From 81bbafeef12027c01a176d5d057bd6cd963865ba Mon Sep 17 00:00:00 2001 From: overcuriousity Date: Mon, 28 Jul 2025 10:46:17 +0200 Subject: [PATCH] content overhaul --- context.md | 1 + dfir_yaml_editor.html | 136 ++- src/data/tools-untagged.yaml | 2156 ++++++++++++++++++++++++++++++++++ src/data/tools.yaml | 55 +- src/data/tools.yaml.example | 238 ++-- 5 files changed, 2354 insertions(+), 232 deletions(-) create mode 100644 src/data/tools-untagged.yaml diff --git a/context.md b/context.md index c8f937d..c806167 100644 --- a/context.md +++ b/context.md @@ -32,6 +32,7 @@ license: string? # Software license knowledgebase: boolean? # Has detailed documentation tags: string[] # Searchable keywords related_concepts: string[]? # Links to concept-type tools +related_software: string[]? #Links to software-type-tools ``` ### Taxonomies diff --git a/dfir_yaml_editor.html b/dfir_yaml_editor.html index a8a8ebb..784d1dd 100644 --- a/dfir_yaml_editor.html +++ b/dfir_yaml_editor.html @@ -526,7 +526,7 @@
- +
@@ -777,11 +777,14 @@ { id: 'specific-os', name: 'Betriebssysteme', description: 'Operating Systems which focus on forensics' } ], scenarios: [ - { id: 'registry', icon: '🗃️', friendly_name: 'Registry-Analyse' }, - { id: 'memory-forensics', icon: '🧠', friendly_name: 'Memory-Forensik' }, - { id: 'network-analysis', icon: '🌐', friendly_name: 'Netzwerk-Analyse' }, - { id: 'malware-analysis', icon: '🦠', friendly_name: 'Malware-Analyse' }, - { id: 'mobile-forensics', icon: '📱', friendly_name: 'Mobile-Forensik' } + { id: 'scenario:disk_imaging', icon: '💽', friendly_name: 'Datenträgerabbild' }, + { id: 'scenario:memory_dump', icon: '🧠', friendly_name: 'RAM-Analyse' }, + { id: 'scenario:file_recovery', icon: '🗑️', friendly_name: 'Datenrettung' }, + { id: 'scenario:browser_history', icon: '🌍', friendly_name: 'Browser-Spuren' }, + { id: 'scenario:credential_theft', icon: '🛑', friendly_name: 'Zugangsdiebstahl' }, + { id: 'scenario:remote_access', icon: '📡', friendly_name: 'Fernzugriffe' }, + { id: 'scenario:persistence', icon: '♻️', friendly_name: 'Persistenzsuche' }, + { id: 'scenario:windows-registry', icon: '📜', friendly_name: 'Registry-Analyse' } ] }; @@ -819,7 +822,7 @@ // Search in description if (tool.description && tool.description.toLowerCase().includes(term)) return true; - // Search in tags + // Search in tags (includes scenarios as scenario: prefixed tags) if (tool.tags && tool.tags.some(tag => tag.toLowerCase().includes(term))) return true; // Search in related concepts @@ -828,10 +831,13 @@ // Search in related software if (tool.related_software && tool.related_software.some(software => software.toLowerCase().includes(term))) return true; - // Search in scenarios - if (tool.scenarios && tool.scenarios.some(scenario => { - const scenarioData = yamlData.scenarios.find(s => s.id === scenario); - return scenarioData && scenarioData.friendly_name.toLowerCase().includes(term); + // Search in scenario friendly names (from tags that start with scenario:) + if (tool.tags && tool.tags.some(tag => { + if (tag.startsWith('scenario:')) { + const scenarioData = yamlData.scenarios.find(s => s.id === tag); + return scenarioData && scenarioData.friendly_name.toLowerCase().includes(term); + } + return false; })) return true; // Search in type @@ -1052,16 +1058,15 @@ const icon = document.getElementById('toolIcon').value.trim(); if (icon) tool.icon = icon; - // Add domains, phases, and scenarios + // Add domains, phases tool.domains = getCheckedValues('#domainsCheckbox input:checked'); tool.phases = getCheckedValues('#phasesCheckbox input:checked'); - - const scenarios = getCheckedValues('#scenariosCheckbox input:checked'); - if (scenarios.length > 0) tool.scenarios = scenarios; - // Add tags, related concepts, and related software + // Add tags and scenario tags (scenarios get added to tags with scenario: prefix) const tags = getTags(); - if (tags.length > 0) tool.tags = tags; + const scenarioTags = getCheckedValues('#scenariosCheckbox input:checked'); + const allTags = [...tags, ...scenarioTags]; + if (allTags.length > 0) tool.tags = allTags; const relatedConcepts = getRelatedConcepts(); if (relatedConcepts.length > 0) tool.related_concepts = relatedConcepts; @@ -1118,9 +1123,19 @@ function clearForm() { document.getElementById('toolForm').reset(); + + // Clear all tag inputs properly document.getElementById('tagsInput').innerHTML = ''; document.getElementById('relatedConceptsInput').innerHTML = ''; document.getElementById('relatedSoftwareInput').innerHTML = ''; + + // Clear all checkboxes + document.querySelectorAll('#domainsCheckbox input[type="checkbox"]').forEach(cb => cb.checked = false); + document.querySelectorAll('#phasesCheckbox input[type="checkbox"]').forEach(cb => cb.checked = false); + document.querySelectorAll('#scenariosCheckbox input[type="checkbox"]').forEach(cb => cb.checked = false); + document.querySelectorAll('#platformsCheckbox input[type="checkbox"]').forEach(cb => cb.checked = false); + document.querySelectorAll('#domainAgnosticCheckbox input[type="checkbox"]').forEach(cb => cb.checked = false); + currentEditingIndex = -1; toggleConditionalFields(); } @@ -1155,14 +1170,21 @@ // Set checkboxes setCheckboxValues('#domainsCheckbox input', tool.domains || []); setCheckboxValues('#phasesCheckbox input', tool.phases || []); - setCheckboxValues('#scenariosCheckbox input', tool.scenarios || []); setCheckboxValues('#platformsCheckbox input', tool.platforms || []); setCheckboxValues('#domainAgnosticCheckbox input', tool['domain-agnostic-software'] || []); - // Set tags + // Separate scenario tags from regular tags + const allTags = tool.tags || []; + const scenarioTags = allTags.filter(tag => tag.startsWith('scenario:')); + const regularTags = allTags.filter(tag => !tag.startsWith('scenario:')); + + // Set scenario checkboxes based on scenario tags + setCheckboxValues('#scenariosCheckbox input', scenarioTags); + + // Set regular tags const tagsContainer = document.getElementById('tagsInput'); tagsContainer.innerHTML = ''; - (tool.tags || []).forEach(tag => addTag('tagsInput', tag)); + regularTags.forEach(tag => addTag('tagsInput', tag)); // Set related concepts const conceptsContainer = document.getElementById('relatedConceptsInput'); @@ -1241,10 +1263,11 @@ const card = document.createElement('div'); card.className = `tool-card ${tool.type || 'software'}`; - const tags = (tool.tags || []).map(tag => `${tag}`).join(''); + const tags = (tool.tags || []).filter(tag => !tag.startsWith('scenario:')).map(tag => `${tag}`).join(''); const knowledgebaseIndicator = tool.knowledgebase ? '📚 KB' : ''; const relatedSoftwareIndicator = (tool.related_software && tool.related_software.length > 0) ? '🔗 SW' : ''; - const scenariosIndicator = (tool.scenarios && tool.scenarios.length > 0) ? '🎮 SC' : ''; + const scenarioTags = (tool.tags || []).filter(tag => tag.startsWith('scenario:')); + const scenariosIndicator = scenarioTags.length > 0 ? '🎮 SC' : ''; card.innerHTML = `

${tool.icon ? tool.icon + ' ' : ''}${tool.name} [${tool.type || 'software'}]

@@ -1294,7 +1317,10 @@ const indicators = []; if (tool.knowledgebase) indicators.push('📚'); if (tool.related_software?.length > 0) indicators.push('🔗'); - if (tool.scenarios?.length > 0) indicators.push('🎮'); + + // Check for scenario tags + const scenarioTags = (tool.tags || []).filter(tag => tag.startsWith('scenario:')); + if (scenarioTags.length > 0) indicators.push('🎮'); card.innerHTML = `
@@ -1517,17 +1543,20 @@ } } - // NEW: Scenario operations + // Scenario operations (work with tags that have scenario: prefix) function bulkAddScenarios() { if (selectedTools.size === 0) return showMessage('No tools selected', 'error'); - const scenarios = prompt('Enter scenario IDs to add (comma-separated):'); + const scenarios = prompt('Enter scenario IDs to add (comma-separated, e.g., scenario:memory_dump,scenario:registry):'); if (scenarios) { - const scenarioList = scenarios.split(',').map(s => s.trim()).filter(s => s); + const scenarioList = scenarios.split(',').map(s => { + const trimmed = s.trim(); + return trimmed.startsWith('scenario:') ? trimmed : `scenario:${trimmed}`; + }).filter(s => s !== 'scenario:'); selectedTools.forEach(index => { const tool = yamlData.tools[index]; - tool.scenarios = [...new Set([...(tool.scenarios || []), ...scenarioList])]; + tool.tags = [...new Set([...(tool.tags || []), ...scenarioList])]; }); - showMessage(`Added scenarios to ${selectedTools.size} tools`); + showMessage(`Added scenario tags to ${selectedTools.size} tools`); renderBulkGrid(); } } @@ -1536,26 +1565,33 @@ if (selectedTools.size === 0) return showMessage('No tools selected', 'error'); const scenarios = prompt('Enter scenario IDs to remove (comma-separated):'); if (scenarios) { - const scenarioList = scenarios.split(',').map(s => s.trim()).filter(s => s); + const scenarioList = scenarios.split(',').map(s => { + const trimmed = s.trim(); + return trimmed.startsWith('scenario:') ? trimmed : `scenario:${trimmed}`; + }).filter(s => s !== 'scenario:'); selectedTools.forEach(index => { const tool = yamlData.tools[index]; - if (tool.scenarios) { - tool.scenarios = tool.scenarios.filter(scenario => !scenarioList.includes(scenario)); - if (tool.scenarios.length === 0) delete tool.scenarios; + if (tool.tags) { + tool.tags = tool.tags.filter(tag => !scenarioList.includes(tag)); + if (tool.tags.length === 0) delete tool.tags; } }); - showMessage(`Removed scenarios from ${selectedTools.size} tools`); + showMessage(`Removed scenario tags from ${selectedTools.size} tools`); renderBulkGrid(); } } function bulkClearScenarios() { if (selectedTools.size === 0) return showMessage('No tools selected', 'error'); - if (confirm(`Are you sure you want to clear ALL scenarios from ${selectedTools.size} selected tools?`)) { + if (confirm(`Are you sure you want to clear ALL scenario tags from ${selectedTools.size} selected tools?`)) { selectedTools.forEach(index => { - delete yamlData.tools[index].scenarios; + const tool = yamlData.tools[index]; + if (tool.tags) { + tool.tags = tool.tags.filter(tag => !tag.startsWith('scenario:')); + if (tool.tags.length === 0) delete tool.tags; + } }); - showMessage(`Cleared scenarios from ${selectedTools.size} tools`); + showMessage(`Cleared scenario tags from ${selectedTools.size} tools`); renderBulkGrid(); } } @@ -1769,12 +1805,15 @@ ${tool.domains && tool.domains.length > 0 ? `## Anwendungsbereiche ${tool.domains.map(domain => `- ${domain}`).join('\n')}\n\n` : ''}${tool.phases && tool.phases.length > 0 ? `## Ermittlungsphasen -${tool.phases.map(phase => `- ${phase}`).join('\n')}\n\n` : ''}${tool.scenarios && tool.scenarios.length > 0 ? `## Anwendungsszenarien +${tool.phases.map(phase => `- ${phase}`).join('\n')}\n\n` : ''}${(() => { + const scenarioTags = (tool.tags || []).filter(tag => tag.startsWith('scenario:')); + return scenarioTags.length > 0 ? `## Anwendungsszenarien -${tool.scenarios.map(scenario => { - const scenarioData = yamlData.scenarios.find(s => s.id === scenario); - return scenarioData ? `- ${scenarioData.icon} ${scenarioData.friendly_name}` : `- ${scenario}`; -}).join('\n')}\n\n` : ''}## ${tool.type === 'concept' ? 'Grundlagen' : tool.type === 'method' ? 'Vorgehensweise' : 'Installation & Nutzung'} +${scenarioTags.map(scenarioTag => { + const scenarioData = yamlData.scenarios.find(s => s.id === scenarioTag); + return scenarioData ? `- ${scenarioData.icon} ${scenarioData.friendly_name}` : `- ${scenarioTag}`; +}).join('\n')}\n\n` : ''; +})()}## ${tool.type === 'concept' ? 'Grundlagen' : tool.type === 'method' ? 'Vorgehensweise' : 'Installation & Nutzung'} ${tool.type === 'concept' ? `### Kernkonzepte @@ -1863,7 +1902,7 @@ TODO: Füge weitere nützliche Links und Ressourcen hinzu. }); } - // Enhanced Validation including scenarios and related_software + // Enhanced Validation function validateYAML() { if (!yamlData) return showMessage('No data to validate', 'error'); @@ -1873,7 +1912,7 @@ TODO: Füge weitere nützliche Links und Ressourcen hinzu. if (!yamlData.tools) validationResults.push('❌ Missing tools section'); if (!yamlData.domains) validationResults.push('❌ Missing domains section'); if (!yamlData.phases) validationResults.push('❌ Missing phases section'); - if (!yamlData.scenarios) validationResults.push('⚠️ Missing scenarios section'); + if (!yamlData.scenarios) validationResults.push('⚠️ Missing scenarios section (for reference)'); // Validate tools yamlData.tools?.forEach((tool, index) => { @@ -1904,12 +1943,13 @@ TODO: Füge weitere nützliche Links und Ressourcen hinzu. }); } - // Validate scenarios references - if (tool.scenarios && tool.scenarios.length > 0) { - tool.scenarios.forEach(scenarioId => { - const exists = yamlData.scenarios?.some(s => s.id === scenarioId); + // Validate scenario tags (check tags that start with scenario:) + if (tool.tags && tool.tags.length > 0) { + const scenarioTags = tool.tags.filter(tag => tag.startsWith('scenario:')); + scenarioTags.forEach(scenarioTag => { + const exists = yamlData.scenarios?.some(s => s.id === scenarioTag); if (!exists) { - validationResults.push(`⚠️ Tool ${index + 1}: Scenario "${scenarioId}" not found in scenarios`); + validationResults.push(`⚠️ Tool ${index + 1}: Scenario tag "${scenarioTag}" not found in scenarios reference`); } }); } diff --git a/src/data/tools-untagged.yaml b/src/data/tools-untagged.yaml new file mode 100644 index 0000000..76ee51c --- /dev/null +++ b/src/data/tools-untagged.yaml @@ -0,0 +1,2156 @@ +tools: + - name: Autopsy + type: software + description: >- + Die führende Open-Source-Alternative zu kommerziellen Forensik-Suiten mit + intuitiver grafischer Oberfläche. Besonders stark in der Timeline-Analyse, + Keyword-Suche und dem Carving gelöschter Dateien. Die modulare + Plugin-Architektur erlaubt Erweiterungen für spezielle + Untersuchungsszenarien. Zwar komplexer als kommerzielle Lösungen, aber + dafür vollständig transparent und kostenfrei. + skillLevel: intermediate + url: https://www.autopsy.com/ + icon: 📦 + domains: + - incident-response + - static-investigations + - malware-analysis + - mobile-forensics + - cloud-forensics + phases: + - examination + - analysis + tags: + - gui + - timeline + - file-carving + - keyword-search + - plugin-support + - opensource + platforms: + - Windows + - Linux + accessType: download + license: Apache 2.0 + knowledgebase: false + - name: Volatility 3 + type: software + description: >- + Das Universalwerkzeug der Live-Forensik, unverzichtbar für die Analyse von + RAM-Dumps. Mit über 100 Plugins extrahiert es Prozesse, + Netzwerkverbindungen, Registry-Keys und versteckte Malware aus dem + Arbeitsspeicher. Die Python-basierte Architektur macht es flexibel + erweiterbar, erfordert aber solide Kommandozeilen-Kenntnisse. Version 3 + bringt deutliche Performance-Verbesserungen und bessere + Formatunterstützung. + skillLevel: advanced + url: https://www.volatilityfoundation.org/ + icon: 📦 + domains: + - incident-response + - static-investigations + - malware-analysis + - network-forensics + phases: + - examination + - analysis + scenarios: + - scenario:memory_dump + tags: + - command-line + - plugin-support + - scripting + - memory-timeline + - scenario:memory_dump + - opensource + platforms: + - Windows + - Linux + - macOS + accessType: download + license: VSL + knowledgebase: false + - name: TheHive 5 + icon: 🌐 + type: software + description: >- + Moderne Security-Orchestrierungs-Plattform für die koordinierte + Incident-Response im Team. Integriert nahtlos mit MISP, Cortex und anderen + Security-Tools für automatisierte Workflows. Die kostenlose Community + Edition wurde 2021 eingestellt, was die Langzeitperspektive fraglich + macht. Für professionelle SOCs dennoch eine der besten + Kollaborations-Lösungen am Markt. + domains: + - incident-response + - static-investigations + - malware-analysis + - network-forensics + phases: + - analysis + - reporting + platforms: + - Web + related_software: null + domain-agnostic-software: + - collaboration-general + skillLevel: intermediate + accessType: server-based + url: https://github.com/TheHive-Project/TheHive + projectUrl: '' + license: Community Edition (Free) / Commercial + knowledgebase: false + statusUrl: https://uptime.example.lab/api/badge/1/status + tags: + - web-interface + - case-management + - collaboration + - api + - workflow + - multi-user-support + - name: MISP + icon: 🌐 + type: software + description: >- + Das Rückgrat des modernen Threat-Intelligence-Sharings mit über 40.000 + aktiven Instanzen weltweit. Ermöglicht den strukturierten Austausch von + IoCs zwischen Organisationen und automatisierte Bedrohungsanalyse. Die + föderierte Architektur und umfangreiche Taxonomie machen es zum + De-facto-Standard für CTI. Besonders wertvoll durch die Integration in + SIEMs, Firewalls und andere Sicherheitssysteme. + domains: + - incident-response + - static-investigations + - malware-analysis + - network-forensics + - cloud-forensics + phases: + - examination + - analysis + platforms: + - Web + skillLevel: intermediate + accessType: server-based + url: https://misp-project.org/ + projectUrl: https://misp.cc24.dev + license: AGPL-3.0 + knowledgebase: true + statusUrl: https://status.mikoshi.de/api/badge/34/status + tags: + - web-interface + - IOC-matching + - taxonomies + - api + - threat-scoring + - collaboration + - name: Timesketch + icon: 📦 + type: software + description: >- + Google's Open-Source-Lösung für kollaborative Timeline-Analyse großer + Datensätze. Visualisiert und korreliert Ereignisse aus verschiedenen + Quellen in einer interaktiven Zeitachse. Die Plaso-Integration ermöglicht + automatisches Parsing hunderter Log-Formate. Ideal für komplexe Fälle mit + mehreren Analysten und Millionen von Zeitstempeln. + domains: + - incident-response + - static-investigations + - network-forensics + - cloud-forensics + phases: + - analysis + - reporting + platforms: + - Web + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: server-based + url: https://timesketch.org/ + projectUrl: '' + license: Apache 2.0 + knowledgebase: false + statusUrl: https://uptime.example.lab/api/badge/3/status + tags: + - web-interface + - timeline + - collaboration + - visualization + - timeline-correlation + - timeline-view + - name: Wireshark + icon: 📦 + type: software + description: >- + Der unangefochtene König der Netzwerk-Protokoll-Analyse mit Support für + über 3000 Protokolle. Unverzichtbar für die Untersuchung von + Netzwerk-Anomalien, Malware-Kommunikation und Datenexfiltration. Die + mächtigen Display-Filter und Follow-Stream-Funktionen machen komplexe + Analysen zugänglich. Hauptnachteil: Benötigt vorhandene PCAP-Dateien, + eignet sich weniger für historische Analysen. + domains: + - incident-response + - malware-analysis + - network-forensics + - cloud-forensics + - ics-forensics + phases: + - examination + - analysis + platforms: + - Windows + - Linux + - macOS + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://www.wireshark.org/ + projectUrl: '' + license: GPL-2.0 + knowledgebase: false + tags: + - gui + - protocol-decode + - packet-filtering + - pcap-capture + - cross-platform + - session-reconstruction + - name: Magnet AXIOM + icon: 📦 + type: software + description: >- + Die Rolls-Royce unter den kommerziellen Forensik-Suiten mit + beeindruckender Automatisierung. Glänzt besonders bei Cloud-Forensik mit + nativer Unterstützung für Google, Apple und Microsoft-Dienste. Die + KI-gestützte Bilderkennung und Connection-Analyse spart Ermittlern + wertvolle Zeit. Der Preis von mehreren zehntausend Euro macht es primär + für Behörden und Großunternehmen interessant. + domains: + - incident-response + - static-investigations + - mobile-forensics + - cloud-forensics + phases: + - data-collection + - examination + - analysis + - reporting + platforms: + - Windows + related_software: null + domain-agnostic-software: null + skillLevel: beginner + accessType: commercial + url: https://www.magnetforensics.com/products/magnet-axiom/ + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - gui + - commercial + - cloud-artifacts + - mobile-app-data + - automation-ready + - court-admissible + - name: Cellebrite UFED + icon: 📦 + type: software + description: >- + Der Goldstandard der mobilen Forensik mit legendären + Entsperrungsfähigkeiten für aktuelle Smartphones. Nutzt Zero-Day-Exploits + und Hardware-Schwachstellen für den Zugriff auf verschlüsselte Geräte. Die + Physical Analyzer Software macht die extrahierten Daten durch intelligente + Visualisierung verständlich. Mit Preisen im sechsstelligen Bereich und + ethischen Bedenken bezüglich der Käuferauswahl nicht unumstritten. + domains: + - static-investigations + - mobile-forensics + phases: + - data-collection + - examination + - analysis + platforms: + - Windows + related_software: null + domain-agnostic-software: null + skillLevel: beginner + accessType: commercial + url: https://cellebrite.com/en/ufed/ + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - gui + - commercial + - mobile-app-data + - decryption + - physical-copy + - dongle-license + - name: Cuckoo Sandbox 3 + icon: 🌐 + type: software + description: >- + Die führende Open-Source-Sandbox für automatisierte Malware-Analyse in + isolierten Umgebungen. Zeichnet Systemaufrufe, Netzwerkverkehr und + Verhaltensänderungen während der Malware-Ausführung auf. Version 3 vom + CERT-EE bringt moderne Python-3-Unterstützung und verbesserte + Erkennungsumgehung. Die Einrichtung erfordert fundierte + Virtualisierungskenntnisse, belohnt aber mit detaillierten Reports. + domains: + - incident-response + - malware-analysis + phases: + - examination + - analysis + platforms: + - Linux + - Web + related_software: null + domain-agnostic-software: null + skillLevel: advanced + accessType: server-based + url: https://github.com/cert-ee/cuckoo3 + projectUrl: '' + license: GPL-3.0 + knowledgebase: false + tags: + - web-interface + - sandboxing + - behavioral-analysis + - malware-unpacking + - virtual-analysis + - sandbox-reports + - name: Ghidra + icon: 📦 + type: software + description: >- + NSAs Geschenk an die Reverse-Engineering-Community als mächtige + Alternative zu IDA Pro. Der Decompiler verwandelt Maschinencode zurück in + lesbaren Pseudocode für tiefgehende Analyse. Unterstützt dutzende + Prozessorarchitekturen von x86 bis zu obskuren Embedded-Systemen. Die + steile Lernkurve wird durch die aktive Community und exzellente + Dokumentation gemildert. + domains: + - malware-analysis + - ics-forensics + phases: + - analysis + platforms: + - Windows + - Linux + - macOS + related_software: null + domain-agnostic-software: null + skillLevel: expert + accessType: download + url: https://github.com/NationalSecurityAgency/ghidra + projectUrl: '' + license: Apache 2.0 + knowledgebase: false + tags: + - gui + - binary-decode + - malware-unpacking + - cross-platform + - scripting + - opensource + - name: Plaso (log2timeline) + icon: 📦 + type: software + description: >- + Der industrielle Staubsauger für Zeitstempel - extrahiert aus hunderten + Quellen eine Super-Timeline. Parst Windows-Event-Logs, Browser-Historie, + Registry und vieles mehr in ein einheitliches Format. Die Integration mit + Timesketch ermöglicht die Visualisierung von Millionen Events. Performance + kann bei großen Datenmengen leiden, aber die Vollständigkeit ist + unübertroffen. + domains: + - incident-response + - static-investigations + - network-forensics + - cloud-forensics + phases: + - data-collection + - examination + platforms: + - Windows + - Linux + - macOS + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://plaso.readthedocs.io/ + projectUrl: '' + license: Apache 2.0 + knowledgebase: false + tags: + - command-line + - timeline + - log-parser + - cross-platform + - timeline-merge + - time-normalization + - name: CyberChef + icon: 🌐 + type: software + description: >- + Das digitale Schweizer Taschenmesser für Daten-Manipulation mit über 300 + Operations. Von Base64-Dekodierung über Verschlüsselung bis zur + Malware-Deobfuskation - alles im Browser. Die visuelle "Rezept"-Metapher + macht komplexe Transformationsketten intuitiv verständlich. Unverzichtbar + für CTF-Challenges und tägliche Forensik-Aufgaben gleichermaßen. + domains: + - incident-response + - static-investigations + - malware-analysis + - network-forensics + phases: + - examination + - analysis + platforms: + - Web + related_software: null + domain-agnostic-software: null + skillLevel: beginner + accessType: server-based + url: https://gchq.github.io/CyberChef/ + projectUrl: '' + license: Apache 2.0 + knowledgebase: false + tags: + - web-interface + - binary-decode + - decryption + - malware-unpacking + - string-search + - triage + - name: Velociraptor + icon: 🌐 + type: software + description: >- + Die nächste Evolution der Endpoint-Forensik mit skalierbarer + Remote-Collection-Architektur. Die mächtige VQL-Abfragesprache ermöglicht + chirurgisch präzise Artefakt-Sammlung ohne Full-Disk-Images. + Hunt-Funktionen durchsuchen tausende Endpoints gleichzeitig nach + Kompromittierungs-Indikatoren. Die Lernkurve ist steil, aber die + Effizienzgewinne bei großen Infrastrukturen sind enorm. + domains: + - incident-response + - static-investigations + - malware-analysis + - fraud-investigation + - network-forensics + - cloud-forensics + phases: + - data-collection + - examination + - analysis + platforms: + - Windows + - Linux + - macOS + - Web + related_software: null + domain-agnostic-software: null + skillLevel: advanced + accessType: server-based + url: https://www.velociraptor.app/ + projectUrl: https://raptor.cc24.dev + license: Apache 2.0 + knowledgebase: true + statusUrl: https://status.mikoshi.de/api/badge/33/status + tags: + - web-interface + - remote-collection + - distributed + - scripting + - cross-platform + - triage + - name: GRR Rapid Response + icon: 🌐 + type: software + description: >- + Googles Antwort auf Enterprise-Scale-Forensik für die Untersuchung von + Flotten mit tausenden Clients. Sammelt gezielt Artefakte und führt + Memory-Analysen remote durch, ohne Systeme offline zu nehmen. Weniger + Features als Velociraptor, dafür stabiler und einfacher in der Handhabung. + Die Python-API ermöglicht die Automatisierung wiederkehrender + Untersuchungen. + domains: + - incident-response + - static-investigations + - malware-analysis + - fraud-investigation + phases: + - data-collection + - examination + platforms: + - Windows + - Linux + - macOS + - Web + related_software: null + domain-agnostic-software: null + skillLevel: advanced + accessType: server-based + url: https://github.com/google/grr + projectUrl: '' + license: Apache 2.0 + knowledgebase: false + tags: + - web-interface + - remote-collection + - distributed + - api + - cross-platform + - triage + - name: Arkime + icon: 📦 + type: software + description: >- + Das Heavy-Metal-Tool für Full-Packet-Capture mit der Fähigkeit, Petabytes + an Netzwerkverkehr zu speichern. Indiziert in Echtzeit Metadaten für + blitzschnelle Suchen über Monate historischer Daten. Die Integration mit + Elasticsearch ermöglicht komplexe Queries über Sessions, IPs und Payloads. + Ressourcenhungrig aber unverzichtbar für ernsthafte Network Security + Monitoring Operations. + domains: + - incident-response + - static-investigations + - network-forensics + - cloud-forensics + phases: + - data-collection + - examination + - analysis + platforms: + - Linux + related_software: null + domain-agnostic-software: null + skillLevel: expert + accessType: server-based + url: https://arkime.com/ + projectUrl: '' + license: Apache 2.0 + knowledgebase: false + tags: + - web-interface + - pcap-capture + - elasticsearch-integration + - historical-analysis + - packet-filtering + - distributed + - name: NetworkMiner + icon: 📦 + type: software + description: >- + Der benutzerfreundliche kleine Bruder von Wireshark mit Fokus auf Forensik + statt Live-Analyse. Extrahiert automatisch übertragene Dateien, Bilder und + Credentials aus PCAP-Dateien. Die intuitive GUI zeigt Hosts, Sessions und + DNS-Queries übersichtlich ohne komplexe Filter. Perfekt für Einsteiger und + schnelle Übersichten, an Grenzen bei verschlüsseltem Traffic. + domains: + - incident-response + - static-investigations + - malware-analysis + - network-forensics + phases: + - examination + - analysis + platforms: + - Windows + - Linux + related_software: null + domain-agnostic-software: null + skillLevel: beginner + accessType: download + url: https://www.netresec.com/?page=NetworkMiner + projectUrl: '' + license: GPL-2.0 / Commercial + knowledgebase: false + tags: + - gui + - file-reconstruction + - pcap-capture + - session-reconstruction + - dns-resolution + - triage + - name: ExifTool + icon: 📦 + type: software + description: >- + Der Metadaten-Maestro, der aus über 1000 Dateiformaten verborgene + Informationen extrahiert. Findet GPS-Koordinaten in Fotos, Autoren in + Dokumenten und Bearbeitungshistorien in PDFs. Die Kommandozeile mag + abschrecken, aber die Mächtigkeit ist unübertroffen. Ein Must-Have für + jede Forensik-Toolbox, oft der erste Schritt bei + Dokumenten-Untersuchungen. + domains: + - incident-response + - static-investigations + - fraud-investigation + - mobile-forensics + phases: + - examination + - analysis + platforms: + - Windows + - Linux + - macOS + related_software: null + domain-agnostic-software: null + skillLevel: novice + accessType: download + url: https://exiftool.org/ + projectUrl: '' + license: Perl Artistic License + knowledgebase: false + tags: + - command-line + - metadata-parser + - geolocation + - cross-platform + - triage + - system-metadata + - name: Chainalysis + icon: 📦 + type: software + description: >- + Der Platzhirsch der Blockchain-Forensik mit Zugriff auf die größte + Krypto-Intelligence-Datenbank weltweit. Clustering-Algorithmen + identifizieren Exchanges, Mixer und Darknet-Märkte mit beeindruckender + Genauigkeit. Die Sanctions Screening und Compliance-Features machen es zur + ersten Wahl für Behörden. Lizenzkosten im sechsstelligen Bereich + limitieren den Zugang auf Großorganisationen. + domains: + - static-investigations + - fraud-investigation + phases: + - analysis + - reporting + platforms: + - Web + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: commercial + url: https://www.chainalysis.com/ + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - web-interface + - blockchain-analysis + - commercial + - visualization + - anomaly-detection + - threat-scoring + - name: Neo4j + icon: 🌐 + type: software + description: >- + Die führende Graph-Datenbank verwandelt komplexe Beziehungsgeflechte in + verständliche Visualisierungen. Mit Cypher-Queries lassen sich + Verbindungen zwischen Personen, Transaktionen und Events aufdecken. + Besonders wertvoll für Social-Media-Analysen, Geldflüsse und + Organisations-Strukturen. Die Community Edition limitiert auf einen + Benutzer - für Teams ist die kommerzielle Version nötig. + domains: + - static-investigations + - malware-analysis + - fraud-investigation + - network-forensics + - cloud-forensics + phases: + - analysis + - reporting + platforms: + - Windows + - Linux + - macOS + - Web + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: server-based + url: https://neo4j.com/ + projectUrl: https://graph.cc24.dev + license: GPL-3.0 / Commercial + knowledgebase: false + statusUrl: https://status.mikoshi.de/api/badge/32/status + tags: + - web-interface + - graph-view + - visualization + - correlation-engine + - cross-platform + - api + - name: QGIS + icon: 📦 + type: software + description: >- + Das Open-Source-GIS-Kraftpaket für die Visualisierung von Geodaten in + forensischen Untersuchungen. Erstellt aus GPS-Logs von Smartphones + beeindruckende Bewegungsprofile und Heatmaps. Die Python-Integration + ermöglicht automatisierte Analysen großer Datensätze. Unverzichtbar wenn + Fahrzeuge, Drohnen oder mobile Geräte mit Standortdaten involviert sind. + domains: + - static-investigations + - fraud-investigation + - mobile-forensics + phases: + - analysis + - reporting + platforms: + - Windows + - Linux + - macOS + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://qgis.org/ + projectUrl: '' + license: GPL-2.0 + knowledgebase: false + tags: + - gui + - geolocation + - visualization + - heatmap + - scripting + - cross-platform + - name: Nextcloud + icon: 🌐 + type: software + description: >- + Die Open-Source-Cloud-Suite als sichere Kollaborations-Zentrale für + Forensik-Teams. Bietet verschlüsselte Dateifreigabe, Office-Integration + und Videokonferenzen DSGVO-konform. Der eingebaute SSO-Provider + vereinfacht das Identity Management für andere Forensik-Tools. Skaliert + vom Raspberry Pi für kleine Teams bis zur High-Availability-Installation. + domains: + - incident-response + - static-investigations + - malware-analysis + - fraud-investigation + - network-forensics + - mobile-forensics + - cloud-forensics + - ics-forensics + phases: + - reporting + platforms: + - Web + related_software: null + domain-agnostic-software: + - collaboration-general + skillLevel: novice + accessType: server-based + url: https://nextcloud.com/ + projectUrl: https://cloud.cc24.dev + license: AGPL-3.0 + knowledgebase: true + statusUrl: https://status.mikoshi.de/api/badge/11/status + tags: + - web-interface + - collaboration + - secure-sharing + - multi-user-support + - encrypted-reports + - rbac + - name: Gitea + icon: 🌐 + type: software + description: >- + Das leichtgewichtige Git-Repository für die Versionierung von + Forensik-Skripten und Dokumentation. Perfekt für die Verwaltung von + YARA-Rules, Volatility-Plugins und Analysetools im Team. Die eingebaute + CI/CD-Pipeline automatisiert Tool-Deployments und Qualitätschecks. + Ressourcenschonend genug für den Betrieb auf einem NAS oder Mini-Server. + domains: + - incident-response + - malware-analysis + phases: + - reporting + platforms: + - Web + related_software: null + domain-agnostic-software: + - collaboration-general + skillLevel: beginner + accessType: server-based + url: https://gitea.io/ + projectUrl: https://git.cc24.dev + license: MIT + knowledgebase: null + statusUrl: https://status.mikoshi.de/api/badge/18/status + tags: + - web-interface + - version-control + - git-integration + - collaboration + - multi-user-support + - automation-ready + - name: Binwalk + icon: 📦 + type: software + description: >- + Der Firmware-Flüsterer, der aus IoT-Geräten und Routern ihre Geheimnisse + extrahiert. Erkennt eingebettete Dateisysteme, komprimierte Archive und + versteckte Partitionen automatisch. Besonders wertvoll für die Analyse von + Embedded-Malware und Backdoors in Smart Devices. Die Magie liegt in den + Signaturen - mit eigenen Rules erweiterbar für spezielle Formate. + domains: + - malware-analysis + - ics-forensics + phases: + - examination + - analysis + platforms: + - Linux + - macOS + related_software: null + domain-agnostic-software: null + skillLevel: advanced + accessType: download + url: https://github.com/ReFirmLabs/binwalk + projectUrl: '' + license: MIT + knowledgebase: false + tags: + - command-line + - firmware-extraction + - signature-analysis + - file-carving + - entropy-check + - binary-decode + - name: LibreOffice + icon: 📦 + type: software + description: >- + Die freie Office-Suite, die mehr kann als nur Berichte schreiben. Calc + eignet sich hervorragend für die Analyse von CSV-Exporten und Log-Dateien. + Die Makro-Funktionen ermöglichen die Automatisierung wiederkehrender + Auswertungen. Als Standardformat für Abschlussberichte unverzichtbar und + überall einsetzbar. + domains: + - incident-response + - static-investigations + - malware-analysis + - fraud-investigation + - network-forensics + - mobile-forensics + - cloud-forensics + - ics-forensics + phases: + - examination + - analysis + - reporting + platforms: + - Windows + - Linux + - macOS + related_software: null + domain-agnostic-software: + - collaboration-general + skillLevel: novice + accessType: download + url: https://www.libreoffice.org/ + projectUrl: '' + license: Mozilla Public License Version 2.0 + knowledgebase: false + tags: + - gui + - reporting + - csv-export + - cross-platform + - macro-automation + - visualization + - name: Android Logical Imaging + icon: 📋 + type: method + description: >- + Es gibt immer wieder auch Fälle, wo man nicht allermodernste Mobilgeräte + knacken muss - der Großvater, der im Nachlass ein altes Samsung mit + wichtigen Daten hinterlassen hat. Es muss in diesn Fällen nicht der teure + Hersteller aus Israel sein. Die Androis-ADB-Shell bietet genug + Möglichkeiten, auch ohne viel Geld auszugeben an das logische Dateisystem + zu gelangen. Die Erfolgsaussichten sinken jedoch massiv bei neuren + Geräten. + domains: + - mobile-forensics + phases: + - data-collection + platforms: [] + skillLevel: advanced + accessType: null + url: https://claude.ai/public/artifacts/66785e1f-62bb-4eb9-9269-b08648161742 + projectUrl: null + license: null + knowledgebase: true + tags: + - command-line + - logical-copy + - mobile-app-data + - triage + - name: Microsoft Office 365 + type: software + description: >- + Der Industriestandard für professionelle Dokumentation mit nahtloser + Cloud-Integration. Excel's Power Query verwandelt komplexe + Forensik-Datensätze in aussagekräftige Visualisierungen. Die + Kollaborations-Features ermöglichen Echtzeit-Zusammenarbeit an Berichten. + Datenschutzbedenken bei Cloud-Speicherung sensibler Forensik-Daten sollten + bedacht werden. + domains: + - incident-response + - static-investigations + - malware-analysis + - fraud-investigation + - network-forensics + - mobile-forensics + - cloud-forensics + - ics-forensics + phases: + - examination + - analysis + - reporting + skillLevel: novice + url: https://www.office.com/ + icon: ☁️ + platforms: + - Windows + - macOS + - Web + accessType: commercial + license: Proprietary + knowledgebase: false + related_software: null + domain-agnostic-software: + - collaboration-general + tags: + - gui + - web-interface + - commercial + - collaboration + - visualization + - cloud-artifacts + - name: GraphSense + icon: 🌐 + type: software + description: >- + Die europäische Alternative zu Chainalysis mit Open-Source-Kern und Fokus + auf Privatsphäre. Clustering-Qualität noch nicht auf Chainalysis-Niveau, + dafür vollständige Kontrolle über die Daten. Die + Cassandra-Backend-Anforderungen machen Self-Hosting zur Herausforderung + für kleine Teams. Ideal für Organisationen, die Blockchain-Analysen ohne + US-Cloud-Abhängigkeit benötigen. + domains: + - static-investigations + - fraud-investigation + phases: + - analysis + - reporting + platforms: + - Web + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: server-based + url: https://graphsense.org/ + projectUrl: '' + license: MIT + knowledgebase: false + tags: + - web-interface + - blockchain-analysis + - opensource + - visualization + - anomaly-detection + - correlation-engine + - name: FTK Imager + icon: 📦 + type: software + description: >- + Der Oldtimer unter den Imaging-Tools, aber immer noch zuverlässig wie ein + Uhrwerk. Erstellt bit-genaue Kopien von Festplatten mit integrierter + Hash-Verifizierung für die Beweiskette. Die kostenlose Version reicht für + die meisten Aufgaben, unterstützt alle gängigen Image-Formate. Etwas + angestaubt in der Oberfläche, aber bewährt in tausenden Gerichtsverfahren. + Freeware, aber nicht open source. + domains: + - static-investigations + - incident-response + phases: + - data-collection + platforms: + - Windows + related_software: null + domain-agnostic-software: null + skillLevel: beginner + accessType: download + url: https://www.exterro.com/digital-forensics-software/ftk-imager + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - gui + - physical-copy + - hashing + - court-admissible + - scenario:disk_imaging + - ewf-support + - name: Guymager + icon: 📦 + type: software + description: >- + Das schlanke Linux-Imaging-Tool mit Fokus auf Performance und + Zuverlässigkeit. Multi-threaded Design nutzt moderne CPUs optimal für + schnellstmögliche Akquisition. Unterstützt RAW, EWF und AFF Formate mit + simultaner Hash-Berechnung. Die spartanische Oberfläche täuscht über die + solide Technik unter der Haube hinweg. + domains: + - incident-response + - static-investigations + phases: + - data-collection + platforms: + - Linux + related_software: null + domain-agnostic-software: null + skillLevel: novice + accessType: download + url: https://guymager.sourceforge.io/ + projectUrl: '' + license: GPL-2.0 + knowledgebase: false + tags: + - gui + - physical-copy + - multithreaded + - hashing + - scenario:disk_imaging + - ewf-support + - name: Fuji + icon: 📦 + type: software + description: >- + Der Geheimtipp für macOS-Forensiker - Live-Imaging ohne + Kernel-Modifikationen. Umgeht geschickt Apples Sicherheitsmechanismen für + forensisch saubere Speicherabbilder. Besonders wertvoll da kommerzielle + Mac-Forensik-Tools rar und teuer sind. Die aktive Community sorgt für + Updates bei neuen macOS-Versionen. + domains: + - incident-response + - static-investigations + phases: + - data-collection + platforms: + - macOS + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://github.com/Lazza/Fuji + projectUrl: '' + license: GPL-3.0 + knowledgebase: false + tags: + - command-line + - live-acquisition + - physical-copy + - apfs + - scenario:disk_imaging + - zero-footprint + - name: ALEAPP + icon: 📦 + type: software + description: >- + Android-Forensik leicht gemacht - parst dutzende Apps und System-Artefakte + automatisch. Von WhatsApp-Chats über Standortdaten bis zu gelöschten + SQLite-Einträgen wird alles extrahiert. Die HTML-Reports sind gerichtsfest + aufbereitet mit Timeline und Kommunikationsanalyse. Teil der beliebten + LEAPP-Familie, ständig aktualisiert für neue Android-Versionen. + domains: + - incident-response + - static-investigations + - mobile-forensics + phases: + - examination + - analysis + platforms: + - Windows + - Linux + - macOS + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://github.com/abrignoni/ALEAPP + projectUrl: '' + license: MIT + knowledgebase: false + tags: + - command-line + - mobile-app-data + - artifact-parser + - timeline + - html-export + - sqlite-viewer + - name: iLEAPP + icon: 📦 + type: software + description: >- + Das iOS-Pendant zu ALEAPP mit Fokus auf Apple's geschlossenem Ökosystem. + Extrahiert versteckte Schätze aus iPhone-Backups inklusive gelöschter + Daten. Besonders stark bei der Analyse von iMessage, FaceTime und + Apple-eigenen Apps. Die regelmäßigen Updates halten Schritt mit + iOS-Änderungen und neuen Artefakten. + domains: + - incident-response + - static-investigations + - mobile-forensics + phases: + - examination + - analysis + platforms: + - Windows + - Linux + - macOS + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://github.com/abrignoni/iLEAPP + projectUrl: '' + license: MIT + knowledgebase: false + tags: + - command-line + - mobile-app-data + - artifact-parser + - timeline + - html-export + - deleted-file-recovery + - name: VLEAPP + icon: 📦 + type: software + description: >- + Die Zukunft der Fahrzeug-Forensik für vernetzte Autos und + Infotainment-Systeme. Parst CAN-Bus-Daten, GPS-Tracks und + Smartphone-Verbindungen aus modernen Fahrzeugen. Ein Nischen-Tool, aber + unverzichtbar bei Unfallrekonstruktionen und Kriminalfällen. Die + Unterstützung für verschiedene Hersteller wächst mit der Community. + domains: + - static-investigations + - ics-forensics + phases: + - examination + - analysis + platforms: + - Windows + - Linux + - macOS + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://github.com/abrignoni/VLEAPP + projectUrl: '' + license: MIT + knowledgebase: false + tags: + - command-line + - artifact-parser + - geolocation + - timeline + - html-export + - system-metadata + - name: Kali Linux + type: software + description: >- + Die wohlbekannte Hacker-Distribution mit über 600 vorinstallierten + Security-Tools. Von Forensik über Penetration Testing bis Reverse + Engineering ist alles an Bord. Die Live-Boot-Option ermöglicht forensische + Untersuchungen ohne Installation. Regelmäßige Updates halten die + Tool-Sammlung auf dem neuesten Stand. + domains: + - incident-response + - static-investigations + - malware-analysis + - fraud-investigation + - network-forensics + - mobile-forensics + - cloud-forensics + - ics-forensics + skillLevel: intermediate + url: https://kali.org/ + icon: 🖥 + platforms: + - OS + accessType: download + license: GPL-3.0 + knowledgebase: true + related_software: null + domain-agnostic-software: + - specific-os + tags: + - gui + - command-line + - cross-platform + - live-acquisition + - write-blocker + - opensource + - name: dd + icon: 📦 + type: software + description: >- + Das Unix-Urgestein für bit-genaues Kopieren von Datenträgern seit 1974. + Minimalistisch aber mächtig - der Goldstandard für forensische Disk-Images + unter Linux. Mit den richtigen Parametern (conv=noerror,sync) übersteht es + auch defekte Sektoren. Keine Schnörkel, keine GUI, nur pure + Zuverlässigkeit für Forensik-Puristen. + domains: + - incident-response + - static-investigations + phases: + - data-collection + platforms: + - Linux + - macOS + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: built-in + url: https://www.gnu.org/software/coreutils/dd + projectUrl: '' + license: GPL-3.0 + knowledgebase: false + tags: + - command-line + - physical-copy + - raw-image-support + - scenario:disk_imaging + - zero-footprint + - offline-mode + - name: dcfldd + icon: 📦 + type: software + description: >- + Die forensische Weiterentwicklung von dd mit eingebauter + Hash-Verifizierung. Zeigt Fortschrittsbalken, splittet große Images und + berechnet mehrere Hashes gleichzeitig. Von der DoD Computer Forensics Lab + entwickelt für professionelle Anforderungen. Die Status-Ausgabe während + langer Imaging-Vorgänge rettet Nerven und Zeit. + domains: + - incident-response + - static-investigations + phases: + - data-collection + platforms: + - Linux + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://github.com/resurrecting-open-source-projects/dcfldd + projectUrl: '' + license: GPL-2.0 + knowledgebase: false + tags: + - command-line + - physical-copy + - hashing + - scenario:disk_imaging + - compression + - integrity-check + - name: ewfacquire + icon: 📦 + type: software + description: >- + Das Kommandozeilen-Tool für Expert Witness Format (E01) Images mit + Kompression. Teil der libewf-Suite, erstellt gerichtsfeste Images mit + Metadaten und Chain of Custody. Besonders wertvoll für große Datenträger + dank effizienter Kompression. Die E01-Kompatibilität ermöglicht nahtlosen + Austausch mit kommerziellen Tools. + domains: + - incident-response + - static-investigations + phases: + - data-collection + platforms: + - Linux + - macOS + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://github.com/libyal/libewf + projectUrl: '' + license: LGPL-3.0 + knowledgebase: false + tags: + - command-line + - physical-copy + - ewf-support + - compression + - chain-of-custody + - scenario:disk_imaging + - name: PhotoRec + icon: 📦 + type: software + description: >- + Der Datenretter in der Not - findet gelöschte Dateien ohne + Dateisystem-Strukturen. Signature-basiertes Carving für über 300 + Dateiformate von Fotos bis Office-Dokumenten. Arbeitet read-only und ist + damit forensisch sauber für die Beweissicherung. Die Schwestersoftware + TestDisk repariert zusätzlich beschädigte Partitionen. + domains: + - incident-response + - static-investigations + - fraud-investigation + phases: + - examination + platforms: + - Windows + - Linux + - macOS + related_software: null + domain-agnostic-software: null + skillLevel: beginner + accessType: download + url: https://www.cgsecurity.org/wiki/PhotoRec + projectUrl: '' + license: GPL-2.0 + knowledgebase: false + tags: + - gui + - file-carving + - deleted-file-recovery + - scenario:file_recovery + - signature-analysis + - cross-platform + - name: Kismet + icon: 📦 + type: software + description: >- + Der WLAN-Schnüffler der Extraklasse für Wireless-Forensik und + Sicherheitsaudits. Passives Monitoring deckt versteckte Netzwerke, Rogue + Access Points und Client-Geräte auf. Die GPS-Integration ermöglicht + War-Driving mit präziser Standort-Zuordnung. Unterstützt moderne Standards + wie 802.11ac und Bluetooth LE Sniffing. + domains: + - incident-response + - network-forensics + phases: + - data-collection + - examination + platforms: + - Linux + related_software: null + domain-agnostic-software: null + skillLevel: advanced + accessType: download + url: https://www.kismetwireless.net/ + projectUrl: '' + license: GPL-2.0 + knowledgebase: false + tags: + - gui + - pcap-capture + - geolocation + - live-acquisition + - anomaly-detection + - wireless-analysis + - name: OSFMount + icon: 📦 + type: software + description: >- + Mountet Disk-Images als virtuelle Laufwerke unter Windows für komfortable + Analyse. Unterstützt alle gängigen Formate von RAW über E01 bis zu + VM-Images. Der schreibgeschützte Modus garantiert forensische Integrität + der Beweise. Besonders praktisch für schnelle Triage ohne vollständige + Forensik-Suite. Freeware, aber nicht open source. + domains: + - incident-response + - static-investigations + phases: + - examination + platforms: + - Windows + related_software: null + domain-agnostic-software: null + skillLevel: beginner + accessType: download + url: https://www.osforensics.com/tools/mount-disk-images.html + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - gui + - virtual-machine + - ewf-support + - raw-image-support + - write-blocker + - triage + - name: Thumbcache Viewer + icon: 📦 + type: software + description: >- + Spezialist für Windows Thumbnail-Caches mit Zugriff auf gelöschte + Bildvorschauen. Extrahiert Thumbnails aus thumbcache_*.db Dateien + inklusive EXIF-Zeitstempel. Unbezahlbar für den Nachweis, dass Bilder auf + einem System vorhanden waren. Die einfache GUI macht es auch für weniger + technische Ermittler zugänglich. + domains: + - static-investigations + - fraud-investigation + phases: + - examination + - analysis + platforms: + - Windows + related_software: null + domain-agnostic-software: null + skillLevel: beginner + accessType: download + url: https://thumbcacheviewer.github.io/ + projectUrl: '' + license: GPL-3.0 + knowledgebase: false + tags: + - gui + - deleted-file-recovery + - metadata-parser + - triage + - system-metadata + - thumbnail-analysis + - name: RegRipper + icon: 📦 + type: software + description: >- + Der scenario:windows-registry-Experte mit hunderten Plugins für + automatisierte Analyse. Extrahiert USB-Historie, installierte Software, + Benutzeraktivitäten und Malware-Spuren. Die Plugin-Architektur erlaubt + maßgeschneiderte Untersuchungen für spezielle Fälle. Spart Stunden + manueller Registry-Analyse und findet oft übersehene Artefakte. + domains: + - incident-response + - static-investigations + - malware-analysis + phases: + - examination + - analysis + platforms: + - Windows + - Linux + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://github.com/keydet89/RegRipper3.0 + projectUrl: '' + license: MIT + knowledgebase: false + tags: + - command-line + - registry-hives + - plugin-support + - scenario:windows-registry + - usb-history + - artifact-parser + - name: YARA + type: software + description: >- + Die Pattern-Matching-Engine für Malware-Jäger und Threat Hunter. + Regelbasierte Suche nach Strings, Byte-Sequenzen und regulären Ausdrücken. + De-facto Standard für Malware-Signaturen mit riesiger + Community-Rule-Sammlung. Integration in viele Forensik-Tools macht es zum + Marktstandard. + domains: + - incident-response + - malware-analysis + phases: + - examination + - analysis + skillLevel: intermediate + url: https://virustotal.github.io/yara/ + icon: 🛠 + platforms: + - Windows + - Linux + - macOS + accessType: download + license: BSD-3-Clause + knowledgebase: false + tags: + - command-line + - yara-scan + - signature-analysis + - regex-search + - cross-platform + - memory-signatures + - name: Strings + icon: 📦 + type: software + description: >- + Das simple Tool mit großer Wirkung - extrahiert lesbare Texte aus + Binärdateien. Findet URLs, Passwörter, Pfade und andere + ASCII/Unicode-Strings in Malware. Die Ausgabe gibt oft erste Hinweise auf + Funktionalität und Herkunft. In Kombination mit grep ein mächtiges + Werkzeug für schnelle Triage. + domains: + - incident-response + - malware-analysis + phases: + - examination + platforms: + - Windows + - Linux + - macOS + related_software: null + domain-agnostic-software: null + skillLevel: novice + accessType: built-in + url: https://docs.microsoft.com/en-us/sysinternals/downloads/strings + projectUrl: '' + license: Proprietary/GPL + knowledgebase: false + tags: + - command-line + - string-search + - binary-decode + - triage + - cross-platform + - fast-scan + - name: MaxMind GeoIP + type: software + description: >- + Die Geolocation-Datenbank für IP-Adressen-Zuordnung zu Ländern und + Städten. Unverzichtbar für die Analyse von Netzwerk-Logs und + Angriffsherkunft. Die kostenlose GeoLite2-Version reicht für die meisten + forensischen Zwecke. API-Integration ermöglicht automatisierte + Anreicherung großer Datensätze. + domains: + - incident-response + - fraud-investigation + - network-forensics + phases: + - analysis + skillLevel: beginner + url: https://www.maxmind.com/ + icon: 🗄 + platforms: + - Windows + - Linux + - macOS + accessType: download + license: GeoLite2 EULA / Commercial + knowledgebase: false + tags: + - api + - geolocation + - data-enrichment + - cross-platform + - automation-ready + - offline-mode + - name: SIFT Workstation + type: software + description: >- + SANS' kuratierte Ubuntu-Distribution vollgepackt mit Forensik-Tools und + Skripten. Über 500 Tools vorinstalliert, vorkonfiguriert und dokumentiert + für sofortigen Einsatz. Die begleitenden Trainingsmaterialien machen es + zur idealen Lernumgebung. Regelmäßige Updates vom SANS-Team halten die + Tool-Sammlung aktuell. + domains: + - incident-response + - static-investigations + - malware-analysis + - network-forensics + - mobile-forensics + skillLevel: intermediate + url: https://www.sans.org/tools/sift-workstation/ + icon: 🖥 + platforms: + - OS + accessType: download + license: Free / Mixed + knowledgebase: false + related_software: null + domain-agnostic-software: + - specific-os + tags: + - gui + - command-line + - cross-platform + - write-blocker + - live-acquisition + - signature-updates + - name: Tsurugi Linux + type: software + description: >- + Die von Forensikern entwickelte Forensik-Distribution mit Fokus auf + Benutzerfreundlichkeit. Besonders stark bei Mobile- und Malware-Forensik + mit vielen spezialisierten Tools. Die DFIR-Menüstruktur gruppiert Tools + logisch nach Untersuchungsphasen. Läuft performant auch auf älterer + Hardware dank optimiertem Kernel. Hat einen integrierten Write-Blocker und + existiert in einer reduzierten "Acquire"-Version, die Imaging als + Live-System-Umgebung ermöglicht. + domains: + - incident-response + - static-investigations + - malware-analysis + - mobile-forensics + skillLevel: intermediate + url: https://tsurugi-linux.org/ + icon: 🖥 + platforms: + - OS + accessType: download + license: GPL / Mixed + knowledgebase: false + related_software: null + domain-agnostic-software: + - specific-os + tags: + - gui + - write-blocker + - live-acquisition + - triage + - forensic-snapshots + - selective-imaging + - name: Parrot Security OS + type: software + description: >- + Die Datenschutz-fokussierte Alternative zu Kali mit Forensik-Werkzeugen. + AnonSurf für anonymisierte Ermittlungen und verschlüsselte Kommunikation + eingebaut. Ressourcenschonender als Kali, läuft flüssig auch in VMs mit + wenig RAM. Die rolling-release Natur hält Tools aktuell ohne + Neuinstallation. + domains: + - incident-response + - static-investigations + - malware-analysis + - network-forensics + skillLevel: intermediate + url: https://parrotsec.org/ + icon: 🖥 + platforms: + - OS + accessType: download + license: GPL-3.0 + knowledgebase: false + related_software: null + domain-agnostic-software: + - specific-os + tags: + - gui + - command-line + - live-acquisition + - encrypted-traffic + - secure-sharing + - anonymous-analysis + - name: Eric Zimmerman Tools + icon: 📦 + type: software + description: >- + Die Tool-Sammlung des Windows-Forensik-Gurus für Artefakt-Analyse. Von + ShellBags über Prefetch bis zu Amcache - jedes Tool ein Spezialist. Die + Timeline Explorer GUI vereint alle Ausgaben in einer durchsuchbaren + Ansicht. Ständige Updates für neue Windows-Versionen und Cloud-Artefakte. + domains: + - incident-response + - static-investigations + phases: + - examination + - analysis + platforms: + - Windows + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://ericzimmerman.github.io/ + projectUrl: '' + license: MIT + knowledgebase: false + tags: + - gui + - artifact-parser + - shellbags + - prefetch-viewer + - timeline + - jumplist + - name: Impacket + icon: 📦 + type: software + description: >- + Python-Bibliothek für Netzwerk-Protokoll-Manipulation und + Windows-Forensik. Ermöglicht Remote-Zugriff auf Windows-Systeme für + Live-Forensik und IR. Die Skript-Sammlung deckt von SMB-Enumeration bis + Kerberos-Attacks alles ab. Unverzichtbar für die Untersuchung von Lateral + Movement und scenario:persistence. + domains: + - incident-response + - network-forensics + - malware-analysis + phases: + - data-collection + - examination + platforms: + - Linux + - Windows + - macOS + related_software: null + domain-agnostic-software: null + skillLevel: advanced + accessType: download + url: https://github.com/SecureAuthCorp/impacket + projectUrl: '' + license: Apache 2.0 + knowledgebase: false + tags: + - command-line + - remote-collection + - scripting + - scenario:persistence + - protocol-decode + - live-process-view + - name: RSA NetWitness + icon: 📦 + type: software + description: >- + Enterprise-Grade SIEM und Forensik-Plattform für große Netzwerke. + Korreliert Logs, Packets und Endpoints für 360-Grad-Sicht auf Incidents. + Die Hunting-Funktionen nutzen ML für Anomalie-Erkennung in Petabytes von + Daten. Lizenzkosten im siebenstelligen Bereich für vollständige + Deployment. + domains: + - incident-response + - network-forensics + - malware-analysis + phases: + - data-collection + - examination + - analysis + platforms: + - Web + related_software: null + domain-agnostic-software: null + skillLevel: expert + accessType: commercial + url: https://www.netwitness.com/ + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - web-interface + - commercial + - correlation-engine + - anomaly-detection + - distributed + - threat-scoring + - name: X-Ways Forensics + icon: 📦 + type: software + description: >- + Der deutsche Präzisionsskalpell unter den Forensik-Tools mit + unübertroffener Effizienz. Besonders geschätzt für blitzschnelle Searches + in Multi-Terabyte-Images. Die spartanische Oberfläche schreckt Einsteiger + ab, Profis schwören darauf. Deutlich günstiger als US-Konkurrenz bei + vergleichbarer Funktionalität. + domains: + - static-investigations + - incident-response + phases: + - examination + - analysis + platforms: + - Windows + related_software: null + domain-agnostic-software: null + skillLevel: expert + accessType: commercial + url: https://www.x-ways.net/forensics/ + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - gui + - commercial + - keyword-search + - fast-scan + - court-admissible + - dongle-license + - name: EnCase + icon: 📦 + type: software + description: >- + Der Veteran der kommerziellen Forensik-Tools mit 25 Jahren + Gerichtserfahrung. EnScript-Programmierung ermöglicht maßgeschneiderte + Automatisierung. Die Zertifizierung (EnCE) ist in vielen Behörden + Einstellungsvoraussetzung. + domains: + - static-investigations + - incident-response + phases: + - data-collection + - examination + - analysis + - reporting + platforms: + - Windows + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: commercial + url: https://www.opentext.com/products/encase-forensic + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - gui + - commercial + - scripting + - court-admissible + - case-management + - dongle-license + - name: FRED + icon: 🔧 + type: software + description: >- + Forensic Recovery of Evidence Device - spezialisierte Hardware für + Imaging. Kombiniert Write-Blocker, Imager und Analyse-Workstation in einem + System. Die Ultrabay-Technologie ermöglicht Hot-Swap mehrerer Drives + gleichzeitig. Für High-Volume-Labs die Investition wert, für + Gelegenheitsnutzer Overkill. + domains: + - static-investigations + - incident-response + phases: + - data-collection + platforms: + - Hardware + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: commercial + url: https://www.digitalintelligence.com/products/fred/ + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - gui + - commercial + - write-blocker + - physical-copy + - scenario:disk_imaging + - multithreaded + - name: ICSpector + type: software + description: >- + Ein von Microsoft entwickeltes Open-Source-Framework, das eine besondere + Nische bedient: Die Datensammlung bei Industriekontrollsystemen und + PLC-Metadaten. + domains: + - ics-forensics + phases: + - data-collection + - examination + - analysis + skillLevel: advanced + url: https://github.com/microsoft/ics-forensics-tools + icon: 🛠 + platforms: + - Windows + - Linux + - macOS + accessType: download + license: MIT + knowledgebase: false + tags: + - command-line + - system-metadata + - artifact-parser + - cross-platform + - scripting + - opensource + - name: Live Memory Acquisition Procedure + icon: 📋 + type: method + description: >- + Standardisiertes Verfahren zur forensisch korrekten Akquisition des + Arbeitsspeichers laufender Systeme. Umfasst Bewertung der + Systemkritikalität, Auswahl geeigneter Tools, Minimierung der + System-Kontamination und Dokumentation der Chain of Custody. Essentiell + für die Sicherung flüchtiger Beweise wie Prozess-Informationen, + Netzwerkverbindungen und Verschlüsselungsschlüssel. + domains: + - incident-response + - static-investigations + - malware-analysis + phases: + - data-collection + platforms: [] + related_software: null + domain-agnostic-software: null + skillLevel: advanced + accessType: null + url: >- + https://www.nist.gov/publications/guide-integrating-forensic-techniques-incident-response + projectUrl: null + license: null + knowledgebase: false + tags: + - live-acquisition + - scenario:memory_dump + - chain-of-custody + - standards-compliant + - name: Rapid Incident Response Triage on macOS + icon: 📋 + type: method + description: >- + Spezialisierte Methodik für die schnelle Incident Response auf + macOS-Systemen mit Fokus auf die Sammlung kritischer forensischer + Artefakte in unter einer Stunde. Adressiert die Lücke zwischen + Windows-zentrierten IR-Prozessen und macOS-spezifischen + Sicherheitsarchitekturen. Nutzt Tools wie Aftermath für effiziente + Datensammlung ohne zeitaufwändige Full-Disk-Images. Besonders wertvoll für + Unternehmensumgebungen mit gemischten Betriebssystem-Landschaften. + domains: + - incident-response + - static-investigations + - malware-analysis + phases: + - data-collection + - examination + platforms: [] + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: null + url: >- + https://www.sans.org/white-papers/rapid-incident-response-on-macos-actionable-insights-under-hour/ + projectUrl: null + license: null + knowledgebase: null + tags: + - triage + - fast-scan + - apfs + - selective-imaging + - name: Aftermath + icon: 📦 + type: software + description: >- + Jamf's Open-Source-Tool für die schnelle Sammlung forensischer Artefakte + auf macOS-Systemen. Sammelt kritische Daten wie Prozessinformationen, + Netzwerkverbindungen, Dateisystem-Metadaten und Systemkonfigurationen ohne + Full-Disk-Imaging. Speziell entwickelt für die Rapid-Response-Triage in + Enterprise-Umgebungen mit macOS-Geräten. Normalisiert Zeitstempel und + erstellt durchsuchbare Ausgabeformate für effiziente Analyse. + domains: + - incident-response + - static-investigations + - malware-analysis + phases: + - data-collection + - examination + platforms: + - macOS + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://github.com/jamf/aftermath/ + projectUrl: '' + license: Apache 2.0 + knowledgebase: false + tags: + - command-line + - triage + - system-metadata + - apfs + - time-normalization + - structured-output + - name: Regular Expressions (Regex) + icon: 🔤 + type: concept + description: >- + Pattern matching language for searching, extracting, and manipulating + text. Essential for log analysis, malware signature creation, and data + extraction from unstructured sources. Forms the backbone of many forensic + tools and custom scripts. + domains: + - incident-response + - malware-analysis + - network-forensics + - fraud-investigation + phases: + - examination + - analysis + platforms: [] + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: null + url: https://regexr.com/ + projectUrl: null + license: null + knowledgebase: true + tags: + - regex-search + - string-search + - log-parser + - automation-ready + - name: SQL Query Fundamentals + icon: 🗃️ + type: concept + description: >- + Structured Query Language for database interrogation and analysis. + Critical for examining application databases, SQLite artifacts from + mobile devices, and browser history databases. Enables complex + correlation and filtering of large datasets. + domains: + - incident-response + - mobile-forensics + - fraud-investigation + - cloud-forensics + phases: + - examination + - analysis + platforms: [] + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: null + url: https://www.w3schools.com/sql/ + projectUrl: null + license: null + knowledgebase: false + tags: + - sqlite-viewer + - correlation-engine + - mobile-app-data + - browser-history + - name: Hash Functions & Digital Signatures + icon: 🔐 + type: concept + description: >- + Cryptographic principles for data integrity verification and + authentication. Fundamental for evidence preservation, malware + identification, and establishing chain of custody. Understanding of MD5, + SHA, and digital signature validation. + domains: + - incident-response + - static-investigations + - malware-analysis + - cloud-forensics + phases: + - data-collection + - examination + platforms: [] + related_software: null + domain-agnostic-software: null + skillLevel: advanced + accessType: null + url: https://en.wikipedia.org/wiki/Cryptographic_hash_function + projectUrl: null + license: null + knowledgebase: false + tags: + - hashing + - integrity-check + - chain-of-custody + - standards-compliant + - name: MSAB XRY + type: software + description: >- + Die Smartphone-Extraktionssoftware der Firma MSAB positioniert sich als + Konkurrenz zum Marktführer Cellebrite. MSAB wirbt mit dem Imaging selbst + neuester Android- und IOS-Geräte. + skillLevel: beginner + url: https://www.msab.com/product/xry-extract/ + icon: 📦 + domains: + - mobile-forensics + phases: + - data-collection + platforms: + - Windows + accessType: download + license: Proprietary + knowledgebase: false + tags: + - gui + - commercial + - mobile-app-data + - physical-copy + - decryption + - court-admissible +domains: + - id: incident-response + name: Incident Response & Breach-Untersuchung + - id: static-investigations + name: Datenträgerforensik & Ermittlungen + - id: malware-analysis + name: Malware-Analyse & Reverse Engineering + - id: fraud-investigation + name: Betrugs- & Finanzkriminalität + - id: network-forensics + name: Netzwerk-Forensik & Traffic-Analyse + - id: mobile-forensics + name: Mobile Geräte & App-Forensik + - id: cloud-forensics + name: Cloud & Virtuelle Umgebungen + - id: ics-forensics + name: Industrielle Kontrollsysteme (ICS/SCADA) +phases: + - id: data-collection + name: Datensammlung + description: Imaging, Acquisition, Remote Collection Tools + - id: examination + name: Auswertung + description: Parsing, Extraction, Initial Analysis Tools + - id: analysis + name: Analyse + description: Deep Analysis, Correlation, Visualization Tools + - id: reporting + name: Bericht & Präsentation + description: >- + Documentation, Visualization, Presentation Tools (z.B. QGIS für Geodaten, + Timeline-Tools) +domain-agnostic-software: + - id: collaboration-general + name: Übergreifend & Kollaboration + description: Cross-cutting tools and collaboration platforms + - id: specific-os + name: Betriebssysteme + description: Operating Systems which focus on forensics +scenarios: + - id: scenario:disk_imaging + icon: 💽 + friendly_name: Datenträgerabbild + - id: scenario:memory_dump + icon: 🧠 + friendly_name: RAM-Analyse + - id: scenario:file_recovery + icon: 🗑️ + friendly_name: Datenrettung + - id: scenario:browser_history + icon: 🌍 + friendly_name: Browser-Spuren + - id: scenario:credential_theft + icon: 🛑 + friendly_name: Zugangsdiebstahl + - id: scenario:remote_access + icon: 📡 + friendly_name: Fernzugriffe + - id: scenario:persistence + icon: ♻️ + friendly_name: Persistenzsuche + - id: scenario:windows-registry + icon: 📜 + friendly_name: Registry-Analyse \ No newline at end of file diff --git a/src/data/tools.yaml b/src/data/tools.yaml index 80224ac..d9f1f70 100644 --- a/src/data/tools.yaml +++ b/src/data/tools.yaml @@ -27,6 +27,8 @@ tools: - carving - artifact-extraction - keyword-search + - scenario:file_recovery + - scenario:browser_history related_concepts: - SQL Query Fundamentals - Hash Functions & Digital Signatures @@ -37,7 +39,6 @@ tools: license: Apache 2.0 knowledgebase: false - name: Volatility 3 - icon: 📦 type: software description: >- Das Universalwerkzeug der Live-Forensik, unverzichtbar für die Analyse von @@ -47,6 +48,9 @@ tools: erweiterbar, erfordert aber solide Kommandozeilen-Kenntnisse. Version 3 bringt deutliche Performance-Verbesserungen und bessere Formatunterstützung. + skillLevel: advanced + url: https://www.volatilityfoundation.org/ + icon: 📦 domains: - incident-response - static-investigations @@ -55,21 +59,8 @@ tools: phases: - examination - analysis - platforms: - - Windows - - Linux - - macOS - related_concepts: - - Hash Functions & Digital Signatures - - Regular Expressions (Regex) - related_software: null - domain-agnostic-software: null - skillLevel: advanced - accessType: download - url: https://www.volatilityfoundation.org/ - projectUrl: '' - license: VSL - knowledgebase: false + scenarios: + - scenario:memory_dump tags: - commandline - memory @@ -77,6 +68,16 @@ tools: - artifact-extraction - scripting - process-analysis + related_concepts: + - Hash Functions & Digital Signatures + - Regular Expressions (Regex) + platforms: + - Windows + - Linux + - macOS + accessType: download + license: VSL + knowledgebase: false - name: TheHive 5 icon: 🌐 type: software @@ -1484,7 +1485,7 @@ tools: icon: 📦 type: software description: >- - Der Windows-Registry-Experte mit hunderten Plugins für automatisierte + Der scenario:windows-registry-Experte mit hunderten Plugins für automatisierte Analyse. Extrahiert USB-Historie, installierte Software, Benutzeraktivitäten und Malware-Spuren. Die Plugin-Architektur erlaubt maßgeschneiderte Untersuchungen für spezielle Fälle. Spart Stunden @@ -1753,7 +1754,7 @@ tools: Windows-Forensik. Ermöglicht Remote-Zugriff auf Windows-Systeme für Live-Forensik und IR. Die Skript-Sammlung deckt von SMB-Enumeration bis Kerberos-Attacks alles ab. Unverzichtbar für die Untersuchung von Lateral - Movement und Persistence. + Movement und scenario:persistence. domains: - incident-response - network-forensics @@ -2209,27 +2210,27 @@ domain-agnostic-software: name: Betriebssysteme description: Operating Systems which focus on forensics scenarios: - - id: disk_imaging + - id: scenario:disk_imaging icon: 💽 friendly_name: Datenträgerabbild - - id: memory_dump + - id: scenario:memory_dump icon: 🧠 friendly_name: RAM-Analyse - - id: file_recovery + - id: scenario:file_recovery icon: 🗑️ friendly_name: Datenrettung - - id: browser_history + - id: scenario:browser_history icon: 🌍 friendly_name: Browser-Spuren - - id: credential_theft + - id: scenario:credential_theft icon: 🛑 friendly_name: Zugangsdiebstahl - - id: remote_access + - id: scenario:remote_access icon: 📡 friendly_name: Fernzugriffe - - id: persistence + - id: scenario:persistence icon: ♻️ friendly_name: Persistenzsuche - - id: windows-registry + - id: scenario:windows-registry icon: 📜 - friendly_name: Registry-Analyse \ No newline at end of file + friendly_name: Registry-Analyse diff --git a/src/data/tools.yaml.example b/src/data/tools.yaml.example index 133f08b..2e878c0 100644 --- a/src/data/tools.yaml.example +++ b/src/data/tools.yaml.example @@ -1,177 +1,83 @@ tools: - - name: Rapid Incident Response Triage on macOS - icon: 📋 - type: method - description: >- - Spezialisierte Methodik für die schnelle Incident Response auf - macOS-Systemen mit Fokus auf die Sammlung kritischer forensischer - Artefakte in unter einer Stunde. Adressiert die Lücke zwischen - Windows-zentrierten IR-Prozessen und macOS-spezifischen - Sicherheitsarchitekturen. Nutzt Tools wie Aftermath für effiziente - Datensammlung ohne zeitaufwändige Full-Disk-Images. Besonders wertvoll für - Unternehmensumgebungen mit gemischten Betriebssystem-Landschaften. - domains: - - incident-response - - static-investigations - - malware-analysis - phases: - - data-collection - - examination - platforms: [] - related_concepts: null - related_software: - - Aftermath - domain-agnostic-software: null - skillLevel: intermediate - accessType: null - url: >- - https://www.sans.org/white-papers/rapid-incident-response-on-macos-actionable-insights-under-hour/ - projectUrl: null - license: null - knowledgebase: null - tags: - - macos - - rapid-response - - triage - - incident-response - - aftermath - - enterprise - - methodology - - apple - - name: Aftermath - icon: 📦 + - name: Autopsy type: software description: >- - Jamf's Open-Source-Tool für die schnelle Sammlung forensischer Artefakte - auf macOS-Systemen. Sammelt kritische Daten wie Prozessinformationen, - Netzwerkverbindungen, Dateisystem-Metadaten und Systemkonfigurationen ohne - Full-Disk-Imaging. Speziell entwickelt für die Rapid-Response-Triage in - Enterprise-Umgebungen mit macOS-Geräten. Normalisiert Zeitstempel und - erstellt durchsuchbare Ausgabeformate für effiziente Analyse. + Die führende Open-Source-Alternative zu kommerziellen Forensik-Suiten mit + intuitiver grafischer Oberfläche. Besonders stark in der Timeline-Analyse, + Keyword-Suche und dem Carving gelöschter Dateien. Die modulare + Plugin-Architektur erlaubt Erweiterungen für spezielle + Untersuchungsszenarien. Zwar komplexer als kommerzielle Lösungen, aber + dafür vollständig transparent und kostenfrei. + skillLevel: intermediate + url: https://www.autopsy.com/ + icon: 📦 domains: - incident-response - static-investigations - malware-analysis + - mobile-forensics + - cloud-forensics phases: - - data-collection - examination - platforms: - - macOS + - analysis + tags: + - gui + - filesystem + - timeline-analysis + - carving + - artifact-extraction + - keyword-search + - scenario:file_recovery + - scenario:browser_history related_concepts: + - SQL Query Fundamentals - Hash Functions & Digital Signatures - related_software: null - domain-agnostic-software: null - skillLevel: intermediate + platforms: + - Windows + - Linux accessType: download - url: https://github.com/jamf/aftermath/ - projectUrl: '' license: Apache 2.0 knowledgebase: false - tags: - - macos - - incident-response - - triage - - artifact-collection - - rapid-response - - jamf - - enterprise - - commandline - - name: Regular Expressions (Regex) - icon: 🔤 - type: concept + - name: Volatility 3 + type: software description: >- - Pattern matching language for searching, extracting, and manipulating - text. Essential for log analysis, malware signature creation, and data - extraction from unstructured sources. Forms the backbone of many forensic - tools and custom scripts. - domains: - - incident-response - - malware-analysis - - network-forensics - - fraud-investigation - phases: - - examination - - analysis - platforms: [] - related_concepts: null - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: null - url: https://regexr.com/ - projectUrl: null - license: null - knowledgebase: true - tags: - - pattern-matching - - text-processing - - log-analysis - - string-manipulation - - search-algorithms - - name: SQL Query Fundamentals - icon: 🗃️ - type: concept - description: >- - Structured Query Language for database interrogation and analysis. - Critical for examining application databases, SQLite artifacts from - mobile devices, and browser history databases. Enables complex - correlation and filtering of large datasets. - domains: - - incident-response - - mobile-forensics - - fraud-investigation - - cloud-forensics - phases: - - examination - - analysis - platforms: [] - related_concepts: null - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: null - url: https://www.w3schools.com/sql/ - projectUrl: null - license: null - knowledgebase: false - tags: - - database-analysis - - query-language - - data-correlation - - mobile-artifacts - - browser-forensics - - name: Hash Functions & Digital Signatures - icon: 🔐 - type: concept - description: >- - Cryptographic principles for data integrity verification and - authentication. Fundamental for evidence preservation, malware - identification, and establishing chain of custody. Understanding of MD5, - SHA, and digital signature validation. + Das Universalwerkzeug der Live-Forensik, unverzichtbar für die Analyse von + RAM-Dumps. Mit über 100 Plugins extrahiert es Prozesse, + Netzwerkverbindungen, Registry-Keys und versteckte Malware aus dem + Arbeitsspeicher. Die Python-basierte Architektur macht es flexibel + erweiterbar, erfordert aber solide Kommandozeilen-Kenntnisse. Version 3 + bringt deutliche Performance-Verbesserungen und bessere + Formatunterstützung. + skillLevel: advanced + url: https://www.volatilityfoundation.org/ + icon: 📦 domains: - incident-response - static-investigations - malware-analysis - - cloud-forensics + - network-forensics phases: - - data-collection - examination - platforms: [] - related_concepts: null - related_software: null - domain-agnostic-software: null - skillLevel: advanced - accessType: null - url: https://en.wikipedia.org/wiki/Cryptographic_hash_function - projectUrl: null - license: null - knowledgebase: false + - analysis + scenarios: + - scenario:memory_dump tags: - - cryptography - - data-integrity - - evidence-preservation - - malware-identification - - chain-of-custody + - commandline + - memory + - malware-analysis + - artifact-extraction + - scripting + - process-analysis + related_concepts: + - Hash Functions & Digital Signatures + - Regular Expressions (Regex) + platforms: + - Windows + - Linux + - macOS + accessType: download + license: VSL + knowledgebase: false domains: - id: incident-response name: Incident Response & Breach-Untersuchung @@ -212,9 +118,27 @@ domain-agnostic-software: name: Betriebssysteme description: Operating Systems which focus on forensics scenarios: - - id: registry - icon: 🗃️ - friendly_name: "Registry-Analyse" - - id: memory-forensics + - id: scenario:disk_imaging + icon: 💽 + friendly_name: Datenträgerabbild + - id: scenario:memory_dump icon: 🧠 - friendly_name: "Memory-Forensik" \ No newline at end of file + friendly_name: RAM-Analyse + - id: scenario:file_recovery + icon: 🗑️ + friendly_name: Datenrettung + - id: scenario:browser_history + icon: 🌍 + friendly_name: Browser-Spuren + - id: scenario:credential_theft + icon: 🛑 + friendly_name: Zugangsdiebstahl + - id: scenario:remote_access + icon: 📡 + friendly_name: Fernzugriffe + - id: scenario:persistence + icon: ♻️ + friendly_name: Persistenzsuche + - id: scenario:windows-registry + icon: 📜 + friendly_name: Registry-Analyse \ No newline at end of file