kontrolle. + Besonders wertvoll für Incident-Response: Remote-Registry-Zugriff ohne + Agent, Kerberos-Ticket-Extraktion, NTLM-Relay-Detection. psexec.py als + forensische Alternative zu SysInternals. Die DCSync-Funktionalität hilft + bei Domain-Kompromittierungen. SMB/MSRPC-Parser für Traffic-Analyse. + Integration in Forensik-Frameworks wie Volatility. Die aktive SecureAuth- + Entwicklung hält mit Windows-Updates Schritt. Dokumentation erklärt + Windows-Interna für Linux-Forensiker. Vorsicht: Viele Features sind + dual-use - klare Policies nötig. Die ethische Nutzung unterscheidet + Forensiker von Angreifern. Unverzichtbar für moderne Windows-Forensik ohne + Microsoft-Tools. domains: - incident-response - network-forensics @@ -1754,423 +3279,1210 @@ tools: - scenario:persistence - protocol-decode - live-process-view - - name: RSA NetWitness - icon: 📦 + - windows-protocols + - credential-extraction + - lateral-movement + - registry-access + - wmi-forensics + - python-library + related_concepts: + - Digital Evidence Chain of Custody + - name: Kismet + icon: 📡 type: software description: >- - Enterprise-Grade SIEM und Forensik-Plattform für große Netzwerke. - Korreliert Logs, Packets und Endpoints für 360-Grad-Sicht auf Incidents. - Die Hunting-Funktionen nutzen ML für Anomalie-Erkennung in Petabytes von - Daten. Lizenzkosten im siebenstelligen Bereich für vollständige - Deployment. + Der Wireless-Netzwerk-Detektor und Sniffer findet versteckte WLANs, + Rogue-Access-Points und verdächtige Clients. Passives Monitoring ohne + Aussenden von Probe-Requests macht es ideal für verdeckte Ermittlungen. + Unterstützt 802.11a/b/g/n/ac und moderne Standards. Die GPS-Integration + ermöglicht War-Driving mit präziser Standort-Zuordnung. Besonders + wertvoll: Erkennung von Deauth-Attacks, Evil-Twin-APs, Client-Isolation- + Bypasses. Die Plugin-Architektur erweitert für Bluetooth, Zigbee, andere + Funkprotokolle. REST-API für Integration in SOC-Dashboards. Der + Distributed-Mode koordiniert mehrere Sensoren. PCAP-Export für + Wireshark-Analyse. Die Alert-Engine meldet Sicherheitsverletzungen. Web-UI + visualisiert Netzwerk-Topologie. Besonders stark bei Firmen- WLAN-Audits + und Incident-Response. Die Log-Correlation findet Zusammenhänge zwischen + Events. Unterstützt Software-Defined-Radios für erweiterte + Frequenzbereiche. Die Community-Entwicklung fokussiert auf + Praktiker-Bedürfnisse. Standard-Tool für Wireless-Forensik weltweit. domains: - incident-response - network-forensics + phases: + - data-collection + - examination + platforms: + - Linux + related_software: + - Aircrack-ng + - WiFi Pineapple + - Wireshark + domain-agnostic-software: null + skillLevel: advanced + accessType: download + url: https://www.kismetwireless.net/ + projectUrl: '' + license: GPL-2.0 + knowledgebase: false + tags: + - gui + - pcap-capture + - geolocation + - live-acquisition + - anomaly-detection + - wireless-analysis + - passive-monitoring + - gps-mapping + - multi-protocol + - distributed-sensors + - api-enabled + - wardrive-capable + related_concepts: null + - name: ArcGIS + type: software + description: >- + Kommerzielles GIS von Esri zur geobasierten Korrelation forensischer + Artefakte und Tatortrekonstruktion. + skillLevel: intermediate + url: https://www.esri.com/arcgis + icon: 🌍 + domains: + - fraud-investigation + - network-forensics + phases: + - reporting + tags: + - mapping + - visualization + related_concepts: null + platforms: + - Windows + - macOS + accessType: commercial + license: Proprietary + knowledgebase: false + - name: Binary Ninja + type: software + description: >- + Kommerzielle Reverse‑Engineering‑Suite mit decompiler, Skript‑API und + intuitiver GUI für Malware‑Analysen. + skillLevel: advanced + url: https://binary.ninja + icon: 🛠️ + domains: + - malware-analysis + - static-investigations + phases: + - analysis + tags: + - reverse-engineering + - decompiler + related_concepts: null + platforms: + - Windows + - macOS + - Linux + accessType: commercial + license: Proprietary + knowledgebase: false + - name: CapLoader + type: software + description: >- + Windows‑Tool zum schnellen Indexieren, Filtern und Rekonstruieren von + Flows in großen PCAP/PcapNG‑Sammlungen. + skillLevel: intermediate + url: https://www.netresec.com/?page=CapLoader + icon: 📡 + domains: + - network-forensics + phases: + - examination + - analysis + tags: + - pcap + - flow-extraction + related_concepts: null + platforms: + - Windows + accessType: commercial + license: Proprietary + knowledgebase: false + - name: Collabora Online + type: software + description: >- + Web‑basierte Open‑Source‑Office‑Suite mit kompletter + Dokumenten‑Bearbeitung und Live‑Kollaboration. + skillLevel: beginner + url: https://www.collaboraonline.com + icon: 📝 + domains: + - collaboration-general + phases: + - reporting + tags: + - office + - collaboration + platforms: + - Linux + - Windows + accessType: download + license: "MPL\_/ AGPL" + knowledgebase: false + - name: Cortex + type: software + description: >- + Open‑Source‑Analyzer‑Engine, führt hunderte Observable‑Analysen aus und + kann aktive Response auslösen. + skillLevel: intermediate + url: https://strangebee.com/cortex + icon: 🧩 + domains: + - incident-response - malware-analysis phases: - - data-collection - - examination - analysis + tags: + - automation + - threat-intel + platforms: + - Linux + accessType: download + license: AGPL v3 + knowledgebase: false + - name: Elasticsearch + type: software + description: >- + Schnelle verteilte Such‑ & Analytics‑Engine, Kern der + Elastic‑Stack‑Forensik­plattformen. + skillLevel: intermediate + url: https://www.elastic.co/elasticsearch + icon: 🔍 + domains: + - incident-response + - network-forensics + phases: + - analysis + tags: + - search + - big-data + platforms: + - Linux + - Windows + accessType: download + license: "Elastic\_License\_/\_SSPL" + knowledgebase: false + - name: Elliptic + type: software + description: >- + Kommerzielle Blockchain‑Analytics‑Plattform für Risiko‑ und + Geldwäsche­ermittlungen in Kryptowährungen. + skillLevel: intermediate + url: https://www.elliptic.co + icon: ₿ + domains: + - fraud-investigation + phases: + - analysis + tags: + - blockchain + - aml platforms: - Web - related_software: null - domain-agnostic-software: null - skillLevel: expert - accessType: commercial - url: https://www.netwitness.com/ - projectUrl: '' - license: Proprietary + accessType: cloud + license: Subscription knowledgebase: false - tags: - - web-interface - - commercial - - correlation-engine - - anomaly-detection - - distributed - - threat-scoring - - name: X-Ways Forensics - icon: 📦 + - name: FACT type: software description: >- - Der deutsche Präzisionsskalpell unter den Forensik-Tools mit - unübertroffener Effizienz. Besonders geschätzt für blitzschnelle Searches - in Multi-Terabyte-Images. Die spartanische Oberfläche schreckt Einsteiger - ab, Profis schwören darauf. Deutlich günstiger als US-Konkurrenz bei - vergleichbarer Funktionalität. - domains: - - static-investigations - - incident-response - phases: - - examination - - analysis - platforms: - - Windows - related_software: null - domain-agnostic-software: null - skillLevel: expert - accessType: commercial - url: https://www.x-ways.net/forensics/ - projectUrl: '' - license: Proprietary - knowledgebase: false - tags: - - gui - - commercial - - keyword-search - - fast-scan - - court-admissible - - dongle-license - - name: EnCase - icon: 📦 - type: software - description: >- - Der Veteran der kommerziellen Forensik-Tools mit 25 Jahren - Gerichtserfahrung. EnScript-Programmierung ermöglicht maßgeschneiderte - Automatisierung. Die Zertifizierung (EnCE) ist in vielen Behörden - Einstellungsvoraussetzung. - domains: - - static-investigations - - incident-response - phases: - - data-collection - - examination - - analysis - - reporting - platforms: - - Windows - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: commercial - url: https://www.opentext.com/products/encase-forensic - projectUrl: '' - license: Proprietary - knowledgebase: false - tags: - - gui - - commercial - - scripting - - court-admissible - - case-management - - dongle-license - related_concepts: - - Digital Evidence Chain of Custody - - name: FRED + Open‑Source‑Framework zur automatisierten Firmware‑Analyse und Vergleich + großer IoT‑Images. + skillLevel: advanced + url: https://github.com/fkie-cad/FACT_core icon: 🔧 - type: software - description: >- - Forensic Recovery of Evidence Device - spezialisierte Hardware für - Imaging. Kombiniert Write-Blocker, Imager und Analyse-Workstation in einem - System. Die Ultrabay-Technologie ermöglicht Hot-Swap mehrerer Drives - gleichzeitig. Für High-Volume-Labs die Investition wert, für - Gelegenheitsnutzer Overkill. - domains: - - static-investigations - - incident-response - phases: - - data-collection - platforms: - - Hardware - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: commercial - url: https://www.digitalintelligence.com/products/fred/ - projectUrl: '' - license: Proprietary - knowledgebase: false - tags: - - gui - - commercial - - write-blocker - - physical-copy - - scenario:disk_imaging - - multithreaded - - name: ICSpector - type: software - description: >- - Ein von Microsoft entwickeltes Open-Source-Framework, das eine besondere - Nische bedient: Die Datensammlung bei Industriekontrollsystemen und - PLC-Metadaten. domains: - ics-forensics + - malware-analysis + phases: + - analysis + tags: + - firmware + - automation + platforms: + - Linux + accessType: download + license: GPL v3 + knowledgebase: false + - name: FOCA + type: software + description: >- + Werkzeug zum Sammeln und Auswerten von Metadaten in Dokumenten für OSINT‑ + und Infrastruktur­aufklärung. + skillLevel: beginner + url: https://github.com/ElevenPaths/FOCA + icon: 🗂️ + domains: + - static-investigations + - fraud-investigation + phases: + - examination + tags: + - metadata + - osint + platforms: + - Windows + accessType: download + license: GPL v3 + knowledgebase: false + - name: Firmware Analysis Toolkit + type: software + description: >- + Skript‑Sammlung zur automatisierten Firmware‑Emulation auf Basis von + Firmadyne für Schwachstellenforschung. + skillLevel: advanced + url: https://github.com/attify/firmware-analysis-toolkit + icon: 📦 + domains: + - ics-forensics + - malware-analysis + phases: + - analysis + tags: + - emulation + - firmware + platforms: + - Linux + accessType: download + license: MIT + knowledgebase: false + - name: GCHQ Tools + type: software + description: >- + Sammlung freier GCHQ‑Utilities, allen voran CyberChef\_– das + „Cyber‑Schweizer‑Taschenmesser“ für Encoding, Crypto und Datenanalyse. + skillLevel: beginner + url: https://gchq.github.io/CyberChef + icon: 🥄 + domains: + - domain-agnostic-software + phases: + - analysis + tags: + - encoding + - crypto + - parsing + platforms: + - Web + accessType: download + license: Apache 2.0 + knowledgebase: false + - name: Gephi + type: software + description: >- + Open‑Source‑Plattform zur Visualisierung und Exploration großer + Graph‑Netzwerke. + skillLevel: intermediate + url: https://gephi.org + icon: 🕸️ + domains: + - fraud-investigation + - network-forensics + phases: + - analysis + tags: + - graph-analysis + - visualization + platforms: + - Windows + - macOS + - Linux + accessType: download + license: "GPL\_v3\_/\_CDDL" + knowledgebase: false + - name: Google Earth Pro + type: software + description: >- + Desktop‑3D‑Globus mit historischem Satelliten‑Archiv, hilfreich zur + OSINT‑Verifikation von Schauplätzen. + skillLevel: beginner + url: https://www.google.com/earth/versions/#earth-pro + icon: 🌐 + domains: + - fraud-investigation + phases: + - reporting + tags: + - satellite + - osint + platforms: + - Windows + - macOS + accessType: download + license: Freeware + knowledgebase: false + - name: GrayKey + type: software + description: >- + Kommerzielle iOS‑Entsperrplattform für Strafverfolgung mit Brute‑Force‑ + und Hardware‑Exploits. + skillLevel: advanced + url: https://grayshift.com/graykey + icon: 🔑 + domains: + - mobile-forensics phases: - data-collection - - examination - - analysis + tags: + - ios + - unlocking + platforms: + - iOS + accessType: hardware + license: Proprietary + knowledgebase: false + - name: IDA Pro + type: software + description: >- + Branchen­standard‑Disassembler und Decompiler‑Framework für tiefgehendes + Reverse‑Engineering. skillLevel: advanced - url: https://github.com/microsoft/ics-forensics-tools - icon: 🛠 + url: https://hex-rays.com/ida-pro + icon: 🖥️ + domains: + - malware-analysis + - static-investigations + phases: + - analysis + tags: + - disassembler + - decompiler + platforms: + - Windows + - macOS + - Linux + accessType: commercial + license: Proprietary + knowledgebase: false + - name: KAPE + type: software + description: >- + Frei verfügbares Sammelscript von Kroll, das gezielt Artefakte erfasst und + Module für gängige Parser automatisiert ausführt. + skillLevel: intermediate + url: https://www.kroll.com/kape + icon: 🧰 + domains: + - incident-response + - static-investigations + phases: + - data-collection + tags: + - artifact-collection + - triage + platforms: + - Windows + accessType: download + license: Freeware + knowledgebase: false + - name: Kibana + type: software + description: >- + Visualisierungs‑Frontend des Elastic‑Stacks für Dashboards, Zeitreihen und + Threat‑Hunting‑Queries. + skillLevel: beginner + url: https://www.elastic.co/kibana + icon: 📊 + domains: + - incident-response + phases: + - analysis + - reporting + tags: + - dashboards + - analytics + platforms: + - Linux + - Windows + accessType: download + license: "Elastic\_License\_/\_SSPL" + knowledgebase: false + - name: LiME + type: software + description: >- + Kernel‑Modul für Linux/Android, das RAM‑Dumps forensisch sauber zu Datei + oder Netz streamt. + skillLevel: advanced + url: https://github.com/504ensicsLabs/LiME + icon: 🧠 + domains: + - incident-response + - mobile-forensics + phases: + - data-collection + tags: + - memory + - acquisition + platforms: + - Linux + - Android + accessType: download + license: GPL v2 + knowledgebase: false + - name: Loki + type: software + description: >- + Portabler IOC‑ und YARA‑Scanner für schnelle Incident‑Response ohne + Installation. + skillLevel: intermediate + url: https://github.com/Neo23x0/Loki + icon: 🔎 + domains: + - incident-response + phases: + - examination + tags: + - ioc + - yara + platforms: + - Windows + - Linux + accessType: download + license: GPL v3 + knowledgebase: false + - name: Maltego + type: software + description: >- + Graph‑basierte Link‑Analysis‑Suite für OSINT, Fraud‑ und + Infrastrukturuntersuchungen. + skillLevel: intermediate + url: https://www.maltego.com + icon: 🌐 + domains: + - fraud-investigation + - network-forensics + phases: + - analysis + tags: + - osint + - link-analysis + platforms: + - Windows + - macOS + - Linux + accessType: freemium + license: Proprietary + knowledgebase: false + - name: OnlyOffice + type: software + description: >- + Open‑Source‑Office‑Suite mit Echtzeit‑Kollaboration und guter + MS‑Office‑Kompatibilität. + skillLevel: beginner + url: https://www.onlyoffice.com + icon: 📄 + domains: + - collaboration-general + phases: + - reporting + tags: + - office + - collaboration platforms: - Windows - Linux - macOS accessType: download - license: MIT + license: "AGPL\_/\_Apache\_2.0" knowledgebase: false - tags: - - command-line - - system-metadata - - artifact-parser - - cross-platform - - scripting - - opensource - - name: Live Memory Acquisition Procedure - icon: 📋 - type: method - description: >- - Standardisiertes Verfahren zur forensisch korrekten Akquisition des - Arbeitsspeichers laufender Systeme. Umfasst Bewertung der - Systemkritikalität, Auswahl geeigneter Tools, Minimierung der - System-Kontamination und Dokumentation der Chain of Custody. Essentiell - für die Sicherung flüchtiger Beweise wie Prozess-Informationen, - Netzwerkverbindungen und Verschlüsselungsschlüssel. - domains: - - incident-response - - static-investigations - - malware-analysis - phases: - - data-collection - platforms: [] - related_software: null - domain-agnostic-software: null - skillLevel: advanced - accessType: null - url: >- - https://www.nist.gov/publications/guide-integrating-forensic-techniques-incident-response - projectUrl: null - license: null - knowledgebase: false - tags: - - live-acquisition - - scenario:memory_dump - - chain-of-custody - - standards-compliant - related_concepts: - - Digital Evidence Chain of Custody - - name: Rapid Incident Response Triage on macOS - icon: 📋 - type: method - description: >- - Spezialisierte Methodik für die schnelle Incident Response auf - macOS-Systemen mit Fokus auf die Sammlung kritischer forensischer - Artefakte in unter einer Stunde. Adressiert die Lücke zwischen - Windows-zentrierten IR-Prozessen und macOS-spezifischen - Sicherheitsarchitekturen. Nutzt Tools wie Aftermath für effiziente - Datensammlung ohne zeitaufwändige Full-Disk-Images. Besonders wertvoll für - Unternehmensumgebungen mit gemischten Betriebssystem-Landschaften. - domains: - - incident-response - - static-investigations - - malware-analysis - phases: - - data-collection - - examination - platforms: [] - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: null - url: >- - https://www.sans.org/white-papers/rapid-incident-response-on-macos-actionable-insights-under-hour/ - projectUrl: null - license: null - knowledgebase: null - tags: - - triage - - fast-scan - - apfs - - selective-imaging - - name: Aftermath - icon: 📦 + - name: OpenCTI type: software description: >- - Jamf's Open-Source-Tool für die schnelle Sammlung forensischer Artefakte - auf macOS-Systemen. Sammelt kritische Daten wie Prozessinformationen, - Netzwerkverbindungen, Dateisystem-Metadaten und Systemkonfigurationen ohne - Full-Disk-Imaging. Speziell entwickelt für die Rapid-Response-Triage in - Enterprise-Umgebungen mit macOS-Geräten. Normalisiert Zeitstempel und - erstellt durchsuchbare Ausgabeformate für effiziente Analyse. + AGPL‑Plattform zur Aggregation, Analyse und Verteilung von + Cyber‑Threat‑Intelligence. + skillLevel: intermediate + url: https://filigran.io/platforms/opencti + icon: 🗂️ domains: - incident-response - - static-investigations - - malware-analysis phases: - - data-collection - - examination + - analysis + tags: + - threat-intel + - graph platforms: - - macOS - related_software: null - domain-agnostic-software: null - skillLevel: intermediate + - Linux accessType: download - url: https://github.com/jamf/aftermath/ - projectUrl: '' - license: Apache 2.0 + license: AGPL v3 knowledgebase: false - tags: - - command-line - - triage - - system-metadata - - apfs - - time-normalization - - structured-output - - name: Regular Expressions (Regex) - icon: 🔤 - type: concept - description: >- - Musterabgleichssprache für die Suche, Extraktion und Manipulation von - Text. Essentiell für Log-Analysen, Malware-Signaturerstellung und - Datenextraktion aus unstrukturierten Quellen. Bildet das Rückgrat vieler - Forensik-Tools und maßgeschneiderter Skripte. Ermöglicht komplexe - Textsuchen mit Wildcards, Zeichenklassen und Quantifizierern. - domains: - - incident-response - - malware-analysis - - network-forensics - - fraud-investigation - phases: - - examination - - analysis - platforms: [] - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: null - url: https://regexr.com/ - projectUrl: null - license: null - knowledgebase: true - tags: - - regex-search - - string-search - - log-parser - - automation-ready - - name: SQL - icon: 🗃️ - type: concept - description: >- - Structured Query Language für Datenbankabfragen und -analysen. Kritisch - für die Untersuchung von Anwendungsdatenbanken, SQLite-Artefakten von - mobilen Geräten und Browser-Historie-Datenbanken. Ermöglicht komplexe - Korrelationen und Filterung großer Datensätze. Unverzichtbar für die - Analyse von Messenger-Daten, App-Nutzung und Kommunikationsverläufen. - domains: - - incident-response - - mobile-forensics - - fraud-investigation - - cloud-forensics - phases: - - examination - - analysis - platforms: [] - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: null - url: https://www.w3schools.com/sql/ - projectUrl: null - license: null - knowledgebase: false - tags: - - sqlite-viewer - - correlation-engine - - mobile-app-data - - browser-history - - name: Hash Functions & Digital Signatures - icon: 🔐 - type: concept - description: >- - Kryptographische Prinzipien für Datenintegritätsprüfung und - Authentifizierung. Fundamental für Beweissicherung, - Malware-Identifikation und Etablierung der Beweiskette. Verständnis von - MD5, SHA-Familien und digitaler Signaturvalidierung. Ermöglicht - Manipulationserkennung und eindeutige Dateienidentifikation in - forensischen Untersuchungen. - domains: - - incident-response - - static-investigations - - malware-analysis - - cloud-forensics - phases: - - data-collection - - examination - platforms: [] - related_software: null - domain-agnostic-software: null - skillLevel: advanced - accessType: null - url: https://en.wikipedia.org/wiki/Cryptographic_hash_function - projectUrl: null - license: null - knowledgebase: false - tags: - - hashing - - integrity-check - - chain-of-custody - - standards-compliant - - name: Digital Evidence Chain of Custody - icon: ⛓️ - type: concept - description: >- - Rechtssichere Dokumentation der Beweiskette von der Sicherung bis zur - Gerichtsverhandlung. Umfasst Identifikation, Sammlung, Akquisition, - Übertragung, Speicherung und Analyse digitaler Beweise. Gewährleistet - Integrität, Authentizität und Nachvollziehbarkeit aller - Bearbeitungsschritte. Kritisch für die gerichtliche Verwertbarkeit - forensischer Erkenntnisse und Compliance-Anforderungen. - domains: - - incident-response - - static-investigations - - fraud-investigation - - mobile-forensics - phases: - - data-collection - - examination - - analysis - - reporting - platforms: [] - related_software: null - domain-agnostic-software: null - skillLevel: advanced - accessType: null - url: https://www.researchgate.net/publication/368666640_The_Chain_of_Custody_in_the_Era_of_Modern_Forensics_From_the_Classic_Procedures_for_Gathering_Evidence_to_the_New_Challenges_Related_to_Digital_Data - projectUrl: null - license: null - knowledgebase: true - tags: - - chain-of-custody - - standards-compliant - - court-admissible - - audit-trail - - name: MSAB XRY + - name: Oxygen Forensic Suite type: software description: >- - Die Smartphone-Extraktionssoftware der Firma MSAB positioniert sich als - Konkurrenz zum Marktführer Cellebrite. MSAB wirbt mit dem Imaging selbst - neuester Android- und IOS-Geräte. - skillLevel: beginner - url: https://www.msab.com/product/xry-extract/ - icon: 📦 + Umfassende Mobile‑Forensic‑Lösung zum Extrahieren, Entschlüsseln und + Analysieren von App‑ und Cloud‑Daten. + skillLevel: advanced + url: https://www.oxygenforensics.com + icon: 📱 domains: - mobile-forensics + phases: + - examination + - analysis + tags: + - mobile + - cloud + - decryption + platforms: + - Windows + license: Proprietary + knowledgebase: false + - name: Radare2 + type: software + description: >- + Mächtiges CLI‑Reverse‑Engineering‑Framework mit Skript‑Hooks, Debugger und + Binary‑Patching. + skillLevel: advanced + url: https://rada.re/n/radare2.html + icon: 🗡️ + domains: + - malware-analysis + phases: + - analysis + tags: + - reverse-engineering + - scripting + platforms: + - Windows + - Linux + - macOS + accessType: download + license: LGPL v3 + knowledgebase: false + - name: Rekall + type: software + description: >- + Python‑basiertes Framework zur Speicher­erfassung und -analyse, Nachfolger + von Volatility mit schneller AFF4‑Unterstützung. + skillLevel: advanced + url: https://github.com/google/rekall + icon: 🧬 + domains: + - incident-response + phases: + - analysis + tags: + - memory + - python + platforms: + - Windows + - Linux + - macOS + accessType: download + license: Apache 2.0 + knowledgebase: false + - name: Suricata + type: software + description: >- + Hochperformanter Open‑Source‑IDS/IPS/NSM‑Sensor mit Multi‑Threading und + Lua‑Scripting. + skillLevel: intermediate + url: https://suricata.io + icon: 🛡️ + domains: + - network-forensics + phases: + - analysis + tags: + - ids + - nsm + platforms: + - Linux + - Windows + accessType: download + license: GPL v2 + knowledgebase: false + - name: VirusTotal + type: software + description: >- + Online‑Sandbox und Multi‑AV‑Scanner zum schnellen Prüfen von Dateien, + Domains und URLs. + skillLevel: beginner + url: https://www.virustotal.com + icon: 🦠 + domains: + - malware-analysis + phases: + - examination + tags: + - sandbox + - av-scan + platforms: + - Web + accessType: cloud + license: Freemium + knowledgebase: true + - name: WinHex + type: software + description: >- + Universeller Hex‑, Disk‑ und RAM‑Editor für forensische Tiefenanalysen und + Datenrettung. + skillLevel: intermediate + url: https://x-ways.net/winhex + icon: 🗜️ + domains: + - static-investigations + phases: + - examination + tags: + - hex-editor + - carving + platforms: + - Windows + accessType: commercial + license: Proprietary + knowledgebase: false + - name: WinPmem + type: software + description: >- + Open‑Source‑Tool für physikalische Speicherabbilder unter Windows mit + mehreren Zugriffsmethoden. + skillLevel: advanced + url: https://winpmem.velocidex.com + icon: 💾 + domains: + - incident-response phases: - data-collection + tags: + - memory + - acquisition platforms: - Windows accessType: download + license: GPL v2 + knowledgebase: false + - name: Zeek + type: software + description: >- + Netzwerk‑Security‑Monitor (ehemals Bro) für detaillierte + Protokoll­Transkripte und Skript‑basierte Threat‑Hunting‑Logik. + skillLevel: advanced + url: https://zeek.org + icon: 📈 + domains: + - network-forensics + phases: + - analysis + tags: + - nsm + - scripting + platforms: + - Linux + - macOS + accessType: download + license: BSD + knowledgebase: false + - name: osquery + type: software + description: >- + SQL‑basiertes Endpoint‑Telemetry‑Framework, ideal für + Incident‑Response‑Fragen über große Flotten hinweg. + skillLevel: intermediate + url: https://osquery.io + icon: 🗄️ + domains: + - incident-response + phases: + - examination + tags: + - endpoint + - sql + platforms: + - Linux + - Windows + - macOS + accessType: download + license: Apache 2.0 + knowledgebase: false + - name: tcpdump + type: software + description: >- + Klassischer CLI‑Packet‑Sniffer unter BSD‑Lizenz, Basis vieler + Netzwerk‑Forensik‑Workflows. + skillLevel: intermediate + url: https://www.tcpdump.org + icon: 🐙 + domains: + - network-forensics + phases: + - data-collection + tags: + - pcap + - cli + platforms: + - Linux + - macOS + - BSD + accessType: download + license: BSD + knowledgebase: false + - name: x64dbg + type: software + description: >- + GPL‑Debugger für Windows‑Binärdateien mit Plugin‑System, beliebt bei + Malware‑Analyst:innen. + skillLevel: advanced + url: https://x64dbg.com + icon: 🐛 + domains: + - malware-analysis + phases: + - analysis + tags: + - debugger + - reverse-engineering + platforms: + - Windows + accessType: download + license: GPL v3 + knowledgebase: false + - name: grep + type: software + description: >- + Klassisches Unix-Werkzeug zur Zeilenfilterung, entwickelt 1973 von + Ken Thompson zur schnellen Suche nach regulären Ausdrücken in Dateien oder + Datenströmen. Der Name leitet sich vom ed‑Kommando „g/re/p“ ab und + spiegelt die Funktionsweise wider: globaler Ausdruck, Zeile drucken. + GNU grep unterstützt drei Regex‑Dialekte (BRE, ERE, PCRE), + Farb‑Highlighting und Zero‑Copy‑Block‑Pufferung für Höchstgeschwindigkeit + auch in riesigen Logs. Dank seiner Pipe‑Kompatibilität ist grep + Grundbaustein unzähliger DFIR‑Einzeiler zum Parsen von Artefakten, + Netzwerk‑Flows und Memory‑Dumps. + skillLevel: beginner + url: https://www.gnu.org/software/grep/ + icon: 🔍 + domains: + - incident-response + - static-investigations + phases: + - examination + - analysis + tags: + - commandline + - regular-expressions + - piping + - filtering + related_concepts: + - Regular Expressions (Regex) + platforms: + - Linux + - macOS + - Windows + accessType: download + license: "GPL\_v3" + knowledgebase: false + - name: md5sum / sha256sum + type: software + description: >- + Klassische Kommandozeilen‑Checksummengeneratoren aus den GNU coreutils, + die schnell kryptografische Prüfsummen (MD5 bzw. SHA‑256) berechnen und + verifizieren können. Ideal zur Integritätsprüfung von Forensik‑Images, + Log‑Archiven und Download‑Artefakten; auch als Stream‑Filter einsetzbar + („cat image.dd | sha256sum“). Minimalistischer Funktionsumfang, aber auf + nahezu jeder Unix‑ähnlichen Plattform vorinstalliert und damit überall + verfügbar. + skillLevel: beginner + url: https://www.gnu.org/software/coreutils/ + icon: 🔢 + domains: + - incident-response + - static-investigations + - malware-analysis + phases: + - examination + - analysis + tags: + - commandline + - hashing + - integrity + related_concepts: + - Hash Functions & Digital Signatures + platforms: + - Linux + - macOS + - Windows + accessType: built‑in + license: "GPL\_v3" + knowledgebase: false + - name: hashdeep + type: software + description: >- + Multithread‑fähiges Audit‑Werkzeug, das Dateien rekursiv einliest und + gleich mehrere Hash‑Algorithmen (MD5, SHA‑1, SHA‑256, Tiger u.a.) erzeugt. + Unterstützt „baseline auditing“ zum automatischen Wieder­erkennen neuer + oder veränderter Dateien und kann Hash‑Listen in NIST‑NSRL‑ oder + CSV‑Format ausgeben – perfekt für große Datenträger‑Batches. + skillLevel: intermediate + url: https://github.com/jessek/hashdeep + icon: 🏷️ + domains: + - static-investigations + - cloud-forensics + phases: + - examination + - analysis + tags: + - hashing + - auditing + - multihash + related_concepts: null + platforms: + - Linux + - macOS + - Windows + accessType: download + license: Public Domain + knowledgebase: false + - name: ssdeep + type: software + description: >- + Tool zur Berechnung „fuzzy hashes“ (Context Triggered Piecewise Hashing, + CTPH) für Ähnlichkeits­analysen von Dateien. Kann binäre + Malware‑Varianten, Dokumentschablonen oder Logs selbst bei nur teilweisen + Überschneidungen matchen. Ausgabe‑Hashes lassen sich in Datenbanken oder + YARA‑Regeln integrieren. + skillLevel: intermediate + url: https://ssdeep-project.github.io/ssdeep/ + icon: 🔍 + domains: + - malware-analysis + - incident-response + phases: + - analysis + tags: + - fuzzy-hashing + - similarity + related_concepts: null + platforms: + - Linux + - macOS + - Windows + accessType: download + license: "GPL\_v2" + knowledgebase: false + - name: hashcat + type: software + description: >- + Höchstperformanter Passwort‑Recovery‑Accelerator, der CPUs, GPUs, FPGAs + und sogar ASICs parallel nutzen kann. Unterstützt über 300 Hash‑Formate + (u.a. bcrypt, NTLM, Kerberos, WPA‑PMKID) und besitzt flexible Angriffsmodi + (Dictionary, Mask, Hybrid, Rule‑Based). Dank OpenCL‑Backend skaliert + hashcat von Laptop‑GPU bis zu verteilten Clustern – unverzichtbar für + Credential‑Audits und Incident‑Response. + skillLevel: advanced + url: https://hashcat.net/hashcat/ + icon: ⚡ + domains: + - incident-response + - fraud-investigation + phases: + - analysis + tags: + - password-recovery + - gpu-acceleration + - cracking + related_concepts: null + platforms: + - Linux + - Windows + - macOS + accessType: download + license: MIT + knowledgebase: false + - name: Linkurious + type: software + description: >- + Intuitive Graph‑Visualisierungs‑ und Analyseplattform, die + Graphdatenbanken wie Neo4j überlagert und Ermittler:innen dabei + unterstützt, versteckte Beziehungen in Betrugs‑, AML‑ und + Sicherheitsfällen aufzudecken. Leistungsstarke Filter, Geo‑ und + Zeitachsenansichten sowie Automatisierungsvorlagen erleichtern das Hunten + komplexer Netzwerke und das Erstellen aussagekräftiger Beweisgrafiken. + skillLevel: intermediate + url: https://linkurious.com/ + icon: 🕸️ + domains: + - fraud-investigation + - network-forensics + - incident-response + phases: + - analysis + - reporting + tags: + - graph-visualisierung + - link-analysis + - aml + - fraud + related_concepts: null + platforms: + - Web + - Linux + accessType: commercial license: Proprietary knowledgebase: false + - name: Android Studio + type: software + description: "Offizielle IDE von Google für die Android‑Entwicklung, basierend auf JetBrains\_IntelliJ\_IDEA. Integriert ein flexibles Gradle‑Buildsystem, Jetpack‑Compose‑Designer, Geräte‑Emulator, Profiler und Debugging‑Tools, um mobile Apps effizient zu erstellen, zu testen und zu analysieren – auch für forensische Re‑Packaging‑ oder Malware‑Analysen von APKs." + skillLevel: intermediate + url: https://developer.android.com/studio + icon: 📱 + domains: + - mobile-forensics + - malware-analysis + phases: + - examination + - analysis tags: - - gui - - commercial - - mobile-app-data - - physical-copy - - decryption - - court-admissible + - ide + - android + - emulator + - debugging + related_concepts: null + platforms: + - Windows + - macOS + - Linux + accessType: download + license: Freeware + knowledgebase: false + - name: ADB + type: software + description: >- + Vielseitiges Client‑Server‑Kommandozeilenwerkzeug, mit dem Fachleute über + USB oder Netzwerk mit Android‑Geräten und Emulatoren kommunizieren: Pakete + installieren, Dateien extrahieren, Logcats erfassen, Ports weiterleiten + und logische wie physische Datensicherungen erstellen. Unverzichtbar für + mobile Forensik, Incident‑Response und App‑Entwicklung. + skillLevel: intermediate + url: https://developer.android.com/tools/adb + icon: 🔌 + domains: + - mobile-forensics + - incident-response + phases: + - data-collection + - examination + tags: + - cli + - mobile + - device-management + - extraction + related_concepts: null + platforms: + - Windows + - macOS + - Linux + accessType: download + license: Freeware + knowledgebase: false + - name: dc3dd + type: software + description: "dc3dd ist eine forensisch erweiterte Variante des klassischen Unix‑Befehls dd. Sie unterstützt das gleichzeitige Berechnen mehrerer Hash‑Werte (MD5, SHA‑1, SHA‑256, SHA‑512) während der Image‑Erstellung, führt ein detailliertes Log mit Prüfsummen und Fehlerblöcken und zeigt einen Fortschrittsbalken an. Weitere Funktionen sind das Splitten großer Abbilder, das gezielte Überschreiben von Mustern zum sicheren Löschen\_und die Möglichkeit, Fehlersektoren separat auszugeben, was besonders bei defekten Medien hilfreich ist." + skillLevel: intermediate + url: https://sourceforge.net/projects/dc3dd/ + icon: 💾 + domains: + - incident-response + - static-investigations + phases: + - data-collection + tags: + - disk-imaging + - hashing + - wiping + - logging + - cli related_concepts: - - SQL - - Digital Evidence Chain of Custody + - Hash Functions & Digital Signatures + platforms: + - Linux + - Windows + accessType: download + license: "GPL\_v2" + knowledgebase: false + - name: ddrescue + type: software + description: >- + GNU ddrescue ist ein spezialisiertes Datenrettungs‑Tool, das beschädigte + oder fehlerhafte Blockgeräte sektorweise ausliest und zunächst alle gut + lesbaren Bereiche sichert, bevor es sich mehrfach an problematischen + Sektoren versucht. Sein Map‑File protokolliert jeden Leseversuch, sodass + abgebrochene Wiederherstellungen jederzeit fortgesetzt oder optimiert + werden können, ohne bereits gerettete Sektoren erneut zu belasten. Zudem + bietet ddrescue einen Fill‑Modus, um schwierige Bereiche gezielt mit + Platzhaltern zu überschreiben – nützlich für die Vorbereitung + nachträglicher Dateisystem‑Reparaturen. + skillLevel: intermediate + url: https://www.gnu.org/software/ddrescue/ + icon: 🛟 + domains: + - static-investigations + - fraud-investigation + phases: + - data-collection + tags: + - data-recovery + - disk-imaging + - map-file + - cli + related_concepts: null + platforms: + - Linux + - macOS + - Windows + accessType: download + license: "GPL\_v2+" + knowledgebase: false + - name: REMnux + type: software + description: "REMnux ist eine auf Ubuntu basierende Linux‑Distribution, die eine kuratierte Sammlung frei verfügbarer Tools für Malware‑Analyse, Reverse\_Engineering und Speicherforensik in einer sofort einsatzbereiten VM vereint. Sie erspart Analyst:innen das mühsame Zusammenstellen einzelner Werkzeuge, da Paketverwaltung, Desktop‑Integration und Lab‑Skripte bereits vorkonfiguriert sind. Zu den integrierten Highlights zählen unter anderem Ghidra, Radare2, Volatility, stegdetect sowie diverse Netzwerk‑ und Sandboxing‑Utilities, die regelmäßig in koordinierten Releases aktualisiert werden." + skillLevel: intermediate + url: https://remnux.org/ + icon: 🐧 + domains: + - malware-analysis + - incident-response + - network-forensics + phases: + - examination + - analysis + tags: + - linux-distro + - toolkit + - reverse-engineering + - virtualization + related_concepts: null + platforms: + - Linux + accessType: download + license: mixed-oss + knowledgebase: false + - name: Android Backup Extractor + type: software + description: "Das bewährte Kommandozeilen‑Werkzeug zum Entpacken und Packen von Android‑Backups (.ab) aus »adb backup«\_– inklusive Entschlüsselung passwort­geschützter Archive dank integrierter AES‑Routinen. Ideal für die Extraktion forensisch relevanter App‑Daten ohne Root‑Zugriff und damit ein Must‑have für Mobile‑Analysen. :contentReference[oaicite:0]{index=0}" + skillLevel: intermediate + url: https://github.com/nelenkov/android-backup-extractor + icon: 📦 + domains: + - mobile-forensics + - static-investigations + phases: + - examination + - analysis + scenarios: + - scenario:file_recovery + tags: + - commandline + - backup + - encryption + - artifact-extraction + - android + - scenario:file_recovery + related_concepts: null + platforms: + - Windows + - Linux + - macOS + accessType: download + license: "Apache\_2.0" + knowledgebase: false + - name: CAINE + type: software + description: "CAINE (Computer Aided INvestigative Environment) ist eine Ubuntu‑basierte Live‑Linux‑Distribution, die mehr als 150 Forensik‑Werkzeuge in einer schreibgeschützten Umgebung bündelt. Version 14.0 »Lightstream« (März\_2025) bringt Kernel\_6.8, UEFI‑Support und das UnBlock‑GUI zum gezielten Aufheben der Write‑Block‑Funktion für einzelne Devices. :contentReference[oaicite:2]{index=2}" + skillLevel: beginner + url: https://www.caine-live.net/ + icon: 💿 + domains: + - incident-response + - static-investigations + - network-forensics + - mobile-forensics + phases: + - data-collection + - examination + - analysis + scenarios: + - scenario:disk_imaging + tags: + - live-distro + - imaging + - write-blocking + - gui + - commandline + - scenario:disk_imaging + related_concepts: null + platforms: + - Linux + accessType: download + license: "LGPL\_2.1+" + knowledgebase: false + - name: Aircrack-ng + type: software + description: "Umfangreiche CLI‑Suite zur Beurteilung der WLAN‑Sicherheit: airodump‑ng sammelt Frames und GPS‑Koordinaten, aireplay‑ng injiziert Pakete für Replay‑ oder Deauth‑Attacken und aircrack‑ng selbst bricht WEP‑Keys sowie WPA/WPA2‑PSKs in Rekordzeit\_– alles scriptbar und plattformübergreifend. :contentReference[oaicite:4]{index=4}" + skillLevel: advanced + url: https://www.aircrack-ng.org/ + icon: 📦 + domains: + - network-forensics + - incident-response + phases: + - data-collection + - analysis + scenarios: + - scenario:credential_theft + tags: + - commandline + - wireless + - packet-capture + - injection + - cracking + - scenario:credential_theft + related_concepts: null + platforms: + - Windows + - Linux + - macOS + - BSD + accessType: download + license: "GPL\_v2\_(+\_BSD/OpenSSL\_components)" + knowledgebase: false + - name: WiFi Pineapple + type: software + description: "Die Hak5‑Hardware liefert mit der patentierten PineAP‑Suite einen vollwertigen Rogue‑Access‑Point: automatisches Recon, Handshake‑ und Enterprise‑Credential‑Capture, gezielte Client‑Filterung sowie Cloud\_C²‑Fernsteuerung\_– alles per browser­basierter GUI auf dem Mark\_VII oder Enterprise‑Modell. :contentReference[oaicite:6]{index=6}" + skillLevel: intermediate + url: https://shop.hak5.org/products/wifi-pineapple + icon: 📡 + domains: + - network-forensics + - incident-response + phases: + - data-collection + - analysis + scenarios: + - scenario:remote_access + tags: + - rogue-ap + - wireless + - man-in-the-middle + - gui + - web-interface + - scenario:remote_access + related_concepts: null + platforms: + - "Web\_(cross‑platform)" + - "Dedicated\_Hardware" + accessType: purchase + license: Proprietär + knowledgebase: false domains: - id: incident-response name: Incident Response & Breach-Untersuchung @@ -2191,47 +4503,51 @@ domains: phases: - id: data-collection name: Datensammlung - description: Imaging, Acquisition, Remote Collection Tools + description: >- + Sicherung digitaler Beweise durch Imaging, Remote Collection und + Live-Akquisition - id: examination name: Auswertung - description: Parsing, Extraction, Initial Analysis Tools + description: >- + Extraktion und initiale Analyse von Artefakten, Parsing von + Datenstrukturen - id: analysis name: Analyse - description: Deep Analysis, Correlation, Visualization Tools + description: >- + Tiefgehende Untersuchung, Korrelation von Beweisen und Rekonstruktion von + Ereignissen - id: reporting name: Bericht & Präsentation - description: >- - Documentation, Visualization, Presentation Tools (z.B. QGIS für Geodaten, - Timeline-Tools) + description: Dokumentation der Findings, Visualisierung und gerichtsfeste Aufbereitung domain-agnostic-software: - id: collaboration-general name: Übergreifend & Kollaboration - description: Cross-cutting tools and collaboration platforms + description: Cross-Domain-Tools für Teamwork und Case-Management - id: specific-os - name: Betriebssysteme - description: Operating Systems which focus on forensics + name: Spezialisierte Betriebssysteme + description: Forensik-optimierte Linux-Distributionen und Live-Systeme scenarios: - id: scenario:disk_imaging icon: 💽 - friendly_name: Datenträgerabbild + friendly_name: Datenträger sichern - id: scenario:memory_dump icon: 🧠 - friendly_name: RAM-Analyse + friendly_name: RAM-Speicher analysieren - id: scenario:file_recovery icon: 🗑️ - friendly_name: Datenrettung + friendly_name: Gelöschte Dateien wiederherstellen - id: scenario:browser_history icon: 🌍 - friendly_name: Browser-Spuren + friendly_name: Browser-Verlauf untersuchen - id: scenario:credential_theft - icon: 🛑 - friendly_name: Zugangsdiebstahl + icon: 🔑 + friendly_name: Gestohlene Zugangsdaten finden - id: scenario:remote_access icon: 📡 - friendly_name: Fernzugriffe + friendly_name: Fernzugriffe nachweisen - id: scenario:persistence icon: ♻️ - friendly_name: Persistenzsuche + friendly_name: Persistenz-Mechanismen aufdecken - id: scenario:windows-registry icon: 📜 - friendly_name: Registry-Analyse \ No newline at end of file + friendly_name: Windows Registry analysieren