diff --git a/src/data/tools-untagged.yaml b/src/data/tools-untagged.yaml deleted file mode 100644 index 76ee51c..0000000 --- a/src/data/tools-untagged.yaml +++ /dev/null @@ -1,2156 +0,0 @@ -tools: - - name: Autopsy - type: software - description: >- - Die führende Open-Source-Alternative zu kommerziellen Forensik-Suiten mit - intuitiver grafischer Oberfläche. Besonders stark in der Timeline-Analyse, - Keyword-Suche und dem Carving gelöschter Dateien. Die modulare - Plugin-Architektur erlaubt Erweiterungen für spezielle - Untersuchungsszenarien. Zwar komplexer als kommerzielle Lösungen, aber - dafür vollständig transparent und kostenfrei. - skillLevel: intermediate - url: https://www.autopsy.com/ - icon: 📦 - domains: - - incident-response - - static-investigations - - malware-analysis - - mobile-forensics - - cloud-forensics - phases: - - examination - - analysis - tags: - - gui - - timeline - - file-carving - - keyword-search - - plugin-support - - opensource - platforms: - - Windows - - Linux - accessType: download - license: Apache 2.0 - knowledgebase: false - - name: Volatility 3 - type: software - description: >- - Das Universalwerkzeug der Live-Forensik, unverzichtbar für die Analyse von - RAM-Dumps. Mit über 100 Plugins extrahiert es Prozesse, - Netzwerkverbindungen, Registry-Keys und versteckte Malware aus dem - Arbeitsspeicher. Die Python-basierte Architektur macht es flexibel - erweiterbar, erfordert aber solide Kommandozeilen-Kenntnisse. Version 3 - bringt deutliche Performance-Verbesserungen und bessere - Formatunterstützung. - skillLevel: advanced - url: https://www.volatilityfoundation.org/ - icon: 📦 - domains: - - incident-response - - static-investigations - - malware-analysis - - network-forensics - phases: - - examination - - analysis - scenarios: - - scenario:memory_dump - tags: - - command-line - - plugin-support - - scripting - - memory-timeline - - scenario:memory_dump - - opensource - platforms: - - Windows - - Linux - - macOS - accessType: download - license: VSL - knowledgebase: false - - name: TheHive 5 - icon: 🌐 - type: software - description: >- - Moderne Security-Orchestrierungs-Plattform für die koordinierte - Incident-Response im Team. Integriert nahtlos mit MISP, Cortex und anderen - Security-Tools für automatisierte Workflows. Die kostenlose Community - Edition wurde 2021 eingestellt, was die Langzeitperspektive fraglich - macht. Für professionelle SOCs dennoch eine der besten - Kollaborations-Lösungen am Markt. - domains: - - incident-response - - static-investigations - - malware-analysis - - network-forensics - phases: - - analysis - - reporting - platforms: - - Web - related_software: null - domain-agnostic-software: - - collaboration-general - skillLevel: intermediate - accessType: server-based - url: https://github.com/TheHive-Project/TheHive - projectUrl: '' - license: Community Edition (Free) / Commercial - knowledgebase: false - statusUrl: https://uptime.example.lab/api/badge/1/status - tags: - - web-interface - - case-management - - collaboration - - api - - workflow - - multi-user-support - - name: MISP - icon: 🌐 - type: software - description: >- - Das Rückgrat des modernen Threat-Intelligence-Sharings mit über 40.000 - aktiven Instanzen weltweit. Ermöglicht den strukturierten Austausch von - IoCs zwischen Organisationen und automatisierte Bedrohungsanalyse. Die - föderierte Architektur und umfangreiche Taxonomie machen es zum - De-facto-Standard für CTI. Besonders wertvoll durch die Integration in - SIEMs, Firewalls und andere Sicherheitssysteme. - domains: - - incident-response - - static-investigations - - malware-analysis - - network-forensics - - cloud-forensics - phases: - - examination - - analysis - platforms: - - Web - skillLevel: intermediate - accessType: server-based - url: https://misp-project.org/ - projectUrl: https://misp.cc24.dev - license: AGPL-3.0 - knowledgebase: true - statusUrl: https://status.mikoshi.de/api/badge/34/status - tags: - - web-interface - - IOC-matching - - taxonomies - - api - - threat-scoring - - collaboration - - name: Timesketch - icon: 📦 - type: software - description: >- - Google's Open-Source-Lösung für kollaborative Timeline-Analyse großer - Datensätze. Visualisiert und korreliert Ereignisse aus verschiedenen - Quellen in einer interaktiven Zeitachse. Die Plaso-Integration ermöglicht - automatisches Parsing hunderter Log-Formate. Ideal für komplexe Fälle mit - mehreren Analysten und Millionen von Zeitstempeln. - domains: - - incident-response - - static-investigations - - network-forensics - - cloud-forensics - phases: - - analysis - - reporting - platforms: - - Web - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: server-based - url: https://timesketch.org/ - projectUrl: '' - license: Apache 2.0 - knowledgebase: false - statusUrl: https://uptime.example.lab/api/badge/3/status - tags: - - web-interface - - timeline - - collaboration - - visualization - - timeline-correlation - - timeline-view - - name: Wireshark - icon: 📦 - type: software - description: >- - Der unangefochtene König der Netzwerk-Protokoll-Analyse mit Support für - über 3000 Protokolle. Unverzichtbar für die Untersuchung von - Netzwerk-Anomalien, Malware-Kommunikation und Datenexfiltration. Die - mächtigen Display-Filter und Follow-Stream-Funktionen machen komplexe - Analysen zugänglich. Hauptnachteil: Benötigt vorhandene PCAP-Dateien, - eignet sich weniger für historische Analysen. - domains: - - incident-response - - malware-analysis - - network-forensics - - cloud-forensics - - ics-forensics - phases: - - examination - - analysis - platforms: - - Windows - - Linux - - macOS - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: download - url: https://www.wireshark.org/ - projectUrl: '' - license: GPL-2.0 - knowledgebase: false - tags: - - gui - - protocol-decode - - packet-filtering - - pcap-capture - - cross-platform - - session-reconstruction - - name: Magnet AXIOM - icon: 📦 - type: software - description: >- - Die Rolls-Royce unter den kommerziellen Forensik-Suiten mit - beeindruckender Automatisierung. Glänzt besonders bei Cloud-Forensik mit - nativer Unterstützung für Google, Apple und Microsoft-Dienste. Die - KI-gestützte Bilderkennung und Connection-Analyse spart Ermittlern - wertvolle Zeit. Der Preis von mehreren zehntausend Euro macht es primär - für Behörden und Großunternehmen interessant. - domains: - - incident-response - - static-investigations - - mobile-forensics - - cloud-forensics - phases: - - data-collection - - examination - - analysis - - reporting - platforms: - - Windows - related_software: null - domain-agnostic-software: null - skillLevel: beginner - accessType: commercial - url: https://www.magnetforensics.com/products/magnet-axiom/ - projectUrl: '' - license: Proprietary - knowledgebase: false - tags: - - gui - - commercial - - cloud-artifacts - - mobile-app-data - - automation-ready - - court-admissible - - name: Cellebrite UFED - icon: 📦 - type: software - description: >- - Der Goldstandard der mobilen Forensik mit legendären - Entsperrungsfähigkeiten für aktuelle Smartphones. Nutzt Zero-Day-Exploits - und Hardware-Schwachstellen für den Zugriff auf verschlüsselte Geräte. Die - Physical Analyzer Software macht die extrahierten Daten durch intelligente - Visualisierung verständlich. Mit Preisen im sechsstelligen Bereich und - ethischen Bedenken bezüglich der Käuferauswahl nicht unumstritten. - domains: - - static-investigations - - mobile-forensics - phases: - - data-collection - - examination - - analysis - platforms: - - Windows - related_software: null - domain-agnostic-software: null - skillLevel: beginner - accessType: commercial - url: https://cellebrite.com/en/ufed/ - projectUrl: '' - license: Proprietary - knowledgebase: false - tags: - - gui - - commercial - - mobile-app-data - - decryption - - physical-copy - - dongle-license - - name: Cuckoo Sandbox 3 - icon: 🌐 - type: software - description: >- - Die führende Open-Source-Sandbox für automatisierte Malware-Analyse in - isolierten Umgebungen. Zeichnet Systemaufrufe, Netzwerkverkehr und - Verhaltensänderungen während der Malware-Ausführung auf. Version 3 vom - CERT-EE bringt moderne Python-3-Unterstützung und verbesserte - Erkennungsumgehung. Die Einrichtung erfordert fundierte - Virtualisierungskenntnisse, belohnt aber mit detaillierten Reports. - domains: - - incident-response - - malware-analysis - phases: - - examination - - analysis - platforms: - - Linux - - Web - related_software: null - domain-agnostic-software: null - skillLevel: advanced - accessType: server-based - url: https://github.com/cert-ee/cuckoo3 - projectUrl: '' - license: GPL-3.0 - knowledgebase: false - tags: - - web-interface - - sandboxing - - behavioral-analysis - - malware-unpacking - - virtual-analysis - - sandbox-reports - - name: Ghidra - icon: 📦 - type: software - description: >- - NSAs Geschenk an die Reverse-Engineering-Community als mächtige - Alternative zu IDA Pro. Der Decompiler verwandelt Maschinencode zurück in - lesbaren Pseudocode für tiefgehende Analyse. Unterstützt dutzende - Prozessorarchitekturen von x86 bis zu obskuren Embedded-Systemen. Die - steile Lernkurve wird durch die aktive Community und exzellente - Dokumentation gemildert. - domains: - - malware-analysis - - ics-forensics - phases: - - analysis - platforms: - - Windows - - Linux - - macOS - related_software: null - domain-agnostic-software: null - skillLevel: expert - accessType: download - url: https://github.com/NationalSecurityAgency/ghidra - projectUrl: '' - license: Apache 2.0 - knowledgebase: false - tags: - - gui - - binary-decode - - malware-unpacking - - cross-platform - - scripting - - opensource - - name: Plaso (log2timeline) - icon: 📦 - type: software - description: >- - Der industrielle Staubsauger für Zeitstempel - extrahiert aus hunderten - Quellen eine Super-Timeline. Parst Windows-Event-Logs, Browser-Historie, - Registry und vieles mehr in ein einheitliches Format. Die Integration mit - Timesketch ermöglicht die Visualisierung von Millionen Events. Performance - kann bei großen Datenmengen leiden, aber die Vollständigkeit ist - unübertroffen. - domains: - - incident-response - - static-investigations - - network-forensics - - cloud-forensics - phases: - - data-collection - - examination - platforms: - - Windows - - Linux - - macOS - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: download - url: https://plaso.readthedocs.io/ - projectUrl: '' - license: Apache 2.0 - knowledgebase: false - tags: - - command-line - - timeline - - log-parser - - cross-platform - - timeline-merge - - time-normalization - - name: CyberChef - icon: 🌐 - type: software - description: >- - Das digitale Schweizer Taschenmesser für Daten-Manipulation mit über 300 - Operations. Von Base64-Dekodierung über Verschlüsselung bis zur - Malware-Deobfuskation - alles im Browser. Die visuelle "Rezept"-Metapher - macht komplexe Transformationsketten intuitiv verständlich. Unverzichtbar - für CTF-Challenges und tägliche Forensik-Aufgaben gleichermaßen. - domains: - - incident-response - - static-investigations - - malware-analysis - - network-forensics - phases: - - examination - - analysis - platforms: - - Web - related_software: null - domain-agnostic-software: null - skillLevel: beginner - accessType: server-based - url: https://gchq.github.io/CyberChef/ - projectUrl: '' - license: Apache 2.0 - knowledgebase: false - tags: - - web-interface - - binary-decode - - decryption - - malware-unpacking - - string-search - - triage - - name: Velociraptor - icon: 🌐 - type: software - description: >- - Die nächste Evolution der Endpoint-Forensik mit skalierbarer - Remote-Collection-Architektur. Die mächtige VQL-Abfragesprache ermöglicht - chirurgisch präzise Artefakt-Sammlung ohne Full-Disk-Images. - Hunt-Funktionen durchsuchen tausende Endpoints gleichzeitig nach - Kompromittierungs-Indikatoren. Die Lernkurve ist steil, aber die - Effizienzgewinne bei großen Infrastrukturen sind enorm. - domains: - - incident-response - - static-investigations - - malware-analysis - - fraud-investigation - - network-forensics - - cloud-forensics - phases: - - data-collection - - examination - - analysis - platforms: - - Windows - - Linux - - macOS - - Web - related_software: null - domain-agnostic-software: null - skillLevel: advanced - accessType: server-based - url: https://www.velociraptor.app/ - projectUrl: https://raptor.cc24.dev - license: Apache 2.0 - knowledgebase: true - statusUrl: https://status.mikoshi.de/api/badge/33/status - tags: - - web-interface - - remote-collection - - distributed - - scripting - - cross-platform - - triage - - name: GRR Rapid Response - icon: 🌐 - type: software - description: >- - Googles Antwort auf Enterprise-Scale-Forensik für die Untersuchung von - Flotten mit tausenden Clients. Sammelt gezielt Artefakte und führt - Memory-Analysen remote durch, ohne Systeme offline zu nehmen. Weniger - Features als Velociraptor, dafür stabiler und einfacher in der Handhabung. - Die Python-API ermöglicht die Automatisierung wiederkehrender - Untersuchungen. - domains: - - incident-response - - static-investigations - - malware-analysis - - fraud-investigation - phases: - - data-collection - - examination - platforms: - - Windows - - Linux - - macOS - - Web - related_software: null - domain-agnostic-software: null - skillLevel: advanced - accessType: server-based - url: https://github.com/google/grr - projectUrl: '' - license: Apache 2.0 - knowledgebase: false - tags: - - web-interface - - remote-collection - - distributed - - api - - cross-platform - - triage - - name: Arkime - icon: 📦 - type: software - description: >- - Das Heavy-Metal-Tool für Full-Packet-Capture mit der Fähigkeit, Petabytes - an Netzwerkverkehr zu speichern. Indiziert in Echtzeit Metadaten für - blitzschnelle Suchen über Monate historischer Daten. Die Integration mit - Elasticsearch ermöglicht komplexe Queries über Sessions, IPs und Payloads. - Ressourcenhungrig aber unverzichtbar für ernsthafte Network Security - Monitoring Operations. - domains: - - incident-response - - static-investigations - - network-forensics - - cloud-forensics - phases: - - data-collection - - examination - - analysis - platforms: - - Linux - related_software: null - domain-agnostic-software: null - skillLevel: expert - accessType: server-based - url: https://arkime.com/ - projectUrl: '' - license: Apache 2.0 - knowledgebase: false - tags: - - web-interface - - pcap-capture - - elasticsearch-integration - - historical-analysis - - packet-filtering - - distributed - - name: NetworkMiner - icon: 📦 - type: software - description: >- - Der benutzerfreundliche kleine Bruder von Wireshark mit Fokus auf Forensik - statt Live-Analyse. Extrahiert automatisch übertragene Dateien, Bilder und - Credentials aus PCAP-Dateien. Die intuitive GUI zeigt Hosts, Sessions und - DNS-Queries übersichtlich ohne komplexe Filter. Perfekt für Einsteiger und - schnelle Übersichten, an Grenzen bei verschlüsseltem Traffic. - domains: - - incident-response - - static-investigations - - malware-analysis - - network-forensics - phases: - - examination - - analysis - platforms: - - Windows - - Linux - related_software: null - domain-agnostic-software: null - skillLevel: beginner - accessType: download - url: https://www.netresec.com/?page=NetworkMiner - projectUrl: '' - license: GPL-2.0 / Commercial - knowledgebase: false - tags: - - gui - - file-reconstruction - - pcap-capture - - session-reconstruction - - dns-resolution - - triage - - name: ExifTool - icon: 📦 - type: software - description: >- - Der Metadaten-Maestro, der aus über 1000 Dateiformaten verborgene - Informationen extrahiert. Findet GPS-Koordinaten in Fotos, Autoren in - Dokumenten und Bearbeitungshistorien in PDFs. Die Kommandozeile mag - abschrecken, aber die Mächtigkeit ist unübertroffen. Ein Must-Have für - jede Forensik-Toolbox, oft der erste Schritt bei - Dokumenten-Untersuchungen. - domains: - - incident-response - - static-investigations - - fraud-investigation - - mobile-forensics - phases: - - examination - - analysis - platforms: - - Windows - - Linux - - macOS - related_software: null - domain-agnostic-software: null - skillLevel: novice - accessType: download - url: https://exiftool.org/ - projectUrl: '' - license: Perl Artistic License - knowledgebase: false - tags: - - command-line - - metadata-parser - - geolocation - - cross-platform - - triage - - system-metadata - - name: Chainalysis - icon: 📦 - type: software - description: >- - Der Platzhirsch der Blockchain-Forensik mit Zugriff auf die größte - Krypto-Intelligence-Datenbank weltweit. Clustering-Algorithmen - identifizieren Exchanges, Mixer und Darknet-Märkte mit beeindruckender - Genauigkeit. Die Sanctions Screening und Compliance-Features machen es zur - ersten Wahl für Behörden. Lizenzkosten im sechsstelligen Bereich - limitieren den Zugang auf Großorganisationen. - domains: - - static-investigations - - fraud-investigation - phases: - - analysis - - reporting - platforms: - - Web - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: commercial - url: https://www.chainalysis.com/ - projectUrl: '' - license: Proprietary - knowledgebase: false - tags: - - web-interface - - blockchain-analysis - - commercial - - visualization - - anomaly-detection - - threat-scoring - - name: Neo4j - icon: 🌐 - type: software - description: >- - Die führende Graph-Datenbank verwandelt komplexe Beziehungsgeflechte in - verständliche Visualisierungen. Mit Cypher-Queries lassen sich - Verbindungen zwischen Personen, Transaktionen und Events aufdecken. - Besonders wertvoll für Social-Media-Analysen, Geldflüsse und - Organisations-Strukturen. Die Community Edition limitiert auf einen - Benutzer - für Teams ist die kommerzielle Version nötig. - domains: - - static-investigations - - malware-analysis - - fraud-investigation - - network-forensics - - cloud-forensics - phases: - - analysis - - reporting - platforms: - - Windows - - Linux - - macOS - - Web - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: server-based - url: https://neo4j.com/ - projectUrl: https://graph.cc24.dev - license: GPL-3.0 / Commercial - knowledgebase: false - statusUrl: https://status.mikoshi.de/api/badge/32/status - tags: - - web-interface - - graph-view - - visualization - - correlation-engine - - cross-platform - - api - - name: QGIS - icon: 📦 - type: software - description: >- - Das Open-Source-GIS-Kraftpaket für die Visualisierung von Geodaten in - forensischen Untersuchungen. Erstellt aus GPS-Logs von Smartphones - beeindruckende Bewegungsprofile und Heatmaps. Die Python-Integration - ermöglicht automatisierte Analysen großer Datensätze. Unverzichtbar wenn - Fahrzeuge, Drohnen oder mobile Geräte mit Standortdaten involviert sind. - domains: - - static-investigations - - fraud-investigation - - mobile-forensics - phases: - - analysis - - reporting - platforms: - - Windows - - Linux - - macOS - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: download - url: https://qgis.org/ - projectUrl: '' - license: GPL-2.0 - knowledgebase: false - tags: - - gui - - geolocation - - visualization - - heatmap - - scripting - - cross-platform - - name: Nextcloud - icon: 🌐 - type: software - description: >- - Die Open-Source-Cloud-Suite als sichere Kollaborations-Zentrale für - Forensik-Teams. Bietet verschlüsselte Dateifreigabe, Office-Integration - und Videokonferenzen DSGVO-konform. Der eingebaute SSO-Provider - vereinfacht das Identity Management für andere Forensik-Tools. Skaliert - vom Raspberry Pi für kleine Teams bis zur High-Availability-Installation. - domains: - - incident-response - - static-investigations - - malware-analysis - - fraud-investigation - - network-forensics - - mobile-forensics - - cloud-forensics - - ics-forensics - phases: - - reporting - platforms: - - Web - related_software: null - domain-agnostic-software: - - collaboration-general - skillLevel: novice - accessType: server-based - url: https://nextcloud.com/ - projectUrl: https://cloud.cc24.dev - license: AGPL-3.0 - knowledgebase: true - statusUrl: https://status.mikoshi.de/api/badge/11/status - tags: - - web-interface - - collaboration - - secure-sharing - - multi-user-support - - encrypted-reports - - rbac - - name: Gitea - icon: 🌐 - type: software - description: >- - Das leichtgewichtige Git-Repository für die Versionierung von - Forensik-Skripten und Dokumentation. Perfekt für die Verwaltung von - YARA-Rules, Volatility-Plugins und Analysetools im Team. Die eingebaute - CI/CD-Pipeline automatisiert Tool-Deployments und Qualitätschecks. - Ressourcenschonend genug für den Betrieb auf einem NAS oder Mini-Server. - domains: - - incident-response - - malware-analysis - phases: - - reporting - platforms: - - Web - related_software: null - domain-agnostic-software: - - collaboration-general - skillLevel: beginner - accessType: server-based - url: https://gitea.io/ - projectUrl: https://git.cc24.dev - license: MIT - knowledgebase: null - statusUrl: https://status.mikoshi.de/api/badge/18/status - tags: - - web-interface - - version-control - - git-integration - - collaboration - - multi-user-support - - automation-ready - - name: Binwalk - icon: 📦 - type: software - description: >- - Der Firmware-Flüsterer, der aus IoT-Geräten und Routern ihre Geheimnisse - extrahiert. Erkennt eingebettete Dateisysteme, komprimierte Archive und - versteckte Partitionen automatisch. Besonders wertvoll für die Analyse von - Embedded-Malware und Backdoors in Smart Devices. Die Magie liegt in den - Signaturen - mit eigenen Rules erweiterbar für spezielle Formate. - domains: - - malware-analysis - - ics-forensics - phases: - - examination - - analysis - platforms: - - Linux - - macOS - related_software: null - domain-agnostic-software: null - skillLevel: advanced - accessType: download - url: https://github.com/ReFirmLabs/binwalk - projectUrl: '' - license: MIT - knowledgebase: false - tags: - - command-line - - firmware-extraction - - signature-analysis - - file-carving - - entropy-check - - binary-decode - - name: LibreOffice - icon: 📦 - type: software - description: >- - Die freie Office-Suite, die mehr kann als nur Berichte schreiben. Calc - eignet sich hervorragend für die Analyse von CSV-Exporten und Log-Dateien. - Die Makro-Funktionen ermöglichen die Automatisierung wiederkehrender - Auswertungen. Als Standardformat für Abschlussberichte unverzichtbar und - überall einsetzbar. - domains: - - incident-response - - static-investigations - - malware-analysis - - fraud-investigation - - network-forensics - - mobile-forensics - - cloud-forensics - - ics-forensics - phases: - - examination - - analysis - - reporting - platforms: - - Windows - - Linux - - macOS - related_software: null - domain-agnostic-software: - - collaboration-general - skillLevel: novice - accessType: download - url: https://www.libreoffice.org/ - projectUrl: '' - license: Mozilla Public License Version 2.0 - knowledgebase: false - tags: - - gui - - reporting - - csv-export - - cross-platform - - macro-automation - - visualization - - name: Android Logical Imaging - icon: 📋 - type: method - description: >- - Es gibt immer wieder auch Fälle, wo man nicht allermodernste Mobilgeräte - knacken muss - der Großvater, der im Nachlass ein altes Samsung mit - wichtigen Daten hinterlassen hat. Es muss in diesn Fällen nicht der teure - Hersteller aus Israel sein. Die Androis-ADB-Shell bietet genug - Möglichkeiten, auch ohne viel Geld auszugeben an das logische Dateisystem - zu gelangen. Die Erfolgsaussichten sinken jedoch massiv bei neuren - Geräten. - domains: - - mobile-forensics - phases: - - data-collection - platforms: [] - skillLevel: advanced - accessType: null - url: https://claude.ai/public/artifacts/66785e1f-62bb-4eb9-9269-b08648161742 - projectUrl: null - license: null - knowledgebase: true - tags: - - command-line - - logical-copy - - mobile-app-data - - triage - - name: Microsoft Office 365 - type: software - description: >- - Der Industriestandard für professionelle Dokumentation mit nahtloser - Cloud-Integration. Excel's Power Query verwandelt komplexe - Forensik-Datensätze in aussagekräftige Visualisierungen. Die - Kollaborations-Features ermöglichen Echtzeit-Zusammenarbeit an Berichten. - Datenschutzbedenken bei Cloud-Speicherung sensibler Forensik-Daten sollten - bedacht werden. - domains: - - incident-response - - static-investigations - - malware-analysis - - fraud-investigation - - network-forensics - - mobile-forensics - - cloud-forensics - - ics-forensics - phases: - - examination - - analysis - - reporting - skillLevel: novice - url: https://www.office.com/ - icon: ☁️ - platforms: - - Windows - - macOS - - Web - accessType: commercial - license: Proprietary - knowledgebase: false - related_software: null - domain-agnostic-software: - - collaboration-general - tags: - - gui - - web-interface - - commercial - - collaboration - - visualization - - cloud-artifacts - - name: GraphSense - icon: 🌐 - type: software - description: >- - Die europäische Alternative zu Chainalysis mit Open-Source-Kern und Fokus - auf Privatsphäre. Clustering-Qualität noch nicht auf Chainalysis-Niveau, - dafür vollständige Kontrolle über die Daten. Die - Cassandra-Backend-Anforderungen machen Self-Hosting zur Herausforderung - für kleine Teams. Ideal für Organisationen, die Blockchain-Analysen ohne - US-Cloud-Abhängigkeit benötigen. - domains: - - static-investigations - - fraud-investigation - phases: - - analysis - - reporting - platforms: - - Web - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: server-based - url: https://graphsense.org/ - projectUrl: '' - license: MIT - knowledgebase: false - tags: - - web-interface - - blockchain-analysis - - opensource - - visualization - - anomaly-detection - - correlation-engine - - name: FTK Imager - icon: 📦 - type: software - description: >- - Der Oldtimer unter den Imaging-Tools, aber immer noch zuverlässig wie ein - Uhrwerk. Erstellt bit-genaue Kopien von Festplatten mit integrierter - Hash-Verifizierung für die Beweiskette. Die kostenlose Version reicht für - die meisten Aufgaben, unterstützt alle gängigen Image-Formate. Etwas - angestaubt in der Oberfläche, aber bewährt in tausenden Gerichtsverfahren. - Freeware, aber nicht open source. - domains: - - static-investigations - - incident-response - phases: - - data-collection - platforms: - - Windows - related_software: null - domain-agnostic-software: null - skillLevel: beginner - accessType: download - url: https://www.exterro.com/digital-forensics-software/ftk-imager - projectUrl: '' - license: Proprietary - knowledgebase: false - tags: - - gui - - physical-copy - - hashing - - court-admissible - - scenario:disk_imaging - - ewf-support - - name: Guymager - icon: 📦 - type: software - description: >- - Das schlanke Linux-Imaging-Tool mit Fokus auf Performance und - Zuverlässigkeit. Multi-threaded Design nutzt moderne CPUs optimal für - schnellstmögliche Akquisition. Unterstützt RAW, EWF und AFF Formate mit - simultaner Hash-Berechnung. Die spartanische Oberfläche täuscht über die - solide Technik unter der Haube hinweg. - domains: - - incident-response - - static-investigations - phases: - - data-collection - platforms: - - Linux - related_software: null - domain-agnostic-software: null - skillLevel: novice - accessType: download - url: https://guymager.sourceforge.io/ - projectUrl: '' - license: GPL-2.0 - knowledgebase: false - tags: - - gui - - physical-copy - - multithreaded - - hashing - - scenario:disk_imaging - - ewf-support - - name: Fuji - icon: 📦 - type: software - description: >- - Der Geheimtipp für macOS-Forensiker - Live-Imaging ohne - Kernel-Modifikationen. Umgeht geschickt Apples Sicherheitsmechanismen für - forensisch saubere Speicherabbilder. Besonders wertvoll da kommerzielle - Mac-Forensik-Tools rar und teuer sind. Die aktive Community sorgt für - Updates bei neuen macOS-Versionen. - domains: - - incident-response - - static-investigations - phases: - - data-collection - platforms: - - macOS - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: download - url: https://github.com/Lazza/Fuji - projectUrl: '' - license: GPL-3.0 - knowledgebase: false - tags: - - command-line - - live-acquisition - - physical-copy - - apfs - - scenario:disk_imaging - - zero-footprint - - name: ALEAPP - icon: 📦 - type: software - description: >- - Android-Forensik leicht gemacht - parst dutzende Apps und System-Artefakte - automatisch. Von WhatsApp-Chats über Standortdaten bis zu gelöschten - SQLite-Einträgen wird alles extrahiert. Die HTML-Reports sind gerichtsfest - aufbereitet mit Timeline und Kommunikationsanalyse. Teil der beliebten - LEAPP-Familie, ständig aktualisiert für neue Android-Versionen. - domains: - - incident-response - - static-investigations - - mobile-forensics - phases: - - examination - - analysis - platforms: - - Windows - - Linux - - macOS - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: download - url: https://github.com/abrignoni/ALEAPP - projectUrl: '' - license: MIT - knowledgebase: false - tags: - - command-line - - mobile-app-data - - artifact-parser - - timeline - - html-export - - sqlite-viewer - - name: iLEAPP - icon: 📦 - type: software - description: >- - Das iOS-Pendant zu ALEAPP mit Fokus auf Apple's geschlossenem Ökosystem. - Extrahiert versteckte Schätze aus iPhone-Backups inklusive gelöschter - Daten. Besonders stark bei der Analyse von iMessage, FaceTime und - Apple-eigenen Apps. Die regelmäßigen Updates halten Schritt mit - iOS-Änderungen und neuen Artefakten. - domains: - - incident-response - - static-investigations - - mobile-forensics - phases: - - examination - - analysis - platforms: - - Windows - - Linux - - macOS - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: download - url: https://github.com/abrignoni/iLEAPP - projectUrl: '' - license: MIT - knowledgebase: false - tags: - - command-line - - mobile-app-data - - artifact-parser - - timeline - - html-export - - deleted-file-recovery - - name: VLEAPP - icon: 📦 - type: software - description: >- - Die Zukunft der Fahrzeug-Forensik für vernetzte Autos und - Infotainment-Systeme. Parst CAN-Bus-Daten, GPS-Tracks und - Smartphone-Verbindungen aus modernen Fahrzeugen. Ein Nischen-Tool, aber - unverzichtbar bei Unfallrekonstruktionen und Kriminalfällen. Die - Unterstützung für verschiedene Hersteller wächst mit der Community. - domains: - - static-investigations - - ics-forensics - phases: - - examination - - analysis - platforms: - - Windows - - Linux - - macOS - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: download - url: https://github.com/abrignoni/VLEAPP - projectUrl: '' - license: MIT - knowledgebase: false - tags: - - command-line - - artifact-parser - - geolocation - - timeline - - html-export - - system-metadata - - name: Kali Linux - type: software - description: >- - Die wohlbekannte Hacker-Distribution mit über 600 vorinstallierten - Security-Tools. Von Forensik über Penetration Testing bis Reverse - Engineering ist alles an Bord. Die Live-Boot-Option ermöglicht forensische - Untersuchungen ohne Installation. Regelmäßige Updates halten die - Tool-Sammlung auf dem neuesten Stand. - domains: - - incident-response - - static-investigations - - malware-analysis - - fraud-investigation - - network-forensics - - mobile-forensics - - cloud-forensics - - ics-forensics - skillLevel: intermediate - url: https://kali.org/ - icon: 🖥 - platforms: - - OS - accessType: download - license: GPL-3.0 - knowledgebase: true - related_software: null - domain-agnostic-software: - - specific-os - tags: - - gui - - command-line - - cross-platform - - live-acquisition - - write-blocker - - opensource - - name: dd - icon: 📦 - type: software - description: >- - Das Unix-Urgestein für bit-genaues Kopieren von Datenträgern seit 1974. - Minimalistisch aber mächtig - der Goldstandard für forensische Disk-Images - unter Linux. Mit den richtigen Parametern (conv=noerror,sync) übersteht es - auch defekte Sektoren. Keine Schnörkel, keine GUI, nur pure - Zuverlässigkeit für Forensik-Puristen. - domains: - - incident-response - - static-investigations - phases: - - data-collection - platforms: - - Linux - - macOS - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: built-in - url: https://www.gnu.org/software/coreutils/dd - projectUrl: '' - license: GPL-3.0 - knowledgebase: false - tags: - - command-line - - physical-copy - - raw-image-support - - scenario:disk_imaging - - zero-footprint - - offline-mode - - name: dcfldd - icon: 📦 - type: software - description: >- - Die forensische Weiterentwicklung von dd mit eingebauter - Hash-Verifizierung. Zeigt Fortschrittsbalken, splittet große Images und - berechnet mehrere Hashes gleichzeitig. Von der DoD Computer Forensics Lab - entwickelt für professionelle Anforderungen. Die Status-Ausgabe während - langer Imaging-Vorgänge rettet Nerven und Zeit. - domains: - - incident-response - - static-investigations - phases: - - data-collection - platforms: - - Linux - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: download - url: https://github.com/resurrecting-open-source-projects/dcfldd - projectUrl: '' - license: GPL-2.0 - knowledgebase: false - tags: - - command-line - - physical-copy - - hashing - - scenario:disk_imaging - - compression - - integrity-check - - name: ewfacquire - icon: 📦 - type: software - description: >- - Das Kommandozeilen-Tool für Expert Witness Format (E01) Images mit - Kompression. Teil der libewf-Suite, erstellt gerichtsfeste Images mit - Metadaten und Chain of Custody. Besonders wertvoll für große Datenträger - dank effizienter Kompression. Die E01-Kompatibilität ermöglicht nahtlosen - Austausch mit kommerziellen Tools. - domains: - - incident-response - - static-investigations - phases: - - data-collection - platforms: - - Linux - - macOS - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: download - url: https://github.com/libyal/libewf - projectUrl: '' - license: LGPL-3.0 - knowledgebase: false - tags: - - command-line - - physical-copy - - ewf-support - - compression - - chain-of-custody - - scenario:disk_imaging - - name: PhotoRec - icon: 📦 - type: software - description: >- - Der Datenretter in der Not - findet gelöschte Dateien ohne - Dateisystem-Strukturen. Signature-basiertes Carving für über 300 - Dateiformate von Fotos bis Office-Dokumenten. Arbeitet read-only und ist - damit forensisch sauber für die Beweissicherung. Die Schwestersoftware - TestDisk repariert zusätzlich beschädigte Partitionen. - domains: - - incident-response - - static-investigations - - fraud-investigation - phases: - - examination - platforms: - - Windows - - Linux - - macOS - related_software: null - domain-agnostic-software: null - skillLevel: beginner - accessType: download - url: https://www.cgsecurity.org/wiki/PhotoRec - projectUrl: '' - license: GPL-2.0 - knowledgebase: false - tags: - - gui - - file-carving - - deleted-file-recovery - - scenario:file_recovery - - signature-analysis - - cross-platform - - name: Kismet - icon: 📦 - type: software - description: >- - Der WLAN-Schnüffler der Extraklasse für Wireless-Forensik und - Sicherheitsaudits. Passives Monitoring deckt versteckte Netzwerke, Rogue - Access Points und Client-Geräte auf. Die GPS-Integration ermöglicht - War-Driving mit präziser Standort-Zuordnung. Unterstützt moderne Standards - wie 802.11ac und Bluetooth LE Sniffing. - domains: - - incident-response - - network-forensics - phases: - - data-collection - - examination - platforms: - - Linux - related_software: null - domain-agnostic-software: null - skillLevel: advanced - accessType: download - url: https://www.kismetwireless.net/ - projectUrl: '' - license: GPL-2.0 - knowledgebase: false - tags: - - gui - - pcap-capture - - geolocation - - live-acquisition - - anomaly-detection - - wireless-analysis - - name: OSFMount - icon: 📦 - type: software - description: >- - Mountet Disk-Images als virtuelle Laufwerke unter Windows für komfortable - Analyse. Unterstützt alle gängigen Formate von RAW über E01 bis zu - VM-Images. Der schreibgeschützte Modus garantiert forensische Integrität - der Beweise. Besonders praktisch für schnelle Triage ohne vollständige - Forensik-Suite. Freeware, aber nicht open source. - domains: - - incident-response - - static-investigations - phases: - - examination - platforms: - - Windows - related_software: null - domain-agnostic-software: null - skillLevel: beginner - accessType: download - url: https://www.osforensics.com/tools/mount-disk-images.html - projectUrl: '' - license: Proprietary - knowledgebase: false - tags: - - gui - - virtual-machine - - ewf-support - - raw-image-support - - write-blocker - - triage - - name: Thumbcache Viewer - icon: 📦 - type: software - description: >- - Spezialist für Windows Thumbnail-Caches mit Zugriff auf gelöschte - Bildvorschauen. Extrahiert Thumbnails aus thumbcache_*.db Dateien - inklusive EXIF-Zeitstempel. Unbezahlbar für den Nachweis, dass Bilder auf - einem System vorhanden waren. Die einfache GUI macht es auch für weniger - technische Ermittler zugänglich. - domains: - - static-investigations - - fraud-investigation - phases: - - examination - - analysis - platforms: - - Windows - related_software: null - domain-agnostic-software: null - skillLevel: beginner - accessType: download - url: https://thumbcacheviewer.github.io/ - projectUrl: '' - license: GPL-3.0 - knowledgebase: false - tags: - - gui - - deleted-file-recovery - - metadata-parser - - triage - - system-metadata - - thumbnail-analysis - - name: RegRipper - icon: 📦 - type: software - description: >- - Der scenario:windows-registry-Experte mit hunderten Plugins für - automatisierte Analyse. Extrahiert USB-Historie, installierte Software, - Benutzeraktivitäten und Malware-Spuren. Die Plugin-Architektur erlaubt - maßgeschneiderte Untersuchungen für spezielle Fälle. Spart Stunden - manueller Registry-Analyse und findet oft übersehene Artefakte. - domains: - - incident-response - - static-investigations - - malware-analysis - phases: - - examination - - analysis - platforms: - - Windows - - Linux - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: download - url: https://github.com/keydet89/RegRipper3.0 - projectUrl: '' - license: MIT - knowledgebase: false - tags: - - command-line - - registry-hives - - plugin-support - - scenario:windows-registry - - usb-history - - artifact-parser - - name: YARA - type: software - description: >- - Die Pattern-Matching-Engine für Malware-Jäger und Threat Hunter. - Regelbasierte Suche nach Strings, Byte-Sequenzen und regulären Ausdrücken. - De-facto Standard für Malware-Signaturen mit riesiger - Community-Rule-Sammlung. Integration in viele Forensik-Tools macht es zum - Marktstandard. - domains: - - incident-response - - malware-analysis - phases: - - examination - - analysis - skillLevel: intermediate - url: https://virustotal.github.io/yara/ - icon: 🛠 - platforms: - - Windows - - Linux - - macOS - accessType: download - license: BSD-3-Clause - knowledgebase: false - tags: - - command-line - - yara-scan - - signature-analysis - - regex-search - - cross-platform - - memory-signatures - - name: Strings - icon: 📦 - type: software - description: >- - Das simple Tool mit großer Wirkung - extrahiert lesbare Texte aus - Binärdateien. Findet URLs, Passwörter, Pfade und andere - ASCII/Unicode-Strings in Malware. Die Ausgabe gibt oft erste Hinweise auf - Funktionalität und Herkunft. In Kombination mit grep ein mächtiges - Werkzeug für schnelle Triage. - domains: - - incident-response - - malware-analysis - phases: - - examination - platforms: - - Windows - - Linux - - macOS - related_software: null - domain-agnostic-software: null - skillLevel: novice - accessType: built-in - url: https://docs.microsoft.com/en-us/sysinternals/downloads/strings - projectUrl: '' - license: Proprietary/GPL - knowledgebase: false - tags: - - command-line - - string-search - - binary-decode - - triage - - cross-platform - - fast-scan - - name: MaxMind GeoIP - type: software - description: >- - Die Geolocation-Datenbank für IP-Adressen-Zuordnung zu Ländern und - Städten. Unverzichtbar für die Analyse von Netzwerk-Logs und - Angriffsherkunft. Die kostenlose GeoLite2-Version reicht für die meisten - forensischen Zwecke. API-Integration ermöglicht automatisierte - Anreicherung großer Datensätze. - domains: - - incident-response - - fraud-investigation - - network-forensics - phases: - - analysis - skillLevel: beginner - url: https://www.maxmind.com/ - icon: 🗄 - platforms: - - Windows - - Linux - - macOS - accessType: download - license: GeoLite2 EULA / Commercial - knowledgebase: false - tags: - - api - - geolocation - - data-enrichment - - cross-platform - - automation-ready - - offline-mode - - name: SIFT Workstation - type: software - description: >- - SANS' kuratierte Ubuntu-Distribution vollgepackt mit Forensik-Tools und - Skripten. Über 500 Tools vorinstalliert, vorkonfiguriert und dokumentiert - für sofortigen Einsatz. Die begleitenden Trainingsmaterialien machen es - zur idealen Lernumgebung. Regelmäßige Updates vom SANS-Team halten die - Tool-Sammlung aktuell. - domains: - - incident-response - - static-investigations - - malware-analysis - - network-forensics - - mobile-forensics - skillLevel: intermediate - url: https://www.sans.org/tools/sift-workstation/ - icon: 🖥 - platforms: - - OS - accessType: download - license: Free / Mixed - knowledgebase: false - related_software: null - domain-agnostic-software: - - specific-os - tags: - - gui - - command-line - - cross-platform - - write-blocker - - live-acquisition - - signature-updates - - name: Tsurugi Linux - type: software - description: >- - Die von Forensikern entwickelte Forensik-Distribution mit Fokus auf - Benutzerfreundlichkeit. Besonders stark bei Mobile- und Malware-Forensik - mit vielen spezialisierten Tools. Die DFIR-Menüstruktur gruppiert Tools - logisch nach Untersuchungsphasen. Läuft performant auch auf älterer - Hardware dank optimiertem Kernel. Hat einen integrierten Write-Blocker und - existiert in einer reduzierten "Acquire"-Version, die Imaging als - Live-System-Umgebung ermöglicht. - domains: - - incident-response - - static-investigations - - malware-analysis - - mobile-forensics - skillLevel: intermediate - url: https://tsurugi-linux.org/ - icon: 🖥 - platforms: - - OS - accessType: download - license: GPL / Mixed - knowledgebase: false - related_software: null - domain-agnostic-software: - - specific-os - tags: - - gui - - write-blocker - - live-acquisition - - triage - - forensic-snapshots - - selective-imaging - - name: Parrot Security OS - type: software - description: >- - Die Datenschutz-fokussierte Alternative zu Kali mit Forensik-Werkzeugen. - AnonSurf für anonymisierte Ermittlungen und verschlüsselte Kommunikation - eingebaut. Ressourcenschonender als Kali, läuft flüssig auch in VMs mit - wenig RAM. Die rolling-release Natur hält Tools aktuell ohne - Neuinstallation. - domains: - - incident-response - - static-investigations - - malware-analysis - - network-forensics - skillLevel: intermediate - url: https://parrotsec.org/ - icon: 🖥 - platforms: - - OS - accessType: download - license: GPL-3.0 - knowledgebase: false - related_software: null - domain-agnostic-software: - - specific-os - tags: - - gui - - command-line - - live-acquisition - - encrypted-traffic - - secure-sharing - - anonymous-analysis - - name: Eric Zimmerman Tools - icon: 📦 - type: software - description: >- - Die Tool-Sammlung des Windows-Forensik-Gurus für Artefakt-Analyse. Von - ShellBags über Prefetch bis zu Amcache - jedes Tool ein Spezialist. Die - Timeline Explorer GUI vereint alle Ausgaben in einer durchsuchbaren - Ansicht. Ständige Updates für neue Windows-Versionen und Cloud-Artefakte. - domains: - - incident-response - - static-investigations - phases: - - examination - - analysis - platforms: - - Windows - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: download - url: https://ericzimmerman.github.io/ - projectUrl: '' - license: MIT - knowledgebase: false - tags: - - gui - - artifact-parser - - shellbags - - prefetch-viewer - - timeline - - jumplist - - name: Impacket - icon: 📦 - type: software - description: >- - Python-Bibliothek für Netzwerk-Protokoll-Manipulation und - Windows-Forensik. Ermöglicht Remote-Zugriff auf Windows-Systeme für - Live-Forensik und IR. Die Skript-Sammlung deckt von SMB-Enumeration bis - Kerberos-Attacks alles ab. Unverzichtbar für die Untersuchung von Lateral - Movement und scenario:persistence. - domains: - - incident-response - - network-forensics - - malware-analysis - phases: - - data-collection - - examination - platforms: - - Linux - - Windows - - macOS - related_software: null - domain-agnostic-software: null - skillLevel: advanced - accessType: download - url: https://github.com/SecureAuthCorp/impacket - projectUrl: '' - license: Apache 2.0 - knowledgebase: false - tags: - - command-line - - remote-collection - - scripting - - scenario:persistence - - protocol-decode - - live-process-view - - name: RSA NetWitness - icon: 📦 - type: software - description: >- - Enterprise-Grade SIEM und Forensik-Plattform für große Netzwerke. - Korreliert Logs, Packets und Endpoints für 360-Grad-Sicht auf Incidents. - Die Hunting-Funktionen nutzen ML für Anomalie-Erkennung in Petabytes von - Daten. Lizenzkosten im siebenstelligen Bereich für vollständige - Deployment. - domains: - - incident-response - - network-forensics - - malware-analysis - phases: - - data-collection - - examination - - analysis - platforms: - - Web - related_software: null - domain-agnostic-software: null - skillLevel: expert - accessType: commercial - url: https://www.netwitness.com/ - projectUrl: '' - license: Proprietary - knowledgebase: false - tags: - - web-interface - - commercial - - correlation-engine - - anomaly-detection - - distributed - - threat-scoring - - name: X-Ways Forensics - icon: 📦 - type: software - description: >- - Der deutsche Präzisionsskalpell unter den Forensik-Tools mit - unübertroffener Effizienz. Besonders geschätzt für blitzschnelle Searches - in Multi-Terabyte-Images. Die spartanische Oberfläche schreckt Einsteiger - ab, Profis schwören darauf. Deutlich günstiger als US-Konkurrenz bei - vergleichbarer Funktionalität. - domains: - - static-investigations - - incident-response - phases: - - examination - - analysis - platforms: - - Windows - related_software: null - domain-agnostic-software: null - skillLevel: expert - accessType: commercial - url: https://www.x-ways.net/forensics/ - projectUrl: '' - license: Proprietary - knowledgebase: false - tags: - - gui - - commercial - - keyword-search - - fast-scan - - court-admissible - - dongle-license - - name: EnCase - icon: 📦 - type: software - description: >- - Der Veteran der kommerziellen Forensik-Tools mit 25 Jahren - Gerichtserfahrung. EnScript-Programmierung ermöglicht maßgeschneiderte - Automatisierung. Die Zertifizierung (EnCE) ist in vielen Behörden - Einstellungsvoraussetzung. - domains: - - static-investigations - - incident-response - phases: - - data-collection - - examination - - analysis - - reporting - platforms: - - Windows - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: commercial - url: https://www.opentext.com/products/encase-forensic - projectUrl: '' - license: Proprietary - knowledgebase: false - tags: - - gui - - commercial - - scripting - - court-admissible - - case-management - - dongle-license - - name: FRED - icon: 🔧 - type: software - description: >- - Forensic Recovery of Evidence Device - spezialisierte Hardware für - Imaging. Kombiniert Write-Blocker, Imager und Analyse-Workstation in einem - System. Die Ultrabay-Technologie ermöglicht Hot-Swap mehrerer Drives - gleichzeitig. Für High-Volume-Labs die Investition wert, für - Gelegenheitsnutzer Overkill. - domains: - - static-investigations - - incident-response - phases: - - data-collection - platforms: - - Hardware - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: commercial - url: https://www.digitalintelligence.com/products/fred/ - projectUrl: '' - license: Proprietary - knowledgebase: false - tags: - - gui - - commercial - - write-blocker - - physical-copy - - scenario:disk_imaging - - multithreaded - - name: ICSpector - type: software - description: >- - Ein von Microsoft entwickeltes Open-Source-Framework, das eine besondere - Nische bedient: Die Datensammlung bei Industriekontrollsystemen und - PLC-Metadaten. - domains: - - ics-forensics - phases: - - data-collection - - examination - - analysis - skillLevel: advanced - url: https://github.com/microsoft/ics-forensics-tools - icon: 🛠 - platforms: - - Windows - - Linux - - macOS - accessType: download - license: MIT - knowledgebase: false - tags: - - command-line - - system-metadata - - artifact-parser - - cross-platform - - scripting - - opensource - - name: Live Memory Acquisition Procedure - icon: 📋 - type: method - description: >- - Standardisiertes Verfahren zur forensisch korrekten Akquisition des - Arbeitsspeichers laufender Systeme. Umfasst Bewertung der - Systemkritikalität, Auswahl geeigneter Tools, Minimierung der - System-Kontamination und Dokumentation der Chain of Custody. Essentiell - für die Sicherung flüchtiger Beweise wie Prozess-Informationen, - Netzwerkverbindungen und Verschlüsselungsschlüssel. - domains: - - incident-response - - static-investigations - - malware-analysis - phases: - - data-collection - platforms: [] - related_software: null - domain-agnostic-software: null - skillLevel: advanced - accessType: null - url: >- - https://www.nist.gov/publications/guide-integrating-forensic-techniques-incident-response - projectUrl: null - license: null - knowledgebase: false - tags: - - live-acquisition - - scenario:memory_dump - - chain-of-custody - - standards-compliant - - name: Rapid Incident Response Triage on macOS - icon: 📋 - type: method - description: >- - Spezialisierte Methodik für die schnelle Incident Response auf - macOS-Systemen mit Fokus auf die Sammlung kritischer forensischer - Artefakte in unter einer Stunde. Adressiert die Lücke zwischen - Windows-zentrierten IR-Prozessen und macOS-spezifischen - Sicherheitsarchitekturen. Nutzt Tools wie Aftermath für effiziente - Datensammlung ohne zeitaufwändige Full-Disk-Images. Besonders wertvoll für - Unternehmensumgebungen mit gemischten Betriebssystem-Landschaften. - domains: - - incident-response - - static-investigations - - malware-analysis - phases: - - data-collection - - examination - platforms: [] - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: null - url: >- - https://www.sans.org/white-papers/rapid-incident-response-on-macos-actionable-insights-under-hour/ - projectUrl: null - license: null - knowledgebase: null - tags: - - triage - - fast-scan - - apfs - - selective-imaging - - name: Aftermath - icon: 📦 - type: software - description: >- - Jamf's Open-Source-Tool für die schnelle Sammlung forensischer Artefakte - auf macOS-Systemen. Sammelt kritische Daten wie Prozessinformationen, - Netzwerkverbindungen, Dateisystem-Metadaten und Systemkonfigurationen ohne - Full-Disk-Imaging. Speziell entwickelt für die Rapid-Response-Triage in - Enterprise-Umgebungen mit macOS-Geräten. Normalisiert Zeitstempel und - erstellt durchsuchbare Ausgabeformate für effiziente Analyse. - domains: - - incident-response - - static-investigations - - malware-analysis - phases: - - data-collection - - examination - platforms: - - macOS - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: download - url: https://github.com/jamf/aftermath/ - projectUrl: '' - license: Apache 2.0 - knowledgebase: false - tags: - - command-line - - triage - - system-metadata - - apfs - - time-normalization - - structured-output - - name: Regular Expressions (Regex) - icon: 🔤 - type: concept - description: >- - Pattern matching language for searching, extracting, and manipulating - text. Essential for log analysis, malware signature creation, and data - extraction from unstructured sources. Forms the backbone of many forensic - tools and custom scripts. - domains: - - incident-response - - malware-analysis - - network-forensics - - fraud-investigation - phases: - - examination - - analysis - platforms: [] - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: null - url: https://regexr.com/ - projectUrl: null - license: null - knowledgebase: true - tags: - - regex-search - - string-search - - log-parser - - automation-ready - - name: SQL Query Fundamentals - icon: 🗃️ - type: concept - description: >- - Structured Query Language for database interrogation and analysis. - Critical for examining application databases, SQLite artifacts from - mobile devices, and browser history databases. Enables complex - correlation and filtering of large datasets. - domains: - - incident-response - - mobile-forensics - - fraud-investigation - - cloud-forensics - phases: - - examination - - analysis - platforms: [] - related_software: null - domain-agnostic-software: null - skillLevel: intermediate - accessType: null - url: https://www.w3schools.com/sql/ - projectUrl: null - license: null - knowledgebase: false - tags: - - sqlite-viewer - - correlation-engine - - mobile-app-data - - browser-history - - name: Hash Functions & Digital Signatures - icon: 🔐 - type: concept - description: >- - Cryptographic principles for data integrity verification and - authentication. Fundamental for evidence preservation, malware - identification, and establishing chain of custody. Understanding of MD5, - SHA, and digital signature validation. - domains: - - incident-response - - static-investigations - - malware-analysis - - cloud-forensics - phases: - - data-collection - - examination - platforms: [] - related_software: null - domain-agnostic-software: null - skillLevel: advanced - accessType: null - url: https://en.wikipedia.org/wiki/Cryptographic_hash_function - projectUrl: null - license: null - knowledgebase: false - tags: - - hashing - - integrity-check - - chain-of-custody - - standards-compliant - - name: MSAB XRY - type: software - description: >- - Die Smartphone-Extraktionssoftware der Firma MSAB positioniert sich als - Konkurrenz zum Marktführer Cellebrite. MSAB wirbt mit dem Imaging selbst - neuester Android- und IOS-Geräte. - skillLevel: beginner - url: https://www.msab.com/product/xry-extract/ - icon: 📦 - domains: - - mobile-forensics - phases: - - data-collection - platforms: - - Windows - accessType: download - license: Proprietary - knowledgebase: false - tags: - - gui - - commercial - - mobile-app-data - - physical-copy - - decryption - - court-admissible -domains: - - id: incident-response - name: Incident Response & Breach-Untersuchung - - id: static-investigations - name: Datenträgerforensik & Ermittlungen - - id: malware-analysis - name: Malware-Analyse & Reverse Engineering - - id: fraud-investigation - name: Betrugs- & Finanzkriminalität - - id: network-forensics - name: Netzwerk-Forensik & Traffic-Analyse - - id: mobile-forensics - name: Mobile Geräte & App-Forensik - - id: cloud-forensics - name: Cloud & Virtuelle Umgebungen - - id: ics-forensics - name: Industrielle Kontrollsysteme (ICS/SCADA) -phases: - - id: data-collection - name: Datensammlung - description: Imaging, Acquisition, Remote Collection Tools - - id: examination - name: Auswertung - description: Parsing, Extraction, Initial Analysis Tools - - id: analysis - name: Analyse - description: Deep Analysis, Correlation, Visualization Tools - - id: reporting - name: Bericht & Präsentation - description: >- - Documentation, Visualization, Presentation Tools (z.B. QGIS für Geodaten, - Timeline-Tools) -domain-agnostic-software: - - id: collaboration-general - name: Übergreifend & Kollaboration - description: Cross-cutting tools and collaboration platforms - - id: specific-os - name: Betriebssysteme - description: Operating Systems which focus on forensics -scenarios: - - id: scenario:disk_imaging - icon: 💽 - friendly_name: Datenträgerabbild - - id: scenario:memory_dump - icon: 🧠 - friendly_name: RAM-Analyse - - id: scenario:file_recovery - icon: 🗑️ - friendly_name: Datenrettung - - id: scenario:browser_history - icon: 🌍 - friendly_name: Browser-Spuren - - id: scenario:credential_theft - icon: 🛑 - friendly_name: Zugangsdiebstahl - - id: scenario:remote_access - icon: 📡 - friendly_name: Fernzugriffe - - id: scenario:persistence - icon: ♻️ - friendly_name: Persistenzsuche - - id: scenario:windows-registry - icon: 📜 - friendly_name: Registry-Analyse \ No newline at end of file diff --git a/src/data/tools.yaml b/src/data/tools.yaml index d9f1f70..73e9779 100644 --- a/src/data/tools.yaml +++ b/src/data/tools.yaml @@ -22,15 +22,13 @@ tools: - analysis tags: - gui - - filesystem - - timeline-analysis - - carving - - artifact-extraction + - timeline + - file-carving - keyword-search - - scenario:file_recovery - - scenario:browser_history + - plugin-support + - opensource related_concepts: - - SQL Query Fundamentals + - SQL - Hash Functions & Digital Signatures platforms: - Windows @@ -62,15 +60,14 @@ tools: scenarios: - scenario:memory_dump tags: - - commandline - - memory - - malware-analysis - - artifact-extraction + - command-line + - plugin-support - scripting - - process-analysis + - memory-timeline + - scenario:memory_dump + - opensource related_concepts: - Hash Functions & Digital Signatures - - Regular Expressions (Regex) platforms: - Windows - Linux @@ -98,7 +95,6 @@ tools: - reporting platforms: - Web - related_concepts: null related_software: null domain-agnostic-software: - collaboration-general @@ -108,14 +104,16 @@ tools: projectUrl: '' license: Community Edition (Free) / Commercial knowledgebase: false + statusUrl: https://uptime.example.lab/api/badge/1/status tags: - - web-based + - web-interface - case-management - collaboration - api - - workflow-automation - - incident-tracking - statusUrl: https://uptime.example.lab/api/badge/1/status + - workflow + - multi-user-support + related_concepts: + - Digital Evidence Chain of Custody - name: MISP icon: 🌐 type: software @@ -143,14 +141,14 @@ tools: projectUrl: https://misp.cc24.dev license: AGPL-3.0 knowledgebase: true - tags: - - web-based - - threat-intelligence - - api - - correlation - - ioc-sharing - - automation statusUrl: https://status.mikoshi.de/api/badge/34/status + tags: + - web-interface + - IOC-matching + - taxonomies + - api + - threat-scoring + - collaboration - name: Timesketch icon: 📦 type: software @@ -170,9 +168,6 @@ tools: - reporting platforms: - Web - related_concepts: - - Regular Expressions (Regex) - - SQL Query Fundamentals related_software: null domain-agnostic-software: null skillLevel: intermediate @@ -181,14 +176,15 @@ tools: projectUrl: '' license: Apache 2.0 knowledgebase: false - tags: - - web-based - - timeline-analysis - - visualization - - collaboration - - logs - - correlation statusUrl: https://uptime.example.lab/api/badge/3/status + tags: + - web-interface + - timeline + - collaboration + - visualization + - timeline-correlation + - timeline-view + related_concepts: null - name: Wireshark icon: 📦 type: software @@ -212,7 +208,6 @@ tools: - Windows - Linux - macOS - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: intermediate @@ -223,11 +218,11 @@ tools: knowledgebase: false tags: - gui - - network-traffic - - packet-capture - - protocol-analysis - - visualization - - filtering + - protocol-decode + - packet-filtering + - pcap-capture + - cross-platform + - session-reconstruction - name: Magnet AXIOM icon: 📦 type: software @@ -250,7 +245,6 @@ tools: - reporting platforms: - Windows - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: beginner @@ -261,11 +255,11 @@ tools: knowledgebase: false tags: - gui - - cloud-data - - mobile-data - - artifact-extraction - - automated-analysis - - reporting + - commercial + - cloud-artifacts + - mobile-app-data + - automation-ready + - court-admissible - name: Cellebrite UFED icon: 📦 type: software @@ -285,7 +279,6 @@ tools: - analysis platforms: - Windows - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: beginner @@ -296,11 +289,14 @@ tools: knowledgebase: false tags: - gui - - mobile-data + - commercial + - mobile-app-data - decryption - - artifact-extraction - - hardware-interface - - automated-analysis + - physical-copy + - dongle-license + related_concepts: + - SQL + - Digital Evidence Chain of Custody - name: Cuckoo Sandbox 3 icon: 🌐 type: software @@ -320,7 +316,6 @@ tools: platforms: - Linux - Web - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: advanced @@ -330,12 +325,12 @@ tools: license: GPL-3.0 knowledgebase: false tags: - - web-based - - malware-analysis + - web-interface + - sandboxing - behavioral-analysis - - api - - virtualization - - automated-analysis + - malware-unpacking + - virtual-analysis + - sandbox-reports - name: Ghidra icon: 📦 type: software @@ -355,7 +350,6 @@ tools: - Windows - Linux - macOS - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: expert @@ -366,11 +360,11 @@ tools: knowledgebase: false tags: - gui - - reverse-engineering - - binary - - decompilation + - binary-decode + - malware-unpacking + - cross-platform - scripting - - static-analysis + - opensource - name: Plaso (log2timeline) icon: 📦 type: software @@ -393,7 +387,6 @@ tools: - Windows - Linux - macOS - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: intermediate @@ -403,12 +396,14 @@ tools: license: Apache 2.0 knowledgebase: false tags: - - commandline - - logs - - timeline-analysis - - parsing - - artifact-extraction - - scripting + - command-line + - timeline + - log-parser + - cross-platform + - timeline-merge + - time-normalization + related_concepts: + - Regular Expressions (Regex) - name: CyberChef icon: 🌐 type: software @@ -428,7 +423,6 @@ tools: - analysis platforms: - Web - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: beginner @@ -438,12 +432,14 @@ tools: license: Apache 2.0 knowledgebase: false tags: - - web-based - - decoding - - encryption - - data-transformation - - visualization - - parsing + - web-interface + - binary-decode + - decryption + - malware-unpacking + - string-search + - triage + related_concepts: + - Regular Expressions (Regex) - name: Velociraptor icon: 🌐 type: software @@ -470,7 +466,6 @@ tools: - Linux - macOS - Web - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: advanced @@ -479,14 +474,14 @@ tools: projectUrl: https://raptor.cc24.dev license: Apache 2.0 knowledgebase: true - tags: - - web-based - - endpoint-monitoring - - artifact-extraction - - scripting - - live-forensics - - hunting statusUrl: https://status.mikoshi.de/api/badge/33/status + tags: + - web-interface + - remote-collection + - distributed + - scripting + - cross-platform + - triage - name: GRR Rapid Response icon: 🌐 type: software @@ -510,7 +505,6 @@ tools: - Linux - macOS - Web - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: advanced @@ -520,12 +514,12 @@ tools: license: Apache 2.0 knowledgebase: false tags: - - web-based - - endpoint-monitoring - - artifact-extraction + - web-interface + - remote-collection + - distributed - api - - live-forensics - - fleet-management + - cross-platform + - triage - name: Arkime icon: 📦 type: software @@ -547,7 +541,6 @@ tools: - analysis platforms: - Linux - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: expert @@ -557,12 +550,12 @@ tools: license: Apache 2.0 knowledgebase: false tags: - - web-based - - network-traffic - - packet-capture - - indexing - - api - - big-data + - web-interface + - pcap-capture + - elasticsearch-integration + - historical-analysis + - packet-filtering + - distributed - name: NetworkMiner icon: 📦 type: software @@ -583,7 +576,6 @@ tools: platforms: - Windows - Linux - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: beginner @@ -594,11 +586,11 @@ tools: knowledgebase: false tags: - gui - - network-traffic - - file-extraction - - visualization - - parsing + - file-reconstruction + - pcap-capture - session-reconstruction + - dns-resolution + - triage - name: ExifTool icon: 📦 type: software @@ -621,8 +613,6 @@ tools: - Windows - Linux - macOS - related_concepts: - - Regular Expressions (Regex) related_software: null domain-agnostic-software: null skillLevel: novice @@ -632,12 +622,12 @@ tools: license: Perl Artistic License knowledgebase: false tags: - - commandline - - metadata - - parsing - - artifact-extraction - - scripting - - batch-processing + - command-line + - metadata-parser + - geolocation + - cross-platform + - triage + - system-metadata - name: Chainalysis icon: 📦 type: software @@ -656,7 +646,6 @@ tools: - reporting platforms: - Web - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: intermediate @@ -666,12 +655,12 @@ tools: license: Proprietary knowledgebase: false tags: - - web-based - - blockchain + - web-interface + - blockchain-analysis + - commercial - visualization - - correlation - - api - - reporting + - anomaly-detection + - threat-scoring - name: Neo4j icon: 🌐 type: software @@ -696,8 +685,6 @@ tools: - Linux - macOS - Web - related_concepts: - - SQL Query Fundamentals related_software: null domain-agnostic-software: null skillLevel: intermediate @@ -706,14 +693,14 @@ tools: projectUrl: https://graph.cc24.dev license: GPL-3.0 / Commercial knowledgebase: false - tags: - - web-based - - visualization - - graph-analysis - - api - - correlation - - query-language statusUrl: https://status.mikoshi.de/api/badge/32/status + tags: + - web-interface + - graph-view + - visualization + - correlation-engine + - cross-platform + - api - name: QGIS icon: 📦 type: software @@ -734,7 +721,6 @@ tools: - Windows - Linux - macOS - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: intermediate @@ -745,11 +731,11 @@ tools: knowledgebase: false tags: - gui - - geospatial + - geolocation - visualization - - mapping + - heatmap - scripting - - reporting + - cross-platform - name: Nextcloud icon: 🌐 type: software @@ -772,7 +758,6 @@ tools: - reporting platforms: - Web - related_concepts: null related_software: null domain-agnostic-software: - collaboration-general @@ -782,14 +767,14 @@ tools: projectUrl: https://cloud.cc24.dev license: AGPL-3.0 knowledgebase: true - tags: - - web-based - - collaboration - - file-sharing - - api - - encryption - - document-management statusUrl: https://status.mikoshi.de/api/badge/11/status + tags: + - web-interface + - collaboration + - secure-sharing + - multi-user-support + - encrypted-reports + - rbac - name: Gitea icon: 🌐 type: software @@ -806,7 +791,6 @@ tools: - reporting platforms: - Web - related_concepts: null related_software: null domain-agnostic-software: - collaboration-general @@ -816,14 +800,14 @@ tools: projectUrl: https://git.cc24.dev license: MIT knowledgebase: null - tags: - - web-based - - version-control - - collaboration - - api - - documentation - - ci-cd statusUrl: https://status.mikoshi.de/api/badge/18/status + tags: + - web-interface + - version-control + - git-integration + - collaboration + - multi-user-support + - automation-ready - name: Binwalk icon: 📦 type: software @@ -842,7 +826,6 @@ tools: platforms: - Linux - macOS - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: advanced @@ -852,12 +835,12 @@ tools: license: MIT knowledgebase: false tags: - - commandline - - firmware - - carving - - binary - - extraction - - scripting + - command-line + - firmware-extraction + - signature-analysis + - file-carving + - entropy-check + - binary-decode - name: LibreOffice icon: 📦 type: software @@ -884,7 +867,6 @@ tools: - Windows - Linux - macOS - related_concepts: null related_software: null domain-agnostic-software: - collaboration-general @@ -896,11 +878,11 @@ tools: knowledgebase: false tags: - gui - - document-creation - - spreadsheet-analysis - reporting - - data-processing - - scripting + - csv-export + - cross-platform + - macro-automation + - visualization - name: Android Logical Imaging icon: 📋 type: method @@ -923,11 +905,11 @@ tools: projectUrl: null license: null knowledgebase: true - related_concepts: null tags: - - imaging - - filesystem - - hardware-interface + - command-line + - logical-copy + - mobile-app-data + - triage - name: Microsoft Office 365 type: software description: >- @@ -952,13 +934,6 @@ tools: - reporting skillLevel: novice url: https://www.office.com/ - tags: - - gui - - document-creation - - spreadsheet-analysis - - collaboration - - cloud-based - - reporting icon: ☁️ platforms: - Windows @@ -967,10 +942,16 @@ tools: accessType: commercial license: Proprietary knowledgebase: false - related_concepts: null related_software: null domain-agnostic-software: - collaboration-general + tags: + - gui + - web-interface + - commercial + - collaboration + - visualization + - cloud-artifacts - name: GraphSense icon: 🌐 type: software @@ -989,7 +970,6 @@ tools: - reporting platforms: - Web - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: intermediate @@ -999,12 +979,12 @@ tools: license: MIT knowledgebase: false tags: - - web-based - - blockchain + - web-interface + - blockchain-analysis + - opensource - visualization - - graph-analysis - - api - - big-data + - anomaly-detection + - correlation-engine - name: FTK Imager icon: 📦 type: software @@ -1022,8 +1002,6 @@ tools: - data-collection platforms: - Windows - related_concepts: - - Hash Functions & Digital Signatures related_software: null domain-agnostic-software: null skillLevel: beginner @@ -1034,11 +1012,14 @@ tools: knowledgebase: false tags: - gui - - imaging - - filesystem + - physical-copy - hashing - - verification - - write-blocking + - court-admissible + - scenario:disk_imaging + - ewf-support + related_concepts: + - Hash Functions & Digital Signatures + - Digital Evidence Chain of Custody - name: Guymager icon: 📦 type: software @@ -1055,8 +1036,6 @@ tools: - data-collection platforms: - Linux - related_concepts: - - Hash Functions & Digital Signatures related_software: null domain-agnostic-software: null skillLevel: novice @@ -1067,11 +1046,14 @@ tools: knowledgebase: false tags: - gui - - imaging - - filesystem + - physical-copy + - multithreaded - hashing - - multi-threading - - write-blocking + - scenario:disk_imaging + - ewf-support + related_concepts: + - Hash Functions & Digital Signatures + - Digital Evidence Chain of Custody - name: Fuji icon: 📦 type: software @@ -1088,7 +1070,6 @@ tools: - data-collection platforms: - macOS - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: intermediate @@ -1098,12 +1079,12 @@ tools: license: GPL-3.0 knowledgebase: false tags: - - commandline - - imaging - - memory - - live-forensics - - filesystem - - macos-specific + - command-line + - live-acquisition + - physical-copy + - apfs + - scenario:disk_imaging + - zero-footprint - name: ALEAPP icon: 📦 type: software @@ -1124,8 +1105,6 @@ tools: - Windows - Linux - macOS - related_concepts: - - SQL Query Fundamentals related_software: null domain-agnostic-software: null skillLevel: intermediate @@ -1135,12 +1114,14 @@ tools: license: MIT knowledgebase: false tags: - - gui - - mobile-data - - artifact-extraction - - parsing - - reporting - - timeline-analysis + - command-line + - mobile-app-data + - artifact-parser + - timeline + - html-export + - sqlite-viewer + related_concepts: + - SQL - name: iLEAPP icon: 📦 type: software @@ -1161,7 +1142,6 @@ tools: - Windows - Linux - macOS - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: intermediate @@ -1171,12 +1151,14 @@ tools: license: MIT knowledgebase: false tags: - - gui - - mobile-data - - artifact-extraction - - parsing - - reporting - - ios-specific + - command-line + - mobile-app-data + - artifact-parser + - timeline + - html-export + - deleted-file-recovery + related_concepts: + - SQL - name: VLEAPP icon: 📦 type: software @@ -1196,7 +1178,6 @@ tools: - Windows - Linux - macOS - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: intermediate @@ -1206,12 +1187,12 @@ tools: license: MIT knowledgebase: false tags: - - gui - - vehicle-data - - artifact-extraction - - parsing - - gps-analysis - - can-bus + - command-line + - artifact-parser + - geolocation + - timeline + - html-export + - system-metadata - name: Kali Linux type: software description: >- @@ -1231,23 +1212,22 @@ tools: - ics-forensics skillLevel: intermediate url: https://kali.org/ - tags: - - live-boot - - tool-collection - - penetration-testing - - forensics-suite - - virtualization - - arm-support icon: 🖥 platforms: - OS accessType: download license: GPL-3.0 knowledgebase: true - related_concepts: null related_software: null domain-agnostic-software: - specific-os + tags: + - gui + - command-line + - cross-platform + - live-acquisition + - write-blocker + - opensource - name: dd icon: 📦 type: software @@ -1265,7 +1245,6 @@ tools: platforms: - Linux - macOS - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: intermediate @@ -1275,12 +1254,14 @@ tools: license: GPL-3.0 knowledgebase: false tags: - - commandline - - imaging - - raw-copy - - block-device - - unix-tool - - scripting + - command-line + - physical-copy + - raw-image-support + - scenario:disk_imaging + - zero-footprint + - offline-mode + related_concepts: + - Digital Evidence Chain of Custody - name: dcfldd icon: 📦 type: software @@ -1297,8 +1278,6 @@ tools: - data-collection platforms: - Linux - related_concepts: - - Hash Functions & Digital Signatures related_software: null domain-agnostic-software: null skillLevel: intermediate @@ -1308,12 +1287,15 @@ tools: license: GPL-2.0 knowledgebase: false tags: - - commandline - - imaging + - command-line + - physical-copy - hashing - - verification - - progress-monitoring - - split-output + - scenario:disk_imaging + - compression + - integrity-check + related_concepts: + - Hash Functions & Digital Signatures + - Digital Evidence Chain of Custody - name: ewfacquire icon: 📦 type: software @@ -1331,7 +1313,6 @@ tools: platforms: - Linux - macOS - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: intermediate @@ -1341,12 +1322,15 @@ tools: license: LGPL-3.0 knowledgebase: false tags: - - commandline - - imaging + - command-line + - physical-copy + - ewf-support - compression - - ewf-format - - metadata - - verification + - chain-of-custody + - scenario:disk_imaging + related_concepts: + - Hash Functions & Digital Signatures + - Digital Evidence Chain of Custody - name: PhotoRec icon: 📦 type: software @@ -1366,7 +1350,6 @@ tools: - Windows - Linux - macOS - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: beginner @@ -1376,11 +1359,11 @@ tools: license: GPL-2.0 knowledgebase: false tags: - - commandline - - carving - - file-recovery - - deleted-data - - signature-based + - gui + - file-carving + - deleted-file-recovery + - scenario:file_recovery + - signature-analysis - cross-platform - name: Kismet icon: 📦 @@ -1399,7 +1382,6 @@ tools: - examination platforms: - Linux - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: advanced @@ -1409,12 +1391,12 @@ tools: license: GPL-2.0 knowledgebase: false tags: - - commandline - - wireless-monitoring - - packet-capture - - gps-integration - - passive-scanning - - api + - gui + - pcap-capture + - geolocation + - live-acquisition + - anomaly-detection + - wireless-analysis - name: OSFMount icon: 📦 type: software @@ -1431,7 +1413,6 @@ tools: - examination platforms: - Windows - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: beginner @@ -1442,12 +1423,11 @@ tools: knowledgebase: false tags: - gui - - image-mounting - - filesystem - - read-only - - virtual-drive - - format-support - - freeware + - virtual-machine + - ewf-support + - raw-image-support + - write-blocker + - triage - name: Thumbcache Viewer icon: 📦 type: software @@ -1465,7 +1445,6 @@ tools: - analysis platforms: - Windows - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: beginner @@ -1476,17 +1455,17 @@ tools: knowledgebase: false tags: - gui - - windows-artifacts - - image-analysis - - cache-analysis - - thumbnail-extraction - - deleted-data + - deleted-file-recovery + - metadata-parser + - triage + - system-metadata + - thumbnail-analysis - name: RegRipper icon: 📦 type: software description: >- - Der scenario:windows-registry-Experte mit hunderten Plugins für automatisierte - Analyse. Extrahiert USB-Historie, installierte Software, + Der scenario:windows-registry-Experte mit hunderten Plugins für + automatisierte Analyse. Extrahiert USB-Historie, installierte Software, Benutzeraktivitäten und Malware-Spuren. Die Plugin-Architektur erlaubt maßgeschneiderte Untersuchungen für spezielle Fälle. Spart Stunden manueller Registry-Analyse und findet oft übersehene Artefakte. @@ -1500,7 +1479,6 @@ tools: platforms: - Windows - Linux - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: intermediate @@ -1510,12 +1488,12 @@ tools: license: MIT knowledgebase: false tags: - - commandline - - registry - - windows-artifacts - - parsing - - plugin-system - - artifact-extraction + - command-line + - registry-hives + - plugin-support + - scenario:windows-registry + - usb-history + - artifact-parser - name: YARA type: software description: >- @@ -1532,24 +1510,23 @@ tools: - analysis skillLevel: intermediate url: https://virustotal.github.io/yara/ - tags: - - commandline - - pattern-matching - - malware-detection - - rule-engine - - library - - signature-based icon: 🛠 platforms: - Windows - Linux - macOS - related_concepts: - - Regular Expressions (Regex) - - Hash Functions & Digital Signatures accessType: download license: BSD-3-Clause knowledgebase: false + tags: + - command-line + - yara-scan + - signature-analysis + - regex-search + - cross-platform + - memory-signatures + related_concepts: + - Regular Expressions (Regex) - name: Strings icon: 📦 type: software @@ -1568,8 +1545,6 @@ tools: - Windows - Linux - macOS - related_concepts: - - Regular Expressions (Regex) related_software: null domain-agnostic-software: null skillLevel: novice @@ -1579,12 +1554,12 @@ tools: license: Proprietary/GPL knowledgebase: false tags: - - commandline - - string-extraction - - binary - - quick-analysis - - text-search + - command-line + - string-search + - binary-decode + - triage - cross-platform + - fast-scan - name: MaxMind GeoIP type: software description: >- @@ -1601,13 +1576,6 @@ tools: - analysis skillLevel: beginner url: https://www.maxmind.com/ - tags: - - api - - geolocation - - ip-analysis - - database - - enrichment - - library icon: 🗄 platforms: - Windows @@ -1616,6 +1584,13 @@ tools: accessType: download license: GeoLite2 EULA / Commercial knowledgebase: false + tags: + - api + - geolocation + - data-enrichment + - cross-platform + - automation-ready + - offline-mode - name: SIFT Workstation type: software description: >- @@ -1632,23 +1607,22 @@ tools: - mobile-forensics skillLevel: intermediate url: https://www.sans.org/tools/sift-workstation/ - tags: - - virtual-machine - - tool-collection - - forensics-suite - - training-focused - - documentation - - ubuntu-based icon: 🖥 platforms: - OS accessType: download license: Free / Mixed knowledgebase: false - related_concepts: null related_software: null domain-agnostic-software: - specific-os + tags: + - gui + - command-line + - cross-platform + - write-blocker + - live-acquisition + - signature-updates - name: Tsurugi Linux type: software description: >- @@ -1666,22 +1640,22 @@ tools: - mobile-forensics skillLevel: intermediate url: https://tsurugi-linux.org/ - tags: - - live-boot - - tool-collection - - forensics-suite - - mobile-focus - - lightweight icon: 🖥 platforms: - OS accessType: download license: GPL / Mixed knowledgebase: false - related_concepts: null related_software: null domain-agnostic-software: - specific-os + tags: + - gui + - write-blocker + - live-acquisition + - triage + - forensic-snapshots + - selective-imaging - name: Parrot Security OS type: software description: >- @@ -1697,23 +1671,22 @@ tools: - network-forensics skillLevel: intermediate url: https://parrotsec.org/ - tags: - - live-boot - - privacy-focused - - tool-collection - - rolling-release - - lightweight - - anonymization icon: 🖥 platforms: - OS accessType: download license: GPL-3.0 knowledgebase: false - related_concepts: null related_software: null domain-agnostic-software: - specific-os + tags: + - gui + - command-line + - live-acquisition + - encrypted-traffic + - secure-sharing + - anonymous-analysis - name: Eric Zimmerman Tools icon: 📦 type: software @@ -1730,7 +1703,6 @@ tools: - analysis platforms: - Windows - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: intermediate @@ -1740,12 +1712,13 @@ tools: license: MIT knowledgebase: false tags: - - commandline - - windows-artifacts - - parsing - - timeline-analysis - - tool-collection - - artifact-extraction + - gui + - artifact-parser + - shellbags + - prefetch-viewer + - timeline + - jumplist + related_concepts: null - name: Impacket icon: 📦 type: software @@ -1766,7 +1739,6 @@ tools: - Linux - Windows - macOS - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: advanced @@ -1776,12 +1748,12 @@ tools: license: Apache 2.0 knowledgebase: false tags: - - library - - network-protocols - - windows-forensics - - remote-access + - command-line + - remote-collection - scripting - - api + - scenario:persistence + - protocol-decode + - live-process-view - name: RSA NetWitness icon: 📦 type: software @@ -1801,7 +1773,6 @@ tools: - analysis platforms: - Web - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: expert @@ -1811,12 +1782,12 @@ tools: license: Proprietary knowledgebase: false tags: - - web-based - - siem - - big-data - - correlation - - machine-learning - - enterprise + - web-interface + - commercial + - correlation-engine + - anomaly-detection + - distributed + - threat-scoring - name: X-Ways Forensics icon: 📦 type: software @@ -1834,7 +1805,6 @@ tools: - analysis platforms: - Windows - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: expert @@ -1845,11 +1815,11 @@ tools: knowledgebase: false tags: - gui - - filesystem - - carving - - high-performance - - german-made - - hex-editor + - commercial + - keyword-search + - fast-scan + - court-admissible + - dongle-license - name: EnCase icon: 📦 type: software @@ -1868,7 +1838,6 @@ tools: - reporting platforms: - Windows - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: intermediate @@ -1879,11 +1848,13 @@ tools: knowledgebase: false tags: - gui - - filesystem - - enterprise - - court-proven - - certification + - commercial - scripting + - court-admissible + - case-management + - dongle-license + related_concepts: + - Digital Evidence Chain of Custody - name: FRED icon: 🔧 type: software @@ -1900,7 +1871,6 @@ tools: - data-collection platforms: - Hardware - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: intermediate @@ -1910,12 +1880,12 @@ tools: license: Proprietary knowledgebase: false tags: - - hardware - - imaging - - write-blocking - - multiple-drives - - professional-lab - - integrated-system + - gui + - commercial + - write-blocker + - physical-copy + - scenario:disk_imaging + - multithreaded - name: ICSpector type: software description: >- @@ -1930,10 +1900,6 @@ tools: - analysis skillLevel: advanced url: https://github.com/microsoft/ics-forensics-tools - tags: - - python - - binary - - scripting icon: 🛠 platforms: - Windows @@ -1942,6 +1908,13 @@ tools: accessType: download license: MIT knowledgebase: false + tags: + - command-line + - system-metadata + - artifact-parser + - cross-platform + - scripting + - opensource - name: Live Memory Acquisition Procedure icon: 📋 type: method @@ -1959,7 +1932,6 @@ tools: phases: - data-collection platforms: [] - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: advanced @@ -1970,12 +1942,12 @@ tools: license: null knowledgebase: false tags: - - memory-acquisition - - volatile-evidence - - live-forensics - - ram-dump - - evidence-preservation - - procedure + - live-acquisition + - scenario:memory_dump + - chain-of-custody + - standards-compliant + related_concepts: + - Digital Evidence Chain of Custody - name: Rapid Incident Response Triage on macOS icon: 📋 type: method @@ -1995,7 +1967,6 @@ tools: - data-collection - examination platforms: [] - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: intermediate @@ -2006,14 +1977,10 @@ tools: license: null knowledgebase: null tags: - - macos - - rapid-response - triage - - incident-response - - aftermath - - enterprise - - methodology - - apple + - fast-scan + - apfs + - selective-imaging - name: Aftermath icon: 📦 type: software @@ -2033,7 +2000,6 @@ tools: - examination platforms: - macOS - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: intermediate @@ -2043,22 +2009,21 @@ tools: license: Apache 2.0 knowledgebase: false tags: - - macos - - incident-response + - command-line - triage - - artifact-collection - - rapid-response - - jamf - - enterprise - - commandline + - system-metadata + - apfs + - time-normalization + - structured-output - name: Regular Expressions (Regex) icon: 🔤 type: concept description: >- - Pattern matching language for searching, extracting, and manipulating - text. Essential for log analysis, malware signature creation, and data - extraction from unstructured sources. Forms the backbone of many forensic - tools and custom scripts. + Musterabgleichssprache für die Suche, Extraktion und Manipulation von + Text. Essentiell für Log-Analysen, Malware-Signaturerstellung und + Datenextraktion aus unstrukturierten Quellen. Bildet das Rückgrat vieler + Forensik-Tools und maßgeschneiderter Skripte. Ermöglicht komplexe + Textsuchen mit Wildcards, Zeichenklassen und Quantifizierern. domains: - incident-response - malware-analysis @@ -2068,7 +2033,6 @@ tools: - examination - analysis platforms: [] - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: intermediate @@ -2078,19 +2042,19 @@ tools: license: null knowledgebase: true tags: - - pattern-matching - - text-processing - - log-analysis - - string-manipulation - - search-algorithms - - name: SQL Query Fundamentals + - regex-search + - string-search + - log-parser + - automation-ready + - name: SQL icon: 🗃️ type: concept description: >- - Structured Query Language for database interrogation and analysis. - Critical for examining application databases, SQLite artifacts from - mobile devices, and browser history databases. Enables complex - correlation and filtering of large datasets. + Structured Query Language für Datenbankabfragen und -analysen. Kritisch + für die Untersuchung von Anwendungsdatenbanken, SQLite-Artefakten von + mobilen Geräten und Browser-Historie-Datenbanken. Ermöglicht komplexe + Korrelationen und Filterung großer Datensätze. Unverzichtbar für die + Analyse von Messenger-Daten, App-Nutzung und Kommunikationsverläufen. domains: - incident-response - mobile-forensics @@ -2100,7 +2064,6 @@ tools: - examination - analysis platforms: [] - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: intermediate @@ -2110,19 +2073,20 @@ tools: license: null knowledgebase: false tags: - - database-analysis - - query-language - - data-correlation - - mobile-artifacts - - browser-forensics + - sqlite-viewer + - correlation-engine + - mobile-app-data + - browser-history - name: Hash Functions & Digital Signatures icon: 🔐 type: concept description: >- - Cryptographic principles for data integrity verification and - authentication. Fundamental for evidence preservation, malware - identification, and establishing chain of custody. Understanding of MD5, - SHA, and digital signature validation. + Kryptographische Prinzipien für Datenintegritätsprüfung und + Authentifizierung. Fundamental für Beweissicherung, + Malware-Identifikation und Etablierung der Beweiskette. Verständnis von + MD5, SHA-Familien und digitaler Signaturvalidierung. Ermöglicht + Manipulationserkennung und eindeutige Dateienidentifikation in + forensischen Untersuchungen. domains: - incident-response - static-investigations @@ -2132,7 +2096,6 @@ tools: - data-collection - examination platforms: [] - related_concepts: null related_software: null domain-agnostic-software: null skillLevel: advanced @@ -2142,11 +2105,44 @@ tools: license: null knowledgebase: false tags: - - cryptography - - data-integrity - - evidence-preservation - - malware-identification + - hashing + - integrity-check - chain-of-custody + - standards-compliant + - name: Digital Evidence Chain of Custody + icon: ⛓️ + type: concept + description: >- + Rechtssichere Dokumentation der Beweiskette von der Sicherung bis zur + Gerichtsverhandlung. Umfasst Identifikation, Sammlung, Akquisition, + Übertragung, Speicherung und Analyse digitaler Beweise. Gewährleistet + Integrität, Authentizität und Nachvollziehbarkeit aller + Bearbeitungsschritte. Kritisch für die gerichtliche Verwertbarkeit + forensischer Erkenntnisse und Compliance-Anforderungen. + domains: + - incident-response + - static-investigations + - fraud-investigation + - mobile-forensics + phases: + - data-collection + - examination + - analysis + - reporting + platforms: [] + related_software: null + domain-agnostic-software: null + skillLevel: advanced + accessType: null + url: https://www.researchgate.net/publication/368666640_The_Chain_of_Custody_in_the_Era_of_Modern_Forensics_From_the_Classic_Procedures_for_Gathering_Evidence_to_the_New_Challenges_Related_to_Digital_Data + projectUrl: null + license: null + knowledgebase: true + tags: + - chain-of-custody + - standards-compliant + - court-admissible + - audit-trail - name: MSAB XRY type: software description: >- @@ -2160,16 +2156,21 @@ tools: - mobile-forensics phases: - data-collection - tags: - - law-enforcement - - fast - - SIM - - image-recognition platforms: - Windows accessType: download license: Proprietary knowledgebase: false + tags: + - gui + - commercial + - mobile-app-data + - physical-copy + - decryption + - court-admissible + related_concepts: + - SQL + - Digital Evidence Chain of Custody domains: - id: incident-response name: Incident Response & Breach-Untersuchung @@ -2233,4 +2234,4 @@ scenarios: friendly_name: Persistenzsuche - id: scenario:windows-registry icon: 📜 - friendly_name: Registry-Analyse + friendly_name: Registry-Analyse \ No newline at end of file diff --git a/src/pages/api/contribute/knowledgebase.ts b/src/pages/api/contribute/knowledgebase.ts index fb0b848..cb821bc 100644 --- a/src/pages/api/contribute/knowledgebase.ts +++ b/src/pages/api/contribute/knowledgebase.ts @@ -23,7 +23,8 @@ const KnowledgebaseContributionSchema = z.object({ uploadedFiles: z.string().transform(str => { try { return JSON.parse(str); } catch { return []; } }).pipe(z.array(z.any()).default([])), - reason: z.string().optional().nullable().transform(val => val || undefined) + reason: z.string().optional().nullable().transform(val => val || undefined), + contact: z.string().optional().nullable().transform(val => val || undefined) }); interface KnowledgebaseContributionData { @@ -37,6 +38,7 @@ interface KnowledgebaseContributionData { tags: string[]; uploadedFiles: any[]; reason?: string; + contact?: string; } const rateLimitStore = new Map(); diff --git a/src/pages/api/contribute/tool.ts b/src/pages/api/contribute/tool.ts index 33bec5b..7d656f1 100644 --- a/src/pages/api/contribute/tool.ts +++ b/src/pages/api/contribute/tool.ts @@ -37,7 +37,8 @@ const ContributionRequestSchema = z.object({ }), tool: ContributionToolSchema, metadata: z.object({ - reason: z.string().transform(val => val.trim() === '' ? undefined : val).optional() + reason: z.string().transform(val => val.trim() === '' ? undefined : val).optional(), + contact: z.string().transform(val => val.trim() === '' ? undefined : val).optional() }).optional() }); @@ -168,7 +169,8 @@ export const POST: APIRoute = async ({ request }) => { tool: validatedData.tool, metadata: { submitter: userEmail, - reason: validatedData.metadata?.reason + reason: validatedData.metadata?.reason, + contact: validatedData.metadata?.contact } }; diff --git a/src/pages/contribute/knowledgebase.astro b/src/pages/contribute/knowledgebase.astro index 5fbe533..1911d83 100644 --- a/src/pages/contribute/knowledgebase.astro +++ b/src/pages/contribute/knowledgebase.astro @@ -171,6 +171,18 @@ const sortedTools = data.tools.sort((a: any, b: any) => a.name.localeCompare(b.n class="form-input" > + +
+ + + Wird nur im Git-Issue angezeigt, falls Nachfragen entstehen +
diff --git a/src/pages/contribute/tool.astro b/src/pages/contribute/tool.astro index 162b95d..1b6babc 100644 --- a/src/pages/contribute/tool.astro +++ b/src/pages/contribute/tool.astro @@ -232,6 +232,15 @@ const isEdit = !!editTool; 0/500
+
+ + + + Wird nur im Git-Issue angezeigt, falls Nachfragen entstehen + +
diff --git a/src/utils/gitContributions.ts b/src/utils/gitContributions.ts index 23e9155..426f884 100644 --- a/src/utils/gitContributions.ts +++ b/src/utils/gitContributions.ts @@ -25,6 +25,7 @@ export interface ContributionData { metadata: { submitter: string; reason?: string; + contact?: string; }; } @@ -47,6 +48,7 @@ interface KnowledgebaseContribution { uploadedFiles?: { name: string; url: string }[]; submitter: string; reason?: string; + contact?: string; } interface GitConfig { @@ -274,6 +276,10 @@ ${data.tool.phases?.length ? `- **Phases:** ${data.tool.phases.join(', ')}` : '' ${data.metadata.reason ? `### Reason ${data.metadata.reason} +` : ''}${data.metadata.contact ? `### Contact +${data.metadata.contact} + + ` : ''}### Copy-Paste YAML \`\`\`yaml @@ -299,6 +305,7 @@ ${data.metadata.reason} sections.push(`## Knowledge Base Article: ${data.title ?? 'Untitled'}`); sections.push(''); sections.push(`**Submitted by:** ${data.submitter}`); + if (data.contact) sections.push(`**Contact:** ${data.contact}`); if (data.toolName) sections.push(`**Related Tool:** ${data.toolName}`); if (data.difficulty) sections.push(`**Difficulty:** ${data.difficulty}`); sections.push('');