diff --git a/context.md b/context.md
index c8f937d..c806167 100644
--- a/context.md
+++ b/context.md
@@ -32,6 +32,7 @@ license: string? # Software license
knowledgebase: boolean? # Has detailed documentation
tags: string[] # Searchable keywords
related_concepts: string[]? # Links to concept-type tools
+related_software: string[]? #Links to software-type-tools
```
### Taxonomies
diff --git a/dfir_yaml_editor.html b/dfir_yaml_editor.html
index a8a8ebb..784d1dd 100644
--- a/dfir_yaml_editor.html
+++ b/dfir_yaml_editor.html
@@ -526,7 +526,7 @@
@@ -777,11 +777,14 @@
{ id: 'specific-os', name: 'Betriebssysteme', description: 'Operating Systems which focus on forensics' }
],
scenarios: [
- { id: 'registry', icon: '🗃️', friendly_name: 'Registry-Analyse' },
- { id: 'memory-forensics', icon: '🧠', friendly_name: 'Memory-Forensik' },
- { id: 'network-analysis', icon: '🌐', friendly_name: 'Netzwerk-Analyse' },
- { id: 'malware-analysis', icon: '🦠', friendly_name: 'Malware-Analyse' },
- { id: 'mobile-forensics', icon: '📱', friendly_name: 'Mobile-Forensik' }
+ { id: 'scenario:disk_imaging', icon: '💽', friendly_name: 'Datenträgerabbild' },
+ { id: 'scenario:memory_dump', icon: '🧠', friendly_name: 'RAM-Analyse' },
+ { id: 'scenario:file_recovery', icon: '🗑️', friendly_name: 'Datenrettung' },
+ { id: 'scenario:browser_history', icon: '🌍', friendly_name: 'Browser-Spuren' },
+ { id: 'scenario:credential_theft', icon: '🛑', friendly_name: 'Zugangsdiebstahl' },
+ { id: 'scenario:remote_access', icon: '📡', friendly_name: 'Fernzugriffe' },
+ { id: 'scenario:persistence', icon: '♻️', friendly_name: 'Persistenzsuche' },
+ { id: 'scenario:windows-registry', icon: '📜', friendly_name: 'Registry-Analyse' }
]
};
@@ -819,7 +822,7 @@
// Search in description
if (tool.description && tool.description.toLowerCase().includes(term)) return true;
- // Search in tags
+ // Search in tags (includes scenarios as scenario: prefixed tags)
if (tool.tags && tool.tags.some(tag => tag.toLowerCase().includes(term))) return true;
// Search in related concepts
@@ -828,10 +831,13 @@
// Search in related software
if (tool.related_software && tool.related_software.some(software => software.toLowerCase().includes(term))) return true;
- // Search in scenarios
- if (tool.scenarios && tool.scenarios.some(scenario => {
- const scenarioData = yamlData.scenarios.find(s => s.id === scenario);
- return scenarioData && scenarioData.friendly_name.toLowerCase().includes(term);
+ // Search in scenario friendly names (from tags that start with scenario:)
+ if (tool.tags && tool.tags.some(tag => {
+ if (tag.startsWith('scenario:')) {
+ const scenarioData = yamlData.scenarios.find(s => s.id === tag);
+ return scenarioData && scenarioData.friendly_name.toLowerCase().includes(term);
+ }
+ return false;
})) return true;
// Search in type
@@ -1052,16 +1058,15 @@
const icon = document.getElementById('toolIcon').value.trim();
if (icon) tool.icon = icon;
- // Add domains, phases, and scenarios
+ // Add domains, phases
tool.domains = getCheckedValues('#domainsCheckbox input:checked');
tool.phases = getCheckedValues('#phasesCheckbox input:checked');
-
- const scenarios = getCheckedValues('#scenariosCheckbox input:checked');
- if (scenarios.length > 0) tool.scenarios = scenarios;
- // Add tags, related concepts, and related software
+ // Add tags and scenario tags (scenarios get added to tags with scenario: prefix)
const tags = getTags();
- if (tags.length > 0) tool.tags = tags;
+ const scenarioTags = getCheckedValues('#scenariosCheckbox input:checked');
+ const allTags = [...tags, ...scenarioTags];
+ if (allTags.length > 0) tool.tags = allTags;
const relatedConcepts = getRelatedConcepts();
if (relatedConcepts.length > 0) tool.related_concepts = relatedConcepts;
@@ -1118,9 +1123,19 @@
function clearForm() {
document.getElementById('toolForm').reset();
+
+ // Clear all tag inputs properly
document.getElementById('tagsInput').innerHTML = '';
document.getElementById('relatedConceptsInput').innerHTML = '';
document.getElementById('relatedSoftwareInput').innerHTML = '';
+
+ // Clear all checkboxes
+ document.querySelectorAll('#domainsCheckbox input[type="checkbox"]').forEach(cb => cb.checked = false);
+ document.querySelectorAll('#phasesCheckbox input[type="checkbox"]').forEach(cb => cb.checked = false);
+ document.querySelectorAll('#scenariosCheckbox input[type="checkbox"]').forEach(cb => cb.checked = false);
+ document.querySelectorAll('#platformsCheckbox input[type="checkbox"]').forEach(cb => cb.checked = false);
+ document.querySelectorAll('#domainAgnosticCheckbox input[type="checkbox"]').forEach(cb => cb.checked = false);
+
currentEditingIndex = -1;
toggleConditionalFields();
}
@@ -1155,14 +1170,21 @@
// Set checkboxes
setCheckboxValues('#domainsCheckbox input', tool.domains || []);
setCheckboxValues('#phasesCheckbox input', tool.phases || []);
- setCheckboxValues('#scenariosCheckbox input', tool.scenarios || []);
setCheckboxValues('#platformsCheckbox input', tool.platforms || []);
setCheckboxValues('#domainAgnosticCheckbox input', tool['domain-agnostic-software'] || []);
- // Set tags
+ // Separate scenario tags from regular tags
+ const allTags = tool.tags || [];
+ const scenarioTags = allTags.filter(tag => tag.startsWith('scenario:'));
+ const regularTags = allTags.filter(tag => !tag.startsWith('scenario:'));
+
+ // Set scenario checkboxes based on scenario tags
+ setCheckboxValues('#scenariosCheckbox input', scenarioTags);
+
+ // Set regular tags
const tagsContainer = document.getElementById('tagsInput');
tagsContainer.innerHTML = '';
- (tool.tags || []).forEach(tag => addTag('tagsInput', tag));
+ regularTags.forEach(tag => addTag('tagsInput', tag));
// Set related concepts
const conceptsContainer = document.getElementById('relatedConceptsInput');
@@ -1241,10 +1263,11 @@
const card = document.createElement('div');
card.className = `tool-card ${tool.type || 'software'}`;
- const tags = (tool.tags || []).map(tag => `${tag}`).join('');
+ const tags = (tool.tags || []).filter(tag => !tag.startsWith('scenario:')).map(tag => `${tag}`).join('');
const knowledgebaseIndicator = tool.knowledgebase ? '📚 KB' : '';
const relatedSoftwareIndicator = (tool.related_software && tool.related_software.length > 0) ? '🔗 SW' : '';
- const scenariosIndicator = (tool.scenarios && tool.scenarios.length > 0) ? '🎮 SC' : '';
+ const scenarioTags = (tool.tags || []).filter(tag => tag.startsWith('scenario:'));
+ const scenariosIndicator = scenarioTags.length > 0 ? '🎮 SC' : '';
card.innerHTML = `
${tool.icon ? tool.icon + ' ' : ''}${tool.name} [${tool.type || 'software'}]
@@ -1294,7 +1317,10 @@
const indicators = [];
if (tool.knowledgebase) indicators.push('📚');
if (tool.related_software?.length > 0) indicators.push('🔗');
- if (tool.scenarios?.length > 0) indicators.push('🎮');
+
+ // Check for scenario tags
+ const scenarioTags = (tool.tags || []).filter(tag => tag.startsWith('scenario:'));
+ if (scenarioTags.length > 0) indicators.push('🎮');
card.innerHTML = `
@@ -1517,17 +1543,20 @@
}
}
- // NEW: Scenario operations
+ // Scenario operations (work with tags that have scenario: prefix)
function bulkAddScenarios() {
if (selectedTools.size === 0) return showMessage('No tools selected', 'error');
- const scenarios = prompt('Enter scenario IDs to add (comma-separated):');
+ const scenarios = prompt('Enter scenario IDs to add (comma-separated, e.g., scenario:memory_dump,scenario:registry):');
if (scenarios) {
- const scenarioList = scenarios.split(',').map(s => s.trim()).filter(s => s);
+ const scenarioList = scenarios.split(',').map(s => {
+ const trimmed = s.trim();
+ return trimmed.startsWith('scenario:') ? trimmed : `scenario:${trimmed}`;
+ }).filter(s => s !== 'scenario:');
selectedTools.forEach(index => {
const tool = yamlData.tools[index];
- tool.scenarios = [...new Set([...(tool.scenarios || []), ...scenarioList])];
+ tool.tags = [...new Set([...(tool.tags || []), ...scenarioList])];
});
- showMessage(`Added scenarios to ${selectedTools.size} tools`);
+ showMessage(`Added scenario tags to ${selectedTools.size} tools`);
renderBulkGrid();
}
}
@@ -1536,26 +1565,33 @@
if (selectedTools.size === 0) return showMessage('No tools selected', 'error');
const scenarios = prompt('Enter scenario IDs to remove (comma-separated):');
if (scenarios) {
- const scenarioList = scenarios.split(',').map(s => s.trim()).filter(s => s);
+ const scenarioList = scenarios.split(',').map(s => {
+ const trimmed = s.trim();
+ return trimmed.startsWith('scenario:') ? trimmed : `scenario:${trimmed}`;
+ }).filter(s => s !== 'scenario:');
selectedTools.forEach(index => {
const tool = yamlData.tools[index];
- if (tool.scenarios) {
- tool.scenarios = tool.scenarios.filter(scenario => !scenarioList.includes(scenario));
- if (tool.scenarios.length === 0) delete tool.scenarios;
+ if (tool.tags) {
+ tool.tags = tool.tags.filter(tag => !scenarioList.includes(tag));
+ if (tool.tags.length === 0) delete tool.tags;
}
});
- showMessage(`Removed scenarios from ${selectedTools.size} tools`);
+ showMessage(`Removed scenario tags from ${selectedTools.size} tools`);
renderBulkGrid();
}
}
function bulkClearScenarios() {
if (selectedTools.size === 0) return showMessage('No tools selected', 'error');
- if (confirm(`Are you sure you want to clear ALL scenarios from ${selectedTools.size} selected tools?`)) {
+ if (confirm(`Are you sure you want to clear ALL scenario tags from ${selectedTools.size} selected tools?`)) {
selectedTools.forEach(index => {
- delete yamlData.tools[index].scenarios;
+ const tool = yamlData.tools[index];
+ if (tool.tags) {
+ tool.tags = tool.tags.filter(tag => !tag.startsWith('scenario:'));
+ if (tool.tags.length === 0) delete tool.tags;
+ }
});
- showMessage(`Cleared scenarios from ${selectedTools.size} tools`);
+ showMessage(`Cleared scenario tags from ${selectedTools.size} tools`);
renderBulkGrid();
}
}
@@ -1769,12 +1805,15 @@ ${tool.domains && tool.domains.length > 0 ? `## Anwendungsbereiche
${tool.domains.map(domain => `- ${domain}`).join('\n')}\n\n` : ''}${tool.phases && tool.phases.length > 0 ? `## Ermittlungsphasen
-${tool.phases.map(phase => `- ${phase}`).join('\n')}\n\n` : ''}${tool.scenarios && tool.scenarios.length > 0 ? `## Anwendungsszenarien
+${tool.phases.map(phase => `- ${phase}`).join('\n')}\n\n` : ''}${(() => {
+ const scenarioTags = (tool.tags || []).filter(tag => tag.startsWith('scenario:'));
+ return scenarioTags.length > 0 ? `## Anwendungsszenarien
-${tool.scenarios.map(scenario => {
- const scenarioData = yamlData.scenarios.find(s => s.id === scenario);
- return scenarioData ? `- ${scenarioData.icon} ${scenarioData.friendly_name}` : `- ${scenario}`;
-}).join('\n')}\n\n` : ''}## ${tool.type === 'concept' ? 'Grundlagen' : tool.type === 'method' ? 'Vorgehensweise' : 'Installation & Nutzung'}
+${scenarioTags.map(scenarioTag => {
+ const scenarioData = yamlData.scenarios.find(s => s.id === scenarioTag);
+ return scenarioData ? `- ${scenarioData.icon} ${scenarioData.friendly_name}` : `- ${scenarioTag}`;
+}).join('\n')}\n\n` : '';
+})()}## ${tool.type === 'concept' ? 'Grundlagen' : tool.type === 'method' ? 'Vorgehensweise' : 'Installation & Nutzung'}
${tool.type === 'concept' ?
`### Kernkonzepte
@@ -1863,7 +1902,7 @@ TODO: Füge weitere nützliche Links und Ressourcen hinzu.
});
}
- // Enhanced Validation including scenarios and related_software
+ // Enhanced Validation
function validateYAML() {
if (!yamlData) return showMessage('No data to validate', 'error');
@@ -1873,7 +1912,7 @@ TODO: Füge weitere nützliche Links und Ressourcen hinzu.
if (!yamlData.tools) validationResults.push('❌ Missing tools section');
if (!yamlData.domains) validationResults.push('❌ Missing domains section');
if (!yamlData.phases) validationResults.push('❌ Missing phases section');
- if (!yamlData.scenarios) validationResults.push('⚠️ Missing scenarios section');
+ if (!yamlData.scenarios) validationResults.push('⚠️ Missing scenarios section (for reference)');
// Validate tools
yamlData.tools?.forEach((tool, index) => {
@@ -1904,12 +1943,13 @@ TODO: Füge weitere nützliche Links und Ressourcen hinzu.
});
}
- // Validate scenarios references
- if (tool.scenarios && tool.scenarios.length > 0) {
- tool.scenarios.forEach(scenarioId => {
- const exists = yamlData.scenarios?.some(s => s.id === scenarioId);
+ // Validate scenario tags (check tags that start with scenario:)
+ if (tool.tags && tool.tags.length > 0) {
+ const scenarioTags = tool.tags.filter(tag => tag.startsWith('scenario:'));
+ scenarioTags.forEach(scenarioTag => {
+ const exists = yamlData.scenarios?.some(s => s.id === scenarioTag);
if (!exists) {
- validationResults.push(`⚠️ Tool ${index + 1}: Scenario "${scenarioId}" not found in scenarios`);
+ validationResults.push(`⚠️ Tool ${index + 1}: Scenario tag "${scenarioTag}" not found in scenarios reference`);
}
});
}
diff --git a/src/data/tools-untagged.yaml b/src/data/tools-untagged.yaml
new file mode 100644
index 0000000..76ee51c
--- /dev/null
+++ b/src/data/tools-untagged.yaml
@@ -0,0 +1,2156 @@
+tools:
+ - name: Autopsy
+ type: software
+ description: >-
+ Die führende Open-Source-Alternative zu kommerziellen Forensik-Suiten mit
+ intuitiver grafischer Oberfläche. Besonders stark in der Timeline-Analyse,
+ Keyword-Suche und dem Carving gelöschter Dateien. Die modulare
+ Plugin-Architektur erlaubt Erweiterungen für spezielle
+ Untersuchungsszenarien. Zwar komplexer als kommerzielle Lösungen, aber
+ dafür vollständig transparent und kostenfrei.
+ skillLevel: intermediate
+ url: https://www.autopsy.com/
+ icon: 📦
+ domains:
+ - incident-response
+ - static-investigations
+ - malware-analysis
+ - mobile-forensics
+ - cloud-forensics
+ phases:
+ - examination
+ - analysis
+ tags:
+ - gui
+ - timeline
+ - file-carving
+ - keyword-search
+ - plugin-support
+ - opensource
+ platforms:
+ - Windows
+ - Linux
+ accessType: download
+ license: Apache 2.0
+ knowledgebase: false
+ - name: Volatility 3
+ type: software
+ description: >-
+ Das Universalwerkzeug der Live-Forensik, unverzichtbar für die Analyse von
+ RAM-Dumps. Mit über 100 Plugins extrahiert es Prozesse,
+ Netzwerkverbindungen, Registry-Keys und versteckte Malware aus dem
+ Arbeitsspeicher. Die Python-basierte Architektur macht es flexibel
+ erweiterbar, erfordert aber solide Kommandozeilen-Kenntnisse. Version 3
+ bringt deutliche Performance-Verbesserungen und bessere
+ Formatunterstützung.
+ skillLevel: advanced
+ url: https://www.volatilityfoundation.org/
+ icon: 📦
+ domains:
+ - incident-response
+ - static-investigations
+ - malware-analysis
+ - network-forensics
+ phases:
+ - examination
+ - analysis
+ scenarios:
+ - scenario:memory_dump
+ tags:
+ - command-line
+ - plugin-support
+ - scripting
+ - memory-timeline
+ - scenario:memory_dump
+ - opensource
+ platforms:
+ - Windows
+ - Linux
+ - macOS
+ accessType: download
+ license: VSL
+ knowledgebase: false
+ - name: TheHive 5
+ icon: 🌐
+ type: software
+ description: >-
+ Moderne Security-Orchestrierungs-Plattform für die koordinierte
+ Incident-Response im Team. Integriert nahtlos mit MISP, Cortex und anderen
+ Security-Tools für automatisierte Workflows. Die kostenlose Community
+ Edition wurde 2021 eingestellt, was die Langzeitperspektive fraglich
+ macht. Für professionelle SOCs dennoch eine der besten
+ Kollaborations-Lösungen am Markt.
+ domains:
+ - incident-response
+ - static-investigations
+ - malware-analysis
+ - network-forensics
+ phases:
+ - analysis
+ - reporting
+ platforms:
+ - Web
+ related_software: null
+ domain-agnostic-software:
+ - collaboration-general
+ skillLevel: intermediate
+ accessType: server-based
+ url: https://github.com/TheHive-Project/TheHive
+ projectUrl: ''
+ license: Community Edition (Free) / Commercial
+ knowledgebase: false
+ statusUrl: https://uptime.example.lab/api/badge/1/status
+ tags:
+ - web-interface
+ - case-management
+ - collaboration
+ - api
+ - workflow
+ - multi-user-support
+ - name: MISP
+ icon: 🌐
+ type: software
+ description: >-
+ Das Rückgrat des modernen Threat-Intelligence-Sharings mit über 40.000
+ aktiven Instanzen weltweit. Ermöglicht den strukturierten Austausch von
+ IoCs zwischen Organisationen und automatisierte Bedrohungsanalyse. Die
+ föderierte Architektur und umfangreiche Taxonomie machen es zum
+ De-facto-Standard für CTI. Besonders wertvoll durch die Integration in
+ SIEMs, Firewalls und andere Sicherheitssysteme.
+ domains:
+ - incident-response
+ - static-investigations
+ - malware-analysis
+ - network-forensics
+ - cloud-forensics
+ phases:
+ - examination
+ - analysis
+ platforms:
+ - Web
+ skillLevel: intermediate
+ accessType: server-based
+ url: https://misp-project.org/
+ projectUrl: https://misp.cc24.dev
+ license: AGPL-3.0
+ knowledgebase: true
+ statusUrl: https://status.mikoshi.de/api/badge/34/status
+ tags:
+ - web-interface
+ - IOC-matching
+ - taxonomies
+ - api
+ - threat-scoring
+ - collaboration
+ - name: Timesketch
+ icon: 📦
+ type: software
+ description: >-
+ Google's Open-Source-Lösung für kollaborative Timeline-Analyse großer
+ Datensätze. Visualisiert und korreliert Ereignisse aus verschiedenen
+ Quellen in einer interaktiven Zeitachse. Die Plaso-Integration ermöglicht
+ automatisches Parsing hunderter Log-Formate. Ideal für komplexe Fälle mit
+ mehreren Analysten und Millionen von Zeitstempeln.
+ domains:
+ - incident-response
+ - static-investigations
+ - network-forensics
+ - cloud-forensics
+ phases:
+ - analysis
+ - reporting
+ platforms:
+ - Web
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: intermediate
+ accessType: server-based
+ url: https://timesketch.org/
+ projectUrl: ''
+ license: Apache 2.0
+ knowledgebase: false
+ statusUrl: https://uptime.example.lab/api/badge/3/status
+ tags:
+ - web-interface
+ - timeline
+ - collaboration
+ - visualization
+ - timeline-correlation
+ - timeline-view
+ - name: Wireshark
+ icon: 📦
+ type: software
+ description: >-
+ Der unangefochtene König der Netzwerk-Protokoll-Analyse mit Support für
+ über 3000 Protokolle. Unverzichtbar für die Untersuchung von
+ Netzwerk-Anomalien, Malware-Kommunikation und Datenexfiltration. Die
+ mächtigen Display-Filter und Follow-Stream-Funktionen machen komplexe
+ Analysen zugänglich. Hauptnachteil: Benötigt vorhandene PCAP-Dateien,
+ eignet sich weniger für historische Analysen.
+ domains:
+ - incident-response
+ - malware-analysis
+ - network-forensics
+ - cloud-forensics
+ - ics-forensics
+ phases:
+ - examination
+ - analysis
+ platforms:
+ - Windows
+ - Linux
+ - macOS
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: intermediate
+ accessType: download
+ url: https://www.wireshark.org/
+ projectUrl: ''
+ license: GPL-2.0
+ knowledgebase: false
+ tags:
+ - gui
+ - protocol-decode
+ - packet-filtering
+ - pcap-capture
+ - cross-platform
+ - session-reconstruction
+ - name: Magnet AXIOM
+ icon: 📦
+ type: software
+ description: >-
+ Die Rolls-Royce unter den kommerziellen Forensik-Suiten mit
+ beeindruckender Automatisierung. Glänzt besonders bei Cloud-Forensik mit
+ nativer Unterstützung für Google, Apple und Microsoft-Dienste. Die
+ KI-gestützte Bilderkennung und Connection-Analyse spart Ermittlern
+ wertvolle Zeit. Der Preis von mehreren zehntausend Euro macht es primär
+ für Behörden und Großunternehmen interessant.
+ domains:
+ - incident-response
+ - static-investigations
+ - mobile-forensics
+ - cloud-forensics
+ phases:
+ - data-collection
+ - examination
+ - analysis
+ - reporting
+ platforms:
+ - Windows
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: beginner
+ accessType: commercial
+ url: https://www.magnetforensics.com/products/magnet-axiom/
+ projectUrl: ''
+ license: Proprietary
+ knowledgebase: false
+ tags:
+ - gui
+ - commercial
+ - cloud-artifacts
+ - mobile-app-data
+ - automation-ready
+ - court-admissible
+ - name: Cellebrite UFED
+ icon: 📦
+ type: software
+ description: >-
+ Der Goldstandard der mobilen Forensik mit legendären
+ Entsperrungsfähigkeiten für aktuelle Smartphones. Nutzt Zero-Day-Exploits
+ und Hardware-Schwachstellen für den Zugriff auf verschlüsselte Geräte. Die
+ Physical Analyzer Software macht die extrahierten Daten durch intelligente
+ Visualisierung verständlich. Mit Preisen im sechsstelligen Bereich und
+ ethischen Bedenken bezüglich der Käuferauswahl nicht unumstritten.
+ domains:
+ - static-investigations
+ - mobile-forensics
+ phases:
+ - data-collection
+ - examination
+ - analysis
+ platforms:
+ - Windows
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: beginner
+ accessType: commercial
+ url: https://cellebrite.com/en/ufed/
+ projectUrl: ''
+ license: Proprietary
+ knowledgebase: false
+ tags:
+ - gui
+ - commercial
+ - mobile-app-data
+ - decryption
+ - physical-copy
+ - dongle-license
+ - name: Cuckoo Sandbox 3
+ icon: 🌐
+ type: software
+ description: >-
+ Die führende Open-Source-Sandbox für automatisierte Malware-Analyse in
+ isolierten Umgebungen. Zeichnet Systemaufrufe, Netzwerkverkehr und
+ Verhaltensänderungen während der Malware-Ausführung auf. Version 3 vom
+ CERT-EE bringt moderne Python-3-Unterstützung und verbesserte
+ Erkennungsumgehung. Die Einrichtung erfordert fundierte
+ Virtualisierungskenntnisse, belohnt aber mit detaillierten Reports.
+ domains:
+ - incident-response
+ - malware-analysis
+ phases:
+ - examination
+ - analysis
+ platforms:
+ - Linux
+ - Web
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: advanced
+ accessType: server-based
+ url: https://github.com/cert-ee/cuckoo3
+ projectUrl: ''
+ license: GPL-3.0
+ knowledgebase: false
+ tags:
+ - web-interface
+ - sandboxing
+ - behavioral-analysis
+ - malware-unpacking
+ - virtual-analysis
+ - sandbox-reports
+ - name: Ghidra
+ icon: 📦
+ type: software
+ description: >-
+ NSAs Geschenk an die Reverse-Engineering-Community als mächtige
+ Alternative zu IDA Pro. Der Decompiler verwandelt Maschinencode zurück in
+ lesbaren Pseudocode für tiefgehende Analyse. Unterstützt dutzende
+ Prozessorarchitekturen von x86 bis zu obskuren Embedded-Systemen. Die
+ steile Lernkurve wird durch die aktive Community und exzellente
+ Dokumentation gemildert.
+ domains:
+ - malware-analysis
+ - ics-forensics
+ phases:
+ - analysis
+ platforms:
+ - Windows
+ - Linux
+ - macOS
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: expert
+ accessType: download
+ url: https://github.com/NationalSecurityAgency/ghidra
+ projectUrl: ''
+ license: Apache 2.0
+ knowledgebase: false
+ tags:
+ - gui
+ - binary-decode
+ - malware-unpacking
+ - cross-platform
+ - scripting
+ - opensource
+ - name: Plaso (log2timeline)
+ icon: 📦
+ type: software
+ description: >-
+ Der industrielle Staubsauger für Zeitstempel - extrahiert aus hunderten
+ Quellen eine Super-Timeline. Parst Windows-Event-Logs, Browser-Historie,
+ Registry und vieles mehr in ein einheitliches Format. Die Integration mit
+ Timesketch ermöglicht die Visualisierung von Millionen Events. Performance
+ kann bei großen Datenmengen leiden, aber die Vollständigkeit ist
+ unübertroffen.
+ domains:
+ - incident-response
+ - static-investigations
+ - network-forensics
+ - cloud-forensics
+ phases:
+ - data-collection
+ - examination
+ platforms:
+ - Windows
+ - Linux
+ - macOS
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: intermediate
+ accessType: download
+ url: https://plaso.readthedocs.io/
+ projectUrl: ''
+ license: Apache 2.0
+ knowledgebase: false
+ tags:
+ - command-line
+ - timeline
+ - log-parser
+ - cross-platform
+ - timeline-merge
+ - time-normalization
+ - name: CyberChef
+ icon: 🌐
+ type: software
+ description: >-
+ Das digitale Schweizer Taschenmesser für Daten-Manipulation mit über 300
+ Operations. Von Base64-Dekodierung über Verschlüsselung bis zur
+ Malware-Deobfuskation - alles im Browser. Die visuelle "Rezept"-Metapher
+ macht komplexe Transformationsketten intuitiv verständlich. Unverzichtbar
+ für CTF-Challenges und tägliche Forensik-Aufgaben gleichermaßen.
+ domains:
+ - incident-response
+ - static-investigations
+ - malware-analysis
+ - network-forensics
+ phases:
+ - examination
+ - analysis
+ platforms:
+ - Web
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: beginner
+ accessType: server-based
+ url: https://gchq.github.io/CyberChef/
+ projectUrl: ''
+ license: Apache 2.0
+ knowledgebase: false
+ tags:
+ - web-interface
+ - binary-decode
+ - decryption
+ - malware-unpacking
+ - string-search
+ - triage
+ - name: Velociraptor
+ icon: 🌐
+ type: software
+ description: >-
+ Die nächste Evolution der Endpoint-Forensik mit skalierbarer
+ Remote-Collection-Architektur. Die mächtige VQL-Abfragesprache ermöglicht
+ chirurgisch präzise Artefakt-Sammlung ohne Full-Disk-Images.
+ Hunt-Funktionen durchsuchen tausende Endpoints gleichzeitig nach
+ Kompromittierungs-Indikatoren. Die Lernkurve ist steil, aber die
+ Effizienzgewinne bei großen Infrastrukturen sind enorm.
+ domains:
+ - incident-response
+ - static-investigations
+ - malware-analysis
+ - fraud-investigation
+ - network-forensics
+ - cloud-forensics
+ phases:
+ - data-collection
+ - examination
+ - analysis
+ platforms:
+ - Windows
+ - Linux
+ - macOS
+ - Web
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: advanced
+ accessType: server-based
+ url: https://www.velociraptor.app/
+ projectUrl: https://raptor.cc24.dev
+ license: Apache 2.0
+ knowledgebase: true
+ statusUrl: https://status.mikoshi.de/api/badge/33/status
+ tags:
+ - web-interface
+ - remote-collection
+ - distributed
+ - scripting
+ - cross-platform
+ - triage
+ - name: GRR Rapid Response
+ icon: 🌐
+ type: software
+ description: >-
+ Googles Antwort auf Enterprise-Scale-Forensik für die Untersuchung von
+ Flotten mit tausenden Clients. Sammelt gezielt Artefakte und führt
+ Memory-Analysen remote durch, ohne Systeme offline zu nehmen. Weniger
+ Features als Velociraptor, dafür stabiler und einfacher in der Handhabung.
+ Die Python-API ermöglicht die Automatisierung wiederkehrender
+ Untersuchungen.
+ domains:
+ - incident-response
+ - static-investigations
+ - malware-analysis
+ - fraud-investigation
+ phases:
+ - data-collection
+ - examination
+ platforms:
+ - Windows
+ - Linux
+ - macOS
+ - Web
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: advanced
+ accessType: server-based
+ url: https://github.com/google/grr
+ projectUrl: ''
+ license: Apache 2.0
+ knowledgebase: false
+ tags:
+ - web-interface
+ - remote-collection
+ - distributed
+ - api
+ - cross-platform
+ - triage
+ - name: Arkime
+ icon: 📦
+ type: software
+ description: >-
+ Das Heavy-Metal-Tool für Full-Packet-Capture mit der Fähigkeit, Petabytes
+ an Netzwerkverkehr zu speichern. Indiziert in Echtzeit Metadaten für
+ blitzschnelle Suchen über Monate historischer Daten. Die Integration mit
+ Elasticsearch ermöglicht komplexe Queries über Sessions, IPs und Payloads.
+ Ressourcenhungrig aber unverzichtbar für ernsthafte Network Security
+ Monitoring Operations.
+ domains:
+ - incident-response
+ - static-investigations
+ - network-forensics
+ - cloud-forensics
+ phases:
+ - data-collection
+ - examination
+ - analysis
+ platforms:
+ - Linux
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: expert
+ accessType: server-based
+ url: https://arkime.com/
+ projectUrl: ''
+ license: Apache 2.0
+ knowledgebase: false
+ tags:
+ - web-interface
+ - pcap-capture
+ - elasticsearch-integration
+ - historical-analysis
+ - packet-filtering
+ - distributed
+ - name: NetworkMiner
+ icon: 📦
+ type: software
+ description: >-
+ Der benutzerfreundliche kleine Bruder von Wireshark mit Fokus auf Forensik
+ statt Live-Analyse. Extrahiert automatisch übertragene Dateien, Bilder und
+ Credentials aus PCAP-Dateien. Die intuitive GUI zeigt Hosts, Sessions und
+ DNS-Queries übersichtlich ohne komplexe Filter. Perfekt für Einsteiger und
+ schnelle Übersichten, an Grenzen bei verschlüsseltem Traffic.
+ domains:
+ - incident-response
+ - static-investigations
+ - malware-analysis
+ - network-forensics
+ phases:
+ - examination
+ - analysis
+ platforms:
+ - Windows
+ - Linux
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: beginner
+ accessType: download
+ url: https://www.netresec.com/?page=NetworkMiner
+ projectUrl: ''
+ license: GPL-2.0 / Commercial
+ knowledgebase: false
+ tags:
+ - gui
+ - file-reconstruction
+ - pcap-capture
+ - session-reconstruction
+ - dns-resolution
+ - triage
+ - name: ExifTool
+ icon: 📦
+ type: software
+ description: >-
+ Der Metadaten-Maestro, der aus über 1000 Dateiformaten verborgene
+ Informationen extrahiert. Findet GPS-Koordinaten in Fotos, Autoren in
+ Dokumenten und Bearbeitungshistorien in PDFs. Die Kommandozeile mag
+ abschrecken, aber die Mächtigkeit ist unübertroffen. Ein Must-Have für
+ jede Forensik-Toolbox, oft der erste Schritt bei
+ Dokumenten-Untersuchungen.
+ domains:
+ - incident-response
+ - static-investigations
+ - fraud-investigation
+ - mobile-forensics
+ phases:
+ - examination
+ - analysis
+ platforms:
+ - Windows
+ - Linux
+ - macOS
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: novice
+ accessType: download
+ url: https://exiftool.org/
+ projectUrl: ''
+ license: Perl Artistic License
+ knowledgebase: false
+ tags:
+ - command-line
+ - metadata-parser
+ - geolocation
+ - cross-platform
+ - triage
+ - system-metadata
+ - name: Chainalysis
+ icon: 📦
+ type: software
+ description: >-
+ Der Platzhirsch der Blockchain-Forensik mit Zugriff auf die größte
+ Krypto-Intelligence-Datenbank weltweit. Clustering-Algorithmen
+ identifizieren Exchanges, Mixer und Darknet-Märkte mit beeindruckender
+ Genauigkeit. Die Sanctions Screening und Compliance-Features machen es zur
+ ersten Wahl für Behörden. Lizenzkosten im sechsstelligen Bereich
+ limitieren den Zugang auf Großorganisationen.
+ domains:
+ - static-investigations
+ - fraud-investigation
+ phases:
+ - analysis
+ - reporting
+ platforms:
+ - Web
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: intermediate
+ accessType: commercial
+ url: https://www.chainalysis.com/
+ projectUrl: ''
+ license: Proprietary
+ knowledgebase: false
+ tags:
+ - web-interface
+ - blockchain-analysis
+ - commercial
+ - visualization
+ - anomaly-detection
+ - threat-scoring
+ - name: Neo4j
+ icon: 🌐
+ type: software
+ description: >-
+ Die führende Graph-Datenbank verwandelt komplexe Beziehungsgeflechte in
+ verständliche Visualisierungen. Mit Cypher-Queries lassen sich
+ Verbindungen zwischen Personen, Transaktionen und Events aufdecken.
+ Besonders wertvoll für Social-Media-Analysen, Geldflüsse und
+ Organisations-Strukturen. Die Community Edition limitiert auf einen
+ Benutzer - für Teams ist die kommerzielle Version nötig.
+ domains:
+ - static-investigations
+ - malware-analysis
+ - fraud-investigation
+ - network-forensics
+ - cloud-forensics
+ phases:
+ - analysis
+ - reporting
+ platforms:
+ - Windows
+ - Linux
+ - macOS
+ - Web
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: intermediate
+ accessType: server-based
+ url: https://neo4j.com/
+ projectUrl: https://graph.cc24.dev
+ license: GPL-3.0 / Commercial
+ knowledgebase: false
+ statusUrl: https://status.mikoshi.de/api/badge/32/status
+ tags:
+ - web-interface
+ - graph-view
+ - visualization
+ - correlation-engine
+ - cross-platform
+ - api
+ - name: QGIS
+ icon: 📦
+ type: software
+ description: >-
+ Das Open-Source-GIS-Kraftpaket für die Visualisierung von Geodaten in
+ forensischen Untersuchungen. Erstellt aus GPS-Logs von Smartphones
+ beeindruckende Bewegungsprofile und Heatmaps. Die Python-Integration
+ ermöglicht automatisierte Analysen großer Datensätze. Unverzichtbar wenn
+ Fahrzeuge, Drohnen oder mobile Geräte mit Standortdaten involviert sind.
+ domains:
+ - static-investigations
+ - fraud-investigation
+ - mobile-forensics
+ phases:
+ - analysis
+ - reporting
+ platforms:
+ - Windows
+ - Linux
+ - macOS
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: intermediate
+ accessType: download
+ url: https://qgis.org/
+ projectUrl: ''
+ license: GPL-2.0
+ knowledgebase: false
+ tags:
+ - gui
+ - geolocation
+ - visualization
+ - heatmap
+ - scripting
+ - cross-platform
+ - name: Nextcloud
+ icon: 🌐
+ type: software
+ description: >-
+ Die Open-Source-Cloud-Suite als sichere Kollaborations-Zentrale für
+ Forensik-Teams. Bietet verschlüsselte Dateifreigabe, Office-Integration
+ und Videokonferenzen DSGVO-konform. Der eingebaute SSO-Provider
+ vereinfacht das Identity Management für andere Forensik-Tools. Skaliert
+ vom Raspberry Pi für kleine Teams bis zur High-Availability-Installation.
+ domains:
+ - incident-response
+ - static-investigations
+ - malware-analysis
+ - fraud-investigation
+ - network-forensics
+ - mobile-forensics
+ - cloud-forensics
+ - ics-forensics
+ phases:
+ - reporting
+ platforms:
+ - Web
+ related_software: null
+ domain-agnostic-software:
+ - collaboration-general
+ skillLevel: novice
+ accessType: server-based
+ url: https://nextcloud.com/
+ projectUrl: https://cloud.cc24.dev
+ license: AGPL-3.0
+ knowledgebase: true
+ statusUrl: https://status.mikoshi.de/api/badge/11/status
+ tags:
+ - web-interface
+ - collaboration
+ - secure-sharing
+ - multi-user-support
+ - encrypted-reports
+ - rbac
+ - name: Gitea
+ icon: 🌐
+ type: software
+ description: >-
+ Das leichtgewichtige Git-Repository für die Versionierung von
+ Forensik-Skripten und Dokumentation. Perfekt für die Verwaltung von
+ YARA-Rules, Volatility-Plugins und Analysetools im Team. Die eingebaute
+ CI/CD-Pipeline automatisiert Tool-Deployments und Qualitätschecks.
+ Ressourcenschonend genug für den Betrieb auf einem NAS oder Mini-Server.
+ domains:
+ - incident-response
+ - malware-analysis
+ phases:
+ - reporting
+ platforms:
+ - Web
+ related_software: null
+ domain-agnostic-software:
+ - collaboration-general
+ skillLevel: beginner
+ accessType: server-based
+ url: https://gitea.io/
+ projectUrl: https://git.cc24.dev
+ license: MIT
+ knowledgebase: null
+ statusUrl: https://status.mikoshi.de/api/badge/18/status
+ tags:
+ - web-interface
+ - version-control
+ - git-integration
+ - collaboration
+ - multi-user-support
+ - automation-ready
+ - name: Binwalk
+ icon: 📦
+ type: software
+ description: >-
+ Der Firmware-Flüsterer, der aus IoT-Geräten und Routern ihre Geheimnisse
+ extrahiert. Erkennt eingebettete Dateisysteme, komprimierte Archive und
+ versteckte Partitionen automatisch. Besonders wertvoll für die Analyse von
+ Embedded-Malware und Backdoors in Smart Devices. Die Magie liegt in den
+ Signaturen - mit eigenen Rules erweiterbar für spezielle Formate.
+ domains:
+ - malware-analysis
+ - ics-forensics
+ phases:
+ - examination
+ - analysis
+ platforms:
+ - Linux
+ - macOS
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: advanced
+ accessType: download
+ url: https://github.com/ReFirmLabs/binwalk
+ projectUrl: ''
+ license: MIT
+ knowledgebase: false
+ tags:
+ - command-line
+ - firmware-extraction
+ - signature-analysis
+ - file-carving
+ - entropy-check
+ - binary-decode
+ - name: LibreOffice
+ icon: 📦
+ type: software
+ description: >-
+ Die freie Office-Suite, die mehr kann als nur Berichte schreiben. Calc
+ eignet sich hervorragend für die Analyse von CSV-Exporten und Log-Dateien.
+ Die Makro-Funktionen ermöglichen die Automatisierung wiederkehrender
+ Auswertungen. Als Standardformat für Abschlussberichte unverzichtbar und
+ überall einsetzbar.
+ domains:
+ - incident-response
+ - static-investigations
+ - malware-analysis
+ - fraud-investigation
+ - network-forensics
+ - mobile-forensics
+ - cloud-forensics
+ - ics-forensics
+ phases:
+ - examination
+ - analysis
+ - reporting
+ platforms:
+ - Windows
+ - Linux
+ - macOS
+ related_software: null
+ domain-agnostic-software:
+ - collaboration-general
+ skillLevel: novice
+ accessType: download
+ url: https://www.libreoffice.org/
+ projectUrl: ''
+ license: Mozilla Public License Version 2.0
+ knowledgebase: false
+ tags:
+ - gui
+ - reporting
+ - csv-export
+ - cross-platform
+ - macro-automation
+ - visualization
+ - name: Android Logical Imaging
+ icon: 📋
+ type: method
+ description: >-
+ Es gibt immer wieder auch Fälle, wo man nicht allermodernste Mobilgeräte
+ knacken muss - der Großvater, der im Nachlass ein altes Samsung mit
+ wichtigen Daten hinterlassen hat. Es muss in diesn Fällen nicht der teure
+ Hersteller aus Israel sein. Die Androis-ADB-Shell bietet genug
+ Möglichkeiten, auch ohne viel Geld auszugeben an das logische Dateisystem
+ zu gelangen. Die Erfolgsaussichten sinken jedoch massiv bei neuren
+ Geräten.
+ domains:
+ - mobile-forensics
+ phases:
+ - data-collection
+ platforms: []
+ skillLevel: advanced
+ accessType: null
+ url: https://claude.ai/public/artifacts/66785e1f-62bb-4eb9-9269-b08648161742
+ projectUrl: null
+ license: null
+ knowledgebase: true
+ tags:
+ - command-line
+ - logical-copy
+ - mobile-app-data
+ - triage
+ - name: Microsoft Office 365
+ type: software
+ description: >-
+ Der Industriestandard für professionelle Dokumentation mit nahtloser
+ Cloud-Integration. Excel's Power Query verwandelt komplexe
+ Forensik-Datensätze in aussagekräftige Visualisierungen. Die
+ Kollaborations-Features ermöglichen Echtzeit-Zusammenarbeit an Berichten.
+ Datenschutzbedenken bei Cloud-Speicherung sensibler Forensik-Daten sollten
+ bedacht werden.
+ domains:
+ - incident-response
+ - static-investigations
+ - malware-analysis
+ - fraud-investigation
+ - network-forensics
+ - mobile-forensics
+ - cloud-forensics
+ - ics-forensics
+ phases:
+ - examination
+ - analysis
+ - reporting
+ skillLevel: novice
+ url: https://www.office.com/
+ icon: ☁️
+ platforms:
+ - Windows
+ - macOS
+ - Web
+ accessType: commercial
+ license: Proprietary
+ knowledgebase: false
+ related_software: null
+ domain-agnostic-software:
+ - collaboration-general
+ tags:
+ - gui
+ - web-interface
+ - commercial
+ - collaboration
+ - visualization
+ - cloud-artifacts
+ - name: GraphSense
+ icon: 🌐
+ type: software
+ description: >-
+ Die europäische Alternative zu Chainalysis mit Open-Source-Kern und Fokus
+ auf Privatsphäre. Clustering-Qualität noch nicht auf Chainalysis-Niveau,
+ dafür vollständige Kontrolle über die Daten. Die
+ Cassandra-Backend-Anforderungen machen Self-Hosting zur Herausforderung
+ für kleine Teams. Ideal für Organisationen, die Blockchain-Analysen ohne
+ US-Cloud-Abhängigkeit benötigen.
+ domains:
+ - static-investigations
+ - fraud-investigation
+ phases:
+ - analysis
+ - reporting
+ platforms:
+ - Web
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: intermediate
+ accessType: server-based
+ url: https://graphsense.org/
+ projectUrl: ''
+ license: MIT
+ knowledgebase: false
+ tags:
+ - web-interface
+ - blockchain-analysis
+ - opensource
+ - visualization
+ - anomaly-detection
+ - correlation-engine
+ - name: FTK Imager
+ icon: 📦
+ type: software
+ description: >-
+ Der Oldtimer unter den Imaging-Tools, aber immer noch zuverlässig wie ein
+ Uhrwerk. Erstellt bit-genaue Kopien von Festplatten mit integrierter
+ Hash-Verifizierung für die Beweiskette. Die kostenlose Version reicht für
+ die meisten Aufgaben, unterstützt alle gängigen Image-Formate. Etwas
+ angestaubt in der Oberfläche, aber bewährt in tausenden Gerichtsverfahren.
+ Freeware, aber nicht open source.
+ domains:
+ - static-investigations
+ - incident-response
+ phases:
+ - data-collection
+ platforms:
+ - Windows
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: beginner
+ accessType: download
+ url: https://www.exterro.com/digital-forensics-software/ftk-imager
+ projectUrl: ''
+ license: Proprietary
+ knowledgebase: false
+ tags:
+ - gui
+ - physical-copy
+ - hashing
+ - court-admissible
+ - scenario:disk_imaging
+ - ewf-support
+ - name: Guymager
+ icon: 📦
+ type: software
+ description: >-
+ Das schlanke Linux-Imaging-Tool mit Fokus auf Performance und
+ Zuverlässigkeit. Multi-threaded Design nutzt moderne CPUs optimal für
+ schnellstmögliche Akquisition. Unterstützt RAW, EWF und AFF Formate mit
+ simultaner Hash-Berechnung. Die spartanische Oberfläche täuscht über die
+ solide Technik unter der Haube hinweg.
+ domains:
+ - incident-response
+ - static-investigations
+ phases:
+ - data-collection
+ platforms:
+ - Linux
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: novice
+ accessType: download
+ url: https://guymager.sourceforge.io/
+ projectUrl: ''
+ license: GPL-2.0
+ knowledgebase: false
+ tags:
+ - gui
+ - physical-copy
+ - multithreaded
+ - hashing
+ - scenario:disk_imaging
+ - ewf-support
+ - name: Fuji
+ icon: 📦
+ type: software
+ description: >-
+ Der Geheimtipp für macOS-Forensiker - Live-Imaging ohne
+ Kernel-Modifikationen. Umgeht geschickt Apples Sicherheitsmechanismen für
+ forensisch saubere Speicherabbilder. Besonders wertvoll da kommerzielle
+ Mac-Forensik-Tools rar und teuer sind. Die aktive Community sorgt für
+ Updates bei neuen macOS-Versionen.
+ domains:
+ - incident-response
+ - static-investigations
+ phases:
+ - data-collection
+ platforms:
+ - macOS
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: intermediate
+ accessType: download
+ url: https://github.com/Lazza/Fuji
+ projectUrl: ''
+ license: GPL-3.0
+ knowledgebase: false
+ tags:
+ - command-line
+ - live-acquisition
+ - physical-copy
+ - apfs
+ - scenario:disk_imaging
+ - zero-footprint
+ - name: ALEAPP
+ icon: 📦
+ type: software
+ description: >-
+ Android-Forensik leicht gemacht - parst dutzende Apps und System-Artefakte
+ automatisch. Von WhatsApp-Chats über Standortdaten bis zu gelöschten
+ SQLite-Einträgen wird alles extrahiert. Die HTML-Reports sind gerichtsfest
+ aufbereitet mit Timeline und Kommunikationsanalyse. Teil der beliebten
+ LEAPP-Familie, ständig aktualisiert für neue Android-Versionen.
+ domains:
+ - incident-response
+ - static-investigations
+ - mobile-forensics
+ phases:
+ - examination
+ - analysis
+ platforms:
+ - Windows
+ - Linux
+ - macOS
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: intermediate
+ accessType: download
+ url: https://github.com/abrignoni/ALEAPP
+ projectUrl: ''
+ license: MIT
+ knowledgebase: false
+ tags:
+ - command-line
+ - mobile-app-data
+ - artifact-parser
+ - timeline
+ - html-export
+ - sqlite-viewer
+ - name: iLEAPP
+ icon: 📦
+ type: software
+ description: >-
+ Das iOS-Pendant zu ALEAPP mit Fokus auf Apple's geschlossenem Ökosystem.
+ Extrahiert versteckte Schätze aus iPhone-Backups inklusive gelöschter
+ Daten. Besonders stark bei der Analyse von iMessage, FaceTime und
+ Apple-eigenen Apps. Die regelmäßigen Updates halten Schritt mit
+ iOS-Änderungen und neuen Artefakten.
+ domains:
+ - incident-response
+ - static-investigations
+ - mobile-forensics
+ phases:
+ - examination
+ - analysis
+ platforms:
+ - Windows
+ - Linux
+ - macOS
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: intermediate
+ accessType: download
+ url: https://github.com/abrignoni/iLEAPP
+ projectUrl: ''
+ license: MIT
+ knowledgebase: false
+ tags:
+ - command-line
+ - mobile-app-data
+ - artifact-parser
+ - timeline
+ - html-export
+ - deleted-file-recovery
+ - name: VLEAPP
+ icon: 📦
+ type: software
+ description: >-
+ Die Zukunft der Fahrzeug-Forensik für vernetzte Autos und
+ Infotainment-Systeme. Parst CAN-Bus-Daten, GPS-Tracks und
+ Smartphone-Verbindungen aus modernen Fahrzeugen. Ein Nischen-Tool, aber
+ unverzichtbar bei Unfallrekonstruktionen und Kriminalfällen. Die
+ Unterstützung für verschiedene Hersteller wächst mit der Community.
+ domains:
+ - static-investigations
+ - ics-forensics
+ phases:
+ - examination
+ - analysis
+ platforms:
+ - Windows
+ - Linux
+ - macOS
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: intermediate
+ accessType: download
+ url: https://github.com/abrignoni/VLEAPP
+ projectUrl: ''
+ license: MIT
+ knowledgebase: false
+ tags:
+ - command-line
+ - artifact-parser
+ - geolocation
+ - timeline
+ - html-export
+ - system-metadata
+ - name: Kali Linux
+ type: software
+ description: >-
+ Die wohlbekannte Hacker-Distribution mit über 600 vorinstallierten
+ Security-Tools. Von Forensik über Penetration Testing bis Reverse
+ Engineering ist alles an Bord. Die Live-Boot-Option ermöglicht forensische
+ Untersuchungen ohne Installation. Regelmäßige Updates halten die
+ Tool-Sammlung auf dem neuesten Stand.
+ domains:
+ - incident-response
+ - static-investigations
+ - malware-analysis
+ - fraud-investigation
+ - network-forensics
+ - mobile-forensics
+ - cloud-forensics
+ - ics-forensics
+ skillLevel: intermediate
+ url: https://kali.org/
+ icon: 🖥
+ platforms:
+ - OS
+ accessType: download
+ license: GPL-3.0
+ knowledgebase: true
+ related_software: null
+ domain-agnostic-software:
+ - specific-os
+ tags:
+ - gui
+ - command-line
+ - cross-platform
+ - live-acquisition
+ - write-blocker
+ - opensource
+ - name: dd
+ icon: 📦
+ type: software
+ description: >-
+ Das Unix-Urgestein für bit-genaues Kopieren von Datenträgern seit 1974.
+ Minimalistisch aber mächtig - der Goldstandard für forensische Disk-Images
+ unter Linux. Mit den richtigen Parametern (conv=noerror,sync) übersteht es
+ auch defekte Sektoren. Keine Schnörkel, keine GUI, nur pure
+ Zuverlässigkeit für Forensik-Puristen.
+ domains:
+ - incident-response
+ - static-investigations
+ phases:
+ - data-collection
+ platforms:
+ - Linux
+ - macOS
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: intermediate
+ accessType: built-in
+ url: https://www.gnu.org/software/coreutils/dd
+ projectUrl: ''
+ license: GPL-3.0
+ knowledgebase: false
+ tags:
+ - command-line
+ - physical-copy
+ - raw-image-support
+ - scenario:disk_imaging
+ - zero-footprint
+ - offline-mode
+ - name: dcfldd
+ icon: 📦
+ type: software
+ description: >-
+ Die forensische Weiterentwicklung von dd mit eingebauter
+ Hash-Verifizierung. Zeigt Fortschrittsbalken, splittet große Images und
+ berechnet mehrere Hashes gleichzeitig. Von der DoD Computer Forensics Lab
+ entwickelt für professionelle Anforderungen. Die Status-Ausgabe während
+ langer Imaging-Vorgänge rettet Nerven und Zeit.
+ domains:
+ - incident-response
+ - static-investigations
+ phases:
+ - data-collection
+ platforms:
+ - Linux
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: intermediate
+ accessType: download
+ url: https://github.com/resurrecting-open-source-projects/dcfldd
+ projectUrl: ''
+ license: GPL-2.0
+ knowledgebase: false
+ tags:
+ - command-line
+ - physical-copy
+ - hashing
+ - scenario:disk_imaging
+ - compression
+ - integrity-check
+ - name: ewfacquire
+ icon: 📦
+ type: software
+ description: >-
+ Das Kommandozeilen-Tool für Expert Witness Format (E01) Images mit
+ Kompression. Teil der libewf-Suite, erstellt gerichtsfeste Images mit
+ Metadaten und Chain of Custody. Besonders wertvoll für große Datenträger
+ dank effizienter Kompression. Die E01-Kompatibilität ermöglicht nahtlosen
+ Austausch mit kommerziellen Tools.
+ domains:
+ - incident-response
+ - static-investigations
+ phases:
+ - data-collection
+ platforms:
+ - Linux
+ - macOS
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: intermediate
+ accessType: download
+ url: https://github.com/libyal/libewf
+ projectUrl: ''
+ license: LGPL-3.0
+ knowledgebase: false
+ tags:
+ - command-line
+ - physical-copy
+ - ewf-support
+ - compression
+ - chain-of-custody
+ - scenario:disk_imaging
+ - name: PhotoRec
+ icon: 📦
+ type: software
+ description: >-
+ Der Datenretter in der Not - findet gelöschte Dateien ohne
+ Dateisystem-Strukturen. Signature-basiertes Carving für über 300
+ Dateiformate von Fotos bis Office-Dokumenten. Arbeitet read-only und ist
+ damit forensisch sauber für die Beweissicherung. Die Schwestersoftware
+ TestDisk repariert zusätzlich beschädigte Partitionen.
+ domains:
+ - incident-response
+ - static-investigations
+ - fraud-investigation
+ phases:
+ - examination
+ platforms:
+ - Windows
+ - Linux
+ - macOS
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: beginner
+ accessType: download
+ url: https://www.cgsecurity.org/wiki/PhotoRec
+ projectUrl: ''
+ license: GPL-2.0
+ knowledgebase: false
+ tags:
+ - gui
+ - file-carving
+ - deleted-file-recovery
+ - scenario:file_recovery
+ - signature-analysis
+ - cross-platform
+ - name: Kismet
+ icon: 📦
+ type: software
+ description: >-
+ Der WLAN-Schnüffler der Extraklasse für Wireless-Forensik und
+ Sicherheitsaudits. Passives Monitoring deckt versteckte Netzwerke, Rogue
+ Access Points und Client-Geräte auf. Die GPS-Integration ermöglicht
+ War-Driving mit präziser Standort-Zuordnung. Unterstützt moderne Standards
+ wie 802.11ac und Bluetooth LE Sniffing.
+ domains:
+ - incident-response
+ - network-forensics
+ phases:
+ - data-collection
+ - examination
+ platforms:
+ - Linux
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: advanced
+ accessType: download
+ url: https://www.kismetwireless.net/
+ projectUrl: ''
+ license: GPL-2.0
+ knowledgebase: false
+ tags:
+ - gui
+ - pcap-capture
+ - geolocation
+ - live-acquisition
+ - anomaly-detection
+ - wireless-analysis
+ - name: OSFMount
+ icon: 📦
+ type: software
+ description: >-
+ Mountet Disk-Images als virtuelle Laufwerke unter Windows für komfortable
+ Analyse. Unterstützt alle gängigen Formate von RAW über E01 bis zu
+ VM-Images. Der schreibgeschützte Modus garantiert forensische Integrität
+ der Beweise. Besonders praktisch für schnelle Triage ohne vollständige
+ Forensik-Suite. Freeware, aber nicht open source.
+ domains:
+ - incident-response
+ - static-investigations
+ phases:
+ - examination
+ platforms:
+ - Windows
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: beginner
+ accessType: download
+ url: https://www.osforensics.com/tools/mount-disk-images.html
+ projectUrl: ''
+ license: Proprietary
+ knowledgebase: false
+ tags:
+ - gui
+ - virtual-machine
+ - ewf-support
+ - raw-image-support
+ - write-blocker
+ - triage
+ - name: Thumbcache Viewer
+ icon: 📦
+ type: software
+ description: >-
+ Spezialist für Windows Thumbnail-Caches mit Zugriff auf gelöschte
+ Bildvorschauen. Extrahiert Thumbnails aus thumbcache_*.db Dateien
+ inklusive EXIF-Zeitstempel. Unbezahlbar für den Nachweis, dass Bilder auf
+ einem System vorhanden waren. Die einfache GUI macht es auch für weniger
+ technische Ermittler zugänglich.
+ domains:
+ - static-investigations
+ - fraud-investigation
+ phases:
+ - examination
+ - analysis
+ platforms:
+ - Windows
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: beginner
+ accessType: download
+ url: https://thumbcacheviewer.github.io/
+ projectUrl: ''
+ license: GPL-3.0
+ knowledgebase: false
+ tags:
+ - gui
+ - deleted-file-recovery
+ - metadata-parser
+ - triage
+ - system-metadata
+ - thumbnail-analysis
+ - name: RegRipper
+ icon: 📦
+ type: software
+ description: >-
+ Der scenario:windows-registry-Experte mit hunderten Plugins für
+ automatisierte Analyse. Extrahiert USB-Historie, installierte Software,
+ Benutzeraktivitäten und Malware-Spuren. Die Plugin-Architektur erlaubt
+ maßgeschneiderte Untersuchungen für spezielle Fälle. Spart Stunden
+ manueller Registry-Analyse und findet oft übersehene Artefakte.
+ domains:
+ - incident-response
+ - static-investigations
+ - malware-analysis
+ phases:
+ - examination
+ - analysis
+ platforms:
+ - Windows
+ - Linux
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: intermediate
+ accessType: download
+ url: https://github.com/keydet89/RegRipper3.0
+ projectUrl: ''
+ license: MIT
+ knowledgebase: false
+ tags:
+ - command-line
+ - registry-hives
+ - plugin-support
+ - scenario:windows-registry
+ - usb-history
+ - artifact-parser
+ - name: YARA
+ type: software
+ description: >-
+ Die Pattern-Matching-Engine für Malware-Jäger und Threat Hunter.
+ Regelbasierte Suche nach Strings, Byte-Sequenzen und regulären Ausdrücken.
+ De-facto Standard für Malware-Signaturen mit riesiger
+ Community-Rule-Sammlung. Integration in viele Forensik-Tools macht es zum
+ Marktstandard.
+ domains:
+ - incident-response
+ - malware-analysis
+ phases:
+ - examination
+ - analysis
+ skillLevel: intermediate
+ url: https://virustotal.github.io/yara/
+ icon: 🛠
+ platforms:
+ - Windows
+ - Linux
+ - macOS
+ accessType: download
+ license: BSD-3-Clause
+ knowledgebase: false
+ tags:
+ - command-line
+ - yara-scan
+ - signature-analysis
+ - regex-search
+ - cross-platform
+ - memory-signatures
+ - name: Strings
+ icon: 📦
+ type: software
+ description: >-
+ Das simple Tool mit großer Wirkung - extrahiert lesbare Texte aus
+ Binärdateien. Findet URLs, Passwörter, Pfade und andere
+ ASCII/Unicode-Strings in Malware. Die Ausgabe gibt oft erste Hinweise auf
+ Funktionalität und Herkunft. In Kombination mit grep ein mächtiges
+ Werkzeug für schnelle Triage.
+ domains:
+ - incident-response
+ - malware-analysis
+ phases:
+ - examination
+ platforms:
+ - Windows
+ - Linux
+ - macOS
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: novice
+ accessType: built-in
+ url: https://docs.microsoft.com/en-us/sysinternals/downloads/strings
+ projectUrl: ''
+ license: Proprietary/GPL
+ knowledgebase: false
+ tags:
+ - command-line
+ - string-search
+ - binary-decode
+ - triage
+ - cross-platform
+ - fast-scan
+ - name: MaxMind GeoIP
+ type: software
+ description: >-
+ Die Geolocation-Datenbank für IP-Adressen-Zuordnung zu Ländern und
+ Städten. Unverzichtbar für die Analyse von Netzwerk-Logs und
+ Angriffsherkunft. Die kostenlose GeoLite2-Version reicht für die meisten
+ forensischen Zwecke. API-Integration ermöglicht automatisierte
+ Anreicherung großer Datensätze.
+ domains:
+ - incident-response
+ - fraud-investigation
+ - network-forensics
+ phases:
+ - analysis
+ skillLevel: beginner
+ url: https://www.maxmind.com/
+ icon: 🗄
+ platforms:
+ - Windows
+ - Linux
+ - macOS
+ accessType: download
+ license: GeoLite2 EULA / Commercial
+ knowledgebase: false
+ tags:
+ - api
+ - geolocation
+ - data-enrichment
+ - cross-platform
+ - automation-ready
+ - offline-mode
+ - name: SIFT Workstation
+ type: software
+ description: >-
+ SANS' kuratierte Ubuntu-Distribution vollgepackt mit Forensik-Tools und
+ Skripten. Über 500 Tools vorinstalliert, vorkonfiguriert und dokumentiert
+ für sofortigen Einsatz. Die begleitenden Trainingsmaterialien machen es
+ zur idealen Lernumgebung. Regelmäßige Updates vom SANS-Team halten die
+ Tool-Sammlung aktuell.
+ domains:
+ - incident-response
+ - static-investigations
+ - malware-analysis
+ - network-forensics
+ - mobile-forensics
+ skillLevel: intermediate
+ url: https://www.sans.org/tools/sift-workstation/
+ icon: 🖥
+ platforms:
+ - OS
+ accessType: download
+ license: Free / Mixed
+ knowledgebase: false
+ related_software: null
+ domain-agnostic-software:
+ - specific-os
+ tags:
+ - gui
+ - command-line
+ - cross-platform
+ - write-blocker
+ - live-acquisition
+ - signature-updates
+ - name: Tsurugi Linux
+ type: software
+ description: >-
+ Die von Forensikern entwickelte Forensik-Distribution mit Fokus auf
+ Benutzerfreundlichkeit. Besonders stark bei Mobile- und Malware-Forensik
+ mit vielen spezialisierten Tools. Die DFIR-Menüstruktur gruppiert Tools
+ logisch nach Untersuchungsphasen. Läuft performant auch auf älterer
+ Hardware dank optimiertem Kernel. Hat einen integrierten Write-Blocker und
+ existiert in einer reduzierten "Acquire"-Version, die Imaging als
+ Live-System-Umgebung ermöglicht.
+ domains:
+ - incident-response
+ - static-investigations
+ - malware-analysis
+ - mobile-forensics
+ skillLevel: intermediate
+ url: https://tsurugi-linux.org/
+ icon: 🖥
+ platforms:
+ - OS
+ accessType: download
+ license: GPL / Mixed
+ knowledgebase: false
+ related_software: null
+ domain-agnostic-software:
+ - specific-os
+ tags:
+ - gui
+ - write-blocker
+ - live-acquisition
+ - triage
+ - forensic-snapshots
+ - selective-imaging
+ - name: Parrot Security OS
+ type: software
+ description: >-
+ Die Datenschutz-fokussierte Alternative zu Kali mit Forensik-Werkzeugen.
+ AnonSurf für anonymisierte Ermittlungen und verschlüsselte Kommunikation
+ eingebaut. Ressourcenschonender als Kali, läuft flüssig auch in VMs mit
+ wenig RAM. Die rolling-release Natur hält Tools aktuell ohne
+ Neuinstallation.
+ domains:
+ - incident-response
+ - static-investigations
+ - malware-analysis
+ - network-forensics
+ skillLevel: intermediate
+ url: https://parrotsec.org/
+ icon: 🖥
+ platforms:
+ - OS
+ accessType: download
+ license: GPL-3.0
+ knowledgebase: false
+ related_software: null
+ domain-agnostic-software:
+ - specific-os
+ tags:
+ - gui
+ - command-line
+ - live-acquisition
+ - encrypted-traffic
+ - secure-sharing
+ - anonymous-analysis
+ - name: Eric Zimmerman Tools
+ icon: 📦
+ type: software
+ description: >-
+ Die Tool-Sammlung des Windows-Forensik-Gurus für Artefakt-Analyse. Von
+ ShellBags über Prefetch bis zu Amcache - jedes Tool ein Spezialist. Die
+ Timeline Explorer GUI vereint alle Ausgaben in einer durchsuchbaren
+ Ansicht. Ständige Updates für neue Windows-Versionen und Cloud-Artefakte.
+ domains:
+ - incident-response
+ - static-investigations
+ phases:
+ - examination
+ - analysis
+ platforms:
+ - Windows
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: intermediate
+ accessType: download
+ url: https://ericzimmerman.github.io/
+ projectUrl: ''
+ license: MIT
+ knowledgebase: false
+ tags:
+ - gui
+ - artifact-parser
+ - shellbags
+ - prefetch-viewer
+ - timeline
+ - jumplist
+ - name: Impacket
+ icon: 📦
+ type: software
+ description: >-
+ Python-Bibliothek für Netzwerk-Protokoll-Manipulation und
+ Windows-Forensik. Ermöglicht Remote-Zugriff auf Windows-Systeme für
+ Live-Forensik und IR. Die Skript-Sammlung deckt von SMB-Enumeration bis
+ Kerberos-Attacks alles ab. Unverzichtbar für die Untersuchung von Lateral
+ Movement und scenario:persistence.
+ domains:
+ - incident-response
+ - network-forensics
+ - malware-analysis
+ phases:
+ - data-collection
+ - examination
+ platforms:
+ - Linux
+ - Windows
+ - macOS
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: advanced
+ accessType: download
+ url: https://github.com/SecureAuthCorp/impacket
+ projectUrl: ''
+ license: Apache 2.0
+ knowledgebase: false
+ tags:
+ - command-line
+ - remote-collection
+ - scripting
+ - scenario:persistence
+ - protocol-decode
+ - live-process-view
+ - name: RSA NetWitness
+ icon: 📦
+ type: software
+ description: >-
+ Enterprise-Grade SIEM und Forensik-Plattform für große Netzwerke.
+ Korreliert Logs, Packets und Endpoints für 360-Grad-Sicht auf Incidents.
+ Die Hunting-Funktionen nutzen ML für Anomalie-Erkennung in Petabytes von
+ Daten. Lizenzkosten im siebenstelligen Bereich für vollständige
+ Deployment.
+ domains:
+ - incident-response
+ - network-forensics
+ - malware-analysis
+ phases:
+ - data-collection
+ - examination
+ - analysis
+ platforms:
+ - Web
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: expert
+ accessType: commercial
+ url: https://www.netwitness.com/
+ projectUrl: ''
+ license: Proprietary
+ knowledgebase: false
+ tags:
+ - web-interface
+ - commercial
+ - correlation-engine
+ - anomaly-detection
+ - distributed
+ - threat-scoring
+ - name: X-Ways Forensics
+ icon: 📦
+ type: software
+ description: >-
+ Der deutsche Präzisionsskalpell unter den Forensik-Tools mit
+ unübertroffener Effizienz. Besonders geschätzt für blitzschnelle Searches
+ in Multi-Terabyte-Images. Die spartanische Oberfläche schreckt Einsteiger
+ ab, Profis schwören darauf. Deutlich günstiger als US-Konkurrenz bei
+ vergleichbarer Funktionalität.
+ domains:
+ - static-investigations
+ - incident-response
+ phases:
+ - examination
+ - analysis
+ platforms:
+ - Windows
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: expert
+ accessType: commercial
+ url: https://www.x-ways.net/forensics/
+ projectUrl: ''
+ license: Proprietary
+ knowledgebase: false
+ tags:
+ - gui
+ - commercial
+ - keyword-search
+ - fast-scan
+ - court-admissible
+ - dongle-license
+ - name: EnCase
+ icon: 📦
+ type: software
+ description: >-
+ Der Veteran der kommerziellen Forensik-Tools mit 25 Jahren
+ Gerichtserfahrung. EnScript-Programmierung ermöglicht maßgeschneiderte
+ Automatisierung. Die Zertifizierung (EnCE) ist in vielen Behörden
+ Einstellungsvoraussetzung.
+ domains:
+ - static-investigations
+ - incident-response
+ phases:
+ - data-collection
+ - examination
+ - analysis
+ - reporting
+ platforms:
+ - Windows
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: intermediate
+ accessType: commercial
+ url: https://www.opentext.com/products/encase-forensic
+ projectUrl: ''
+ license: Proprietary
+ knowledgebase: false
+ tags:
+ - gui
+ - commercial
+ - scripting
+ - court-admissible
+ - case-management
+ - dongle-license
+ - name: FRED
+ icon: 🔧
+ type: software
+ description: >-
+ Forensic Recovery of Evidence Device - spezialisierte Hardware für
+ Imaging. Kombiniert Write-Blocker, Imager und Analyse-Workstation in einem
+ System. Die Ultrabay-Technologie ermöglicht Hot-Swap mehrerer Drives
+ gleichzeitig. Für High-Volume-Labs die Investition wert, für
+ Gelegenheitsnutzer Overkill.
+ domains:
+ - static-investigations
+ - incident-response
+ phases:
+ - data-collection
+ platforms:
+ - Hardware
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: intermediate
+ accessType: commercial
+ url: https://www.digitalintelligence.com/products/fred/
+ projectUrl: ''
+ license: Proprietary
+ knowledgebase: false
+ tags:
+ - gui
+ - commercial
+ - write-blocker
+ - physical-copy
+ - scenario:disk_imaging
+ - multithreaded
+ - name: ICSpector
+ type: software
+ description: >-
+ Ein von Microsoft entwickeltes Open-Source-Framework, das eine besondere
+ Nische bedient: Die Datensammlung bei Industriekontrollsystemen und
+ PLC-Metadaten.
+ domains:
+ - ics-forensics
+ phases:
+ - data-collection
+ - examination
+ - analysis
+ skillLevel: advanced
+ url: https://github.com/microsoft/ics-forensics-tools
+ icon: 🛠
+ platforms:
+ - Windows
+ - Linux
+ - macOS
+ accessType: download
+ license: MIT
+ knowledgebase: false
+ tags:
+ - command-line
+ - system-metadata
+ - artifact-parser
+ - cross-platform
+ - scripting
+ - opensource
+ - name: Live Memory Acquisition Procedure
+ icon: 📋
+ type: method
+ description: >-
+ Standardisiertes Verfahren zur forensisch korrekten Akquisition des
+ Arbeitsspeichers laufender Systeme. Umfasst Bewertung der
+ Systemkritikalität, Auswahl geeigneter Tools, Minimierung der
+ System-Kontamination und Dokumentation der Chain of Custody. Essentiell
+ für die Sicherung flüchtiger Beweise wie Prozess-Informationen,
+ Netzwerkverbindungen und Verschlüsselungsschlüssel.
+ domains:
+ - incident-response
+ - static-investigations
+ - malware-analysis
+ phases:
+ - data-collection
+ platforms: []
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: advanced
+ accessType: null
+ url: >-
+ https://www.nist.gov/publications/guide-integrating-forensic-techniques-incident-response
+ projectUrl: null
+ license: null
+ knowledgebase: false
+ tags:
+ - live-acquisition
+ - scenario:memory_dump
+ - chain-of-custody
+ - standards-compliant
+ - name: Rapid Incident Response Triage on macOS
+ icon: 📋
+ type: method
+ description: >-
+ Spezialisierte Methodik für die schnelle Incident Response auf
+ macOS-Systemen mit Fokus auf die Sammlung kritischer forensischer
+ Artefakte in unter einer Stunde. Adressiert die Lücke zwischen
+ Windows-zentrierten IR-Prozessen und macOS-spezifischen
+ Sicherheitsarchitekturen. Nutzt Tools wie Aftermath für effiziente
+ Datensammlung ohne zeitaufwändige Full-Disk-Images. Besonders wertvoll für
+ Unternehmensumgebungen mit gemischten Betriebssystem-Landschaften.
+ domains:
+ - incident-response
+ - static-investigations
+ - malware-analysis
+ phases:
+ - data-collection
+ - examination
+ platforms: []
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: intermediate
+ accessType: null
+ url: >-
+ https://www.sans.org/white-papers/rapid-incident-response-on-macos-actionable-insights-under-hour/
+ projectUrl: null
+ license: null
+ knowledgebase: null
+ tags:
+ - triage
+ - fast-scan
+ - apfs
+ - selective-imaging
+ - name: Aftermath
+ icon: 📦
+ type: software
+ description: >-
+ Jamf's Open-Source-Tool für die schnelle Sammlung forensischer Artefakte
+ auf macOS-Systemen. Sammelt kritische Daten wie Prozessinformationen,
+ Netzwerkverbindungen, Dateisystem-Metadaten und Systemkonfigurationen ohne
+ Full-Disk-Imaging. Speziell entwickelt für die Rapid-Response-Triage in
+ Enterprise-Umgebungen mit macOS-Geräten. Normalisiert Zeitstempel und
+ erstellt durchsuchbare Ausgabeformate für effiziente Analyse.
+ domains:
+ - incident-response
+ - static-investigations
+ - malware-analysis
+ phases:
+ - data-collection
+ - examination
+ platforms:
+ - macOS
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: intermediate
+ accessType: download
+ url: https://github.com/jamf/aftermath/
+ projectUrl: ''
+ license: Apache 2.0
+ knowledgebase: false
+ tags:
+ - command-line
+ - triage
+ - system-metadata
+ - apfs
+ - time-normalization
+ - structured-output
+ - name: Regular Expressions (Regex)
+ icon: 🔤
+ type: concept
+ description: >-
+ Pattern matching language for searching, extracting, and manipulating
+ text. Essential for log analysis, malware signature creation, and data
+ extraction from unstructured sources. Forms the backbone of many forensic
+ tools and custom scripts.
+ domains:
+ - incident-response
+ - malware-analysis
+ - network-forensics
+ - fraud-investigation
+ phases:
+ - examination
+ - analysis
+ platforms: []
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: intermediate
+ accessType: null
+ url: https://regexr.com/
+ projectUrl: null
+ license: null
+ knowledgebase: true
+ tags:
+ - regex-search
+ - string-search
+ - log-parser
+ - automation-ready
+ - name: SQL Query Fundamentals
+ icon: 🗃️
+ type: concept
+ description: >-
+ Structured Query Language for database interrogation and analysis.
+ Critical for examining application databases, SQLite artifacts from
+ mobile devices, and browser history databases. Enables complex
+ correlation and filtering of large datasets.
+ domains:
+ - incident-response
+ - mobile-forensics
+ - fraud-investigation
+ - cloud-forensics
+ phases:
+ - examination
+ - analysis
+ platforms: []
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: intermediate
+ accessType: null
+ url: https://www.w3schools.com/sql/
+ projectUrl: null
+ license: null
+ knowledgebase: false
+ tags:
+ - sqlite-viewer
+ - correlation-engine
+ - mobile-app-data
+ - browser-history
+ - name: Hash Functions & Digital Signatures
+ icon: 🔐
+ type: concept
+ description: >-
+ Cryptographic principles for data integrity verification and
+ authentication. Fundamental for evidence preservation, malware
+ identification, and establishing chain of custody. Understanding of MD5,
+ SHA, and digital signature validation.
+ domains:
+ - incident-response
+ - static-investigations
+ - malware-analysis
+ - cloud-forensics
+ phases:
+ - data-collection
+ - examination
+ platforms: []
+ related_software: null
+ domain-agnostic-software: null
+ skillLevel: advanced
+ accessType: null
+ url: https://en.wikipedia.org/wiki/Cryptographic_hash_function
+ projectUrl: null
+ license: null
+ knowledgebase: false
+ tags:
+ - hashing
+ - integrity-check
+ - chain-of-custody
+ - standards-compliant
+ - name: MSAB XRY
+ type: software
+ description: >-
+ Die Smartphone-Extraktionssoftware der Firma MSAB positioniert sich als
+ Konkurrenz zum Marktführer Cellebrite. MSAB wirbt mit dem Imaging selbst
+ neuester Android- und IOS-Geräte.
+ skillLevel: beginner
+ url: https://www.msab.com/product/xry-extract/
+ icon: 📦
+ domains:
+ - mobile-forensics
+ phases:
+ - data-collection
+ platforms:
+ - Windows
+ accessType: download
+ license: Proprietary
+ knowledgebase: false
+ tags:
+ - gui
+ - commercial
+ - mobile-app-data
+ - physical-copy
+ - decryption
+ - court-admissible
+domains:
+ - id: incident-response
+ name: Incident Response & Breach-Untersuchung
+ - id: static-investigations
+ name: Datenträgerforensik & Ermittlungen
+ - id: malware-analysis
+ name: Malware-Analyse & Reverse Engineering
+ - id: fraud-investigation
+ name: Betrugs- & Finanzkriminalität
+ - id: network-forensics
+ name: Netzwerk-Forensik & Traffic-Analyse
+ - id: mobile-forensics
+ name: Mobile Geräte & App-Forensik
+ - id: cloud-forensics
+ name: Cloud & Virtuelle Umgebungen
+ - id: ics-forensics
+ name: Industrielle Kontrollsysteme (ICS/SCADA)
+phases:
+ - id: data-collection
+ name: Datensammlung
+ description: Imaging, Acquisition, Remote Collection Tools
+ - id: examination
+ name: Auswertung
+ description: Parsing, Extraction, Initial Analysis Tools
+ - id: analysis
+ name: Analyse
+ description: Deep Analysis, Correlation, Visualization Tools
+ - id: reporting
+ name: Bericht & Präsentation
+ description: >-
+ Documentation, Visualization, Presentation Tools (z.B. QGIS für Geodaten,
+ Timeline-Tools)
+domain-agnostic-software:
+ - id: collaboration-general
+ name: Übergreifend & Kollaboration
+ description: Cross-cutting tools and collaboration platforms
+ - id: specific-os
+ name: Betriebssysteme
+ description: Operating Systems which focus on forensics
+scenarios:
+ - id: scenario:disk_imaging
+ icon: 💽
+ friendly_name: Datenträgerabbild
+ - id: scenario:memory_dump
+ icon: 🧠
+ friendly_name: RAM-Analyse
+ - id: scenario:file_recovery
+ icon: 🗑️
+ friendly_name: Datenrettung
+ - id: scenario:browser_history
+ icon: 🌍
+ friendly_name: Browser-Spuren
+ - id: scenario:credential_theft
+ icon: 🛑
+ friendly_name: Zugangsdiebstahl
+ - id: scenario:remote_access
+ icon: 📡
+ friendly_name: Fernzugriffe
+ - id: scenario:persistence
+ icon: ♻️
+ friendly_name: Persistenzsuche
+ - id: scenario:windows-registry
+ icon: 📜
+ friendly_name: Registry-Analyse
\ No newline at end of file
diff --git a/src/data/tools.yaml b/src/data/tools.yaml
index 80224ac..d9f1f70 100644
--- a/src/data/tools.yaml
+++ b/src/data/tools.yaml
@@ -27,6 +27,8 @@ tools:
- carving
- artifact-extraction
- keyword-search
+ - scenario:file_recovery
+ - scenario:browser_history
related_concepts:
- SQL Query Fundamentals
- Hash Functions & Digital Signatures
@@ -37,7 +39,6 @@ tools:
license: Apache 2.0
knowledgebase: false
- name: Volatility 3
- icon: 📦
type: software
description: >-
Das Universalwerkzeug der Live-Forensik, unverzichtbar für die Analyse von
@@ -47,6 +48,9 @@ tools:
erweiterbar, erfordert aber solide Kommandozeilen-Kenntnisse. Version 3
bringt deutliche Performance-Verbesserungen und bessere
Formatunterstützung.
+ skillLevel: advanced
+ url: https://www.volatilityfoundation.org/
+ icon: 📦
domains:
- incident-response
- static-investigations
@@ -55,21 +59,8 @@ tools:
phases:
- examination
- analysis
- platforms:
- - Windows
- - Linux
- - macOS
- related_concepts:
- - Hash Functions & Digital Signatures
- - Regular Expressions (Regex)
- related_software: null
- domain-agnostic-software: null
- skillLevel: advanced
- accessType: download
- url: https://www.volatilityfoundation.org/
- projectUrl: ''
- license: VSL
- knowledgebase: false
+ scenarios:
+ - scenario:memory_dump
tags:
- commandline
- memory
@@ -77,6 +68,16 @@ tools:
- artifact-extraction
- scripting
- process-analysis
+ related_concepts:
+ - Hash Functions & Digital Signatures
+ - Regular Expressions (Regex)
+ platforms:
+ - Windows
+ - Linux
+ - macOS
+ accessType: download
+ license: VSL
+ knowledgebase: false
- name: TheHive 5
icon: 🌐
type: software
@@ -1484,7 +1485,7 @@ tools:
icon: 📦
type: software
description: >-
- Der Windows-Registry-Experte mit hunderten Plugins für automatisierte
+ Der scenario:windows-registry-Experte mit hunderten Plugins für automatisierte
Analyse. Extrahiert USB-Historie, installierte Software,
Benutzeraktivitäten und Malware-Spuren. Die Plugin-Architektur erlaubt
maßgeschneiderte Untersuchungen für spezielle Fälle. Spart Stunden
@@ -1753,7 +1754,7 @@ tools:
Windows-Forensik. Ermöglicht Remote-Zugriff auf Windows-Systeme für
Live-Forensik und IR. Die Skript-Sammlung deckt von SMB-Enumeration bis
Kerberos-Attacks alles ab. Unverzichtbar für die Untersuchung von Lateral
- Movement und Persistence.
+ Movement und scenario:persistence.
domains:
- incident-response
- network-forensics
@@ -2209,27 +2210,27 @@ domain-agnostic-software:
name: Betriebssysteme
description: Operating Systems which focus on forensics
scenarios:
- - id: disk_imaging
+ - id: scenario:disk_imaging
icon: 💽
friendly_name: Datenträgerabbild
- - id: memory_dump
+ - id: scenario:memory_dump
icon: 🧠
friendly_name: RAM-Analyse
- - id: file_recovery
+ - id: scenario:file_recovery
icon: 🗑️
friendly_name: Datenrettung
- - id: browser_history
+ - id: scenario:browser_history
icon: 🌍
friendly_name: Browser-Spuren
- - id: credential_theft
+ - id: scenario:credential_theft
icon: 🛑
friendly_name: Zugangsdiebstahl
- - id: remote_access
+ - id: scenario:remote_access
icon: 📡
friendly_name: Fernzugriffe
- - id: persistence
+ - id: scenario:persistence
icon: ♻️
friendly_name: Persistenzsuche
- - id: windows-registry
+ - id: scenario:windows-registry
icon: 📜
- friendly_name: Registry-Analyse
\ No newline at end of file
+ friendly_name: Registry-Analyse
diff --git a/src/data/tools.yaml.example b/src/data/tools.yaml.example
index 133f08b..2e878c0 100644
--- a/src/data/tools.yaml.example
+++ b/src/data/tools.yaml.example
@@ -1,177 +1,83 @@
tools:
- - name: Rapid Incident Response Triage on macOS
- icon: 📋
- type: method
- description: >-
- Spezialisierte Methodik für die schnelle Incident Response auf
- macOS-Systemen mit Fokus auf die Sammlung kritischer forensischer
- Artefakte in unter einer Stunde. Adressiert die Lücke zwischen
- Windows-zentrierten IR-Prozessen und macOS-spezifischen
- Sicherheitsarchitekturen. Nutzt Tools wie Aftermath für effiziente
- Datensammlung ohne zeitaufwändige Full-Disk-Images. Besonders wertvoll für
- Unternehmensumgebungen mit gemischten Betriebssystem-Landschaften.
- domains:
- - incident-response
- - static-investigations
- - malware-analysis
- phases:
- - data-collection
- - examination
- platforms: []
- related_concepts: null
- related_software:
- - Aftermath
- domain-agnostic-software: null
- skillLevel: intermediate
- accessType: null
- url: >-
- https://www.sans.org/white-papers/rapid-incident-response-on-macos-actionable-insights-under-hour/
- projectUrl: null
- license: null
- knowledgebase: null
- tags:
- - macos
- - rapid-response
- - triage
- - incident-response
- - aftermath
- - enterprise
- - methodology
- - apple
- - name: Aftermath
- icon: 📦
+ - name: Autopsy
type: software
description: >-
- Jamf's Open-Source-Tool für die schnelle Sammlung forensischer Artefakte
- auf macOS-Systemen. Sammelt kritische Daten wie Prozessinformationen,
- Netzwerkverbindungen, Dateisystem-Metadaten und Systemkonfigurationen ohne
- Full-Disk-Imaging. Speziell entwickelt für die Rapid-Response-Triage in
- Enterprise-Umgebungen mit macOS-Geräten. Normalisiert Zeitstempel und
- erstellt durchsuchbare Ausgabeformate für effiziente Analyse.
+ Die führende Open-Source-Alternative zu kommerziellen Forensik-Suiten mit
+ intuitiver grafischer Oberfläche. Besonders stark in der Timeline-Analyse,
+ Keyword-Suche und dem Carving gelöschter Dateien. Die modulare
+ Plugin-Architektur erlaubt Erweiterungen für spezielle
+ Untersuchungsszenarien. Zwar komplexer als kommerzielle Lösungen, aber
+ dafür vollständig transparent und kostenfrei.
+ skillLevel: intermediate
+ url: https://www.autopsy.com/
+ icon: 📦
domains:
- incident-response
- static-investigations
- malware-analysis
+ - mobile-forensics
+ - cloud-forensics
phases:
- - data-collection
- examination
- platforms:
- - macOS
+ - analysis
+ tags:
+ - gui
+ - filesystem
+ - timeline-analysis
+ - carving
+ - artifact-extraction
+ - keyword-search
+ - scenario:file_recovery
+ - scenario:browser_history
related_concepts:
+ - SQL Query Fundamentals
- Hash Functions & Digital Signatures
- related_software: null
- domain-agnostic-software: null
- skillLevel: intermediate
+ platforms:
+ - Windows
+ - Linux
accessType: download
- url: https://github.com/jamf/aftermath/
- projectUrl: ''
license: Apache 2.0
knowledgebase: false
- tags:
- - macos
- - incident-response
- - triage
- - artifact-collection
- - rapid-response
- - jamf
- - enterprise
- - commandline
- - name: Regular Expressions (Regex)
- icon: 🔤
- type: concept
+ - name: Volatility 3
+ type: software
description: >-
- Pattern matching language for searching, extracting, and manipulating
- text. Essential for log analysis, malware signature creation, and data
- extraction from unstructured sources. Forms the backbone of many forensic
- tools and custom scripts.
- domains:
- - incident-response
- - malware-analysis
- - network-forensics
- - fraud-investigation
- phases:
- - examination
- - analysis
- platforms: []
- related_concepts: null
- related_software: null
- domain-agnostic-software: null
- skillLevel: intermediate
- accessType: null
- url: https://regexr.com/
- projectUrl: null
- license: null
- knowledgebase: true
- tags:
- - pattern-matching
- - text-processing
- - log-analysis
- - string-manipulation
- - search-algorithms
- - name: SQL Query Fundamentals
- icon: 🗃️
- type: concept
- description: >-
- Structured Query Language for database interrogation and analysis.
- Critical for examining application databases, SQLite artifacts from
- mobile devices, and browser history databases. Enables complex
- correlation and filtering of large datasets.
- domains:
- - incident-response
- - mobile-forensics
- - fraud-investigation
- - cloud-forensics
- phases:
- - examination
- - analysis
- platforms: []
- related_concepts: null
- related_software: null
- domain-agnostic-software: null
- skillLevel: intermediate
- accessType: null
- url: https://www.w3schools.com/sql/
- projectUrl: null
- license: null
- knowledgebase: false
- tags:
- - database-analysis
- - query-language
- - data-correlation
- - mobile-artifacts
- - browser-forensics
- - name: Hash Functions & Digital Signatures
- icon: 🔐
- type: concept
- description: >-
- Cryptographic principles for data integrity verification and
- authentication. Fundamental for evidence preservation, malware
- identification, and establishing chain of custody. Understanding of MD5,
- SHA, and digital signature validation.
+ Das Universalwerkzeug der Live-Forensik, unverzichtbar für die Analyse von
+ RAM-Dumps. Mit über 100 Plugins extrahiert es Prozesse,
+ Netzwerkverbindungen, Registry-Keys und versteckte Malware aus dem
+ Arbeitsspeicher. Die Python-basierte Architektur macht es flexibel
+ erweiterbar, erfordert aber solide Kommandozeilen-Kenntnisse. Version 3
+ bringt deutliche Performance-Verbesserungen und bessere
+ Formatunterstützung.
+ skillLevel: advanced
+ url: https://www.volatilityfoundation.org/
+ icon: 📦
domains:
- incident-response
- static-investigations
- malware-analysis
- - cloud-forensics
+ - network-forensics
phases:
- - data-collection
- examination
- platforms: []
- related_concepts: null
- related_software: null
- domain-agnostic-software: null
- skillLevel: advanced
- accessType: null
- url: https://en.wikipedia.org/wiki/Cryptographic_hash_function
- projectUrl: null
- license: null
- knowledgebase: false
+ - analysis
+ scenarios:
+ - scenario:memory_dump
tags:
- - cryptography
- - data-integrity
- - evidence-preservation
- - malware-identification
- - chain-of-custody
+ - commandline
+ - memory
+ - malware-analysis
+ - artifact-extraction
+ - scripting
+ - process-analysis
+ related_concepts:
+ - Hash Functions & Digital Signatures
+ - Regular Expressions (Regex)
+ platforms:
+ - Windows
+ - Linux
+ - macOS
+ accessType: download
+ license: VSL
+ knowledgebase: false
domains:
- id: incident-response
name: Incident Response & Breach-Untersuchung
@@ -212,9 +118,27 @@ domain-agnostic-software:
name: Betriebssysteme
description: Operating Systems which focus on forensics
scenarios:
- - id: registry
- icon: 🗃️
- friendly_name: "Registry-Analyse"
- - id: memory-forensics
+ - id: scenario:disk_imaging
+ icon: 💽
+ friendly_name: Datenträgerabbild
+ - id: scenario:memory_dump
icon: 🧠
- friendly_name: "Memory-Forensik"
\ No newline at end of file
+ friendly_name: RAM-Analyse
+ - id: scenario:file_recovery
+ icon: 🗑️
+ friendly_name: Datenrettung
+ - id: scenario:browser_history
+ icon: 🌍
+ friendly_name: Browser-Spuren
+ - id: scenario:credential_theft
+ icon: 🛑
+ friendly_name: Zugangsdiebstahl
+ - id: scenario:remote_access
+ icon: 📡
+ friendly_name: Fernzugriffe
+ - id: scenario:persistence
+ icon: ♻️
+ friendly_name: Persistenzsuche
+ - id: scenario:windows-registry
+ icon: 📜
+ friendly_name: Registry-Analyse
\ No newline at end of file