From 938a4f78d594fd12ff61cd1fa5e3ff14bf77c819 Mon Sep 17 00:00:00 2001 From: overcuriousity Date: Fri, 18 Jul 2025 01:23:15 +0200 Subject: [PATCH] kuratierte Sammlung --- src/data/tools.yaml | 847 ++++++++++++++++++++++---------------------- 1 file changed, 432 insertions(+), 415 deletions(-) diff --git a/src/data/tools.yaml b/src/data/tools.yaml index 78a9856..96da0dd 100644 --- a/src/data/tools.yaml +++ b/src/data/tools.yaml @@ -1,16 +1,19 @@ tools: - # Disk & File System Analysis Tools - name: Autopsy description: >- Open-Source digitale Forensik-Anwendung mit grafischer Benutzeroberfläche für Festplatten- und Dateisystemanalyse. Besonders geeignet für die - Auswertungs- und Analyse-Phase mit umfangreichen Carving- und Timeline-Funktionen. - DIE Alternative für kommerzielle Software im Bereich, wenn es um die - kriminalistische Untersuchung von Images geht. + Auswertungs- und Analyse-Phase mit umfangreichen Carving- und + Timeline-Funktionen. DIE Alternative für kommerzielle Software im + Bereich, wenn es um die kriminalistische Untersuchung von Images geht, + steht den kommerziellen Lösungen von Cellebrite oder MAGNET Forensics kaum + nach, ist in der Bedienung aber etwas komplexer. domains: - incident-response - law-enforcement - malware-analysis + - mobile-forensics + - cloud-forensics phases: - data-collection - examination @@ -18,36 +21,30 @@ tools: - reporting platforms: - Windows - - Linux (Snap-Paket) + - Linux skillLevel: intermediate accessType: download url: https://www.autopsy.com/ projectUrl: '' license: Apache 2.0 - knowledgebase: - tags: - - disk-imaging - - file-carving - - timeline-analysis - - registry-analysis - - windows-artifacts - - linux-artifacts - - hash-verification - - dead-box-forensics - - plugin-architecture - - csv-export - - # Memory Analysis Tools + knowledgebase: false + tags: [disk-analysis, file-carving, timeline-analysis, gui, deleted-files] - name: Volatility 3 description: >- Fortgeschrittenes Memory-Forensik-Framework für Incident Response und - Malware-Analyse mit Plugin-Architektur. Hauptsächlich für die - Auswertungs- und Analysephase von RAM-Dumps geeignet. + Malware-Analyse mit Plugin-Architektur. Hauptsächlich für die Auswertungs- + und Analysephase von RAM-Dumps geeignet. Das python-basierte Programm + liegt mittlerweile in der Version 3 vor und ist auf GitHub verfügbar. + Vorwiegend arbeitet Volatility mit x86_64-Architektur, was die Eignung für + Mobile-Forensics einschränkt. Eingeschränkt ist Volatility auch für + Netzwerkforensik geeignet. domains: - incident-response - - malware-analysis - law-enforcement + - malware-analysis + - network-forensics phases: + - data-collection - examination - analysis platforms: @@ -59,65 +56,49 @@ tools: url: https://www.volatilityfoundation.org/ projectUrl: '' license: VSL - knowledgebase: - tags: - - memory-analysis - - malware-detection - - process-analysis - - plugin-architecture - - python-scripting - - windows-artifacts - - linux-artifacts - - live-forensics - - dead-box-forensics - - json-export - - # Incident Response Platforms + knowledgebase: false + tags: [memory-dumps, ram-analysis, plugin-based, command-line, process-analysis] - name: TheHive 5 description: >- Kollaborative Security-Incident-Response-Plattform für SOCs, CERTs und - Sicherheitsteams mit Case-Management. Ideal für alle Phasen einer - Untersuchung, besonders für Koordination und Berichterstattung. - Keine Erfahrungswerte. + Sicherheitsteams mit Case-Management. Unterstützt scheinbar alle Phasen + einer Untersuchung, besonders für Koordination und Berichterstattung. + Keine Erfahrungswerte. Die Community Edition ist seit 2021 End-of-Life, + und daher möglicherweise nicht uneingeschränkt zu empfehlen. domains: - incident-response - law-enforcement - - fraud-investigation + - malware-analysis + - network-forensics phases: - data-collection - examination - analysis - - reporting + - collaboration-general platforms: - Web skillLevel: intermediate accessType: self-hosted - url: https://strangebee.com/ + url: https://github.com/TheHive-Project/TheHive projectUrl: '' license: Community Edition (Free) / Commercial - knowledgebase: - tags: - - case-management - - team-collaboration - - api-available - - automation - - misp-integration - - alert-management - - multi-tenancy - - workflow-automation - - json-export - - reporting-tools + knowledgebase: false + tags: [case-management, team-collaboration, soc, workflow, alerts] statusUrl: https://uptime.example.lab/api/badge/1/status - - name: MISP description: >- Threat-Intelligence-Plattform für strukturierten Austausch von IoCs. - Primär für Datensammlung und -anreicherung, unterstützt aber auch - Analyse durch Korrelation von Bedrohungsdaten. + Primär für Datensammlung und -anreicherung, unterstützt aber auch Analyse + durch Korrelation von Bedrohungsdaten. Besondere Stärke ist die Anbindung + an eine internationale, föderierte Community, die Entitäten aus ihren + Untersuchungen teilen. Kommt zunehmend in den Echtbetrieb bei + Strafverfolgungsbehörden, SIEMs, CERTs und Forensik-Institutionen. domains: - incident-response + - law-enforcement - malware-analysis - network-forensics + - cloud-forensics phases: - data-collection - examination @@ -130,28 +111,21 @@ tools: projectUrl: https://misp.cc24.dev license: AGPL-3.0 knowledgebase: true - tags: - - threat-intelligence - - ioc-sharing - - api-available - - automation - - correlation-engine - - taxonomy-support - - feed-integration - - json-export - - stix-support + tags: [threat-intelligence, ioc-sharing, correlation, community-driven, siem-integration] statusUrl: https://status.mikoshi.de/api/badge/34/status - - name: Timesketch description: >- - Kollaborative forensische Timeline-Analyse-Plattform. Hauptsächlich - für die Analysephase konzipiert, unterstützt chronologische - Ereigniskorrelation aus verschiedenen Quellen. + Kollaborative forensische Timeline-Analyse-Plattform. Hauptsächlich für + die Analysephase konzipiert, unterstützt chronologische + Ereigniskorrelation aus verschiedenen Quellen. Hat scheinbar eine + Einbindung von Plaso/Log2Timeline. domains: - incident-response - law-enforcement - - fraud-investigation + - network-forensics + - cloud-forensics phases: + - examination - analysis - reporting platforms: @@ -159,30 +133,25 @@ tools: skillLevel: intermediate accessType: self-hosted url: https://timesketch.org/ - projectUrl: https://timesketch.cc24.dev + projectUrl: '' license: Apache 2.0 - knowledgebase: - tags: - - timeline-analysis - - data-visualization - - plaso-integration - - collaborative-analysis - - search-capabilities - - event-correlation - - csv-import - - api-available + knowledgebase: false + tags: [timeline-analysis, collaborative, event-correlation, web-based, temporal-analysis] statusUrl: https://uptime.example.lab/api/badge/3/status - - # Network Analysis Tools - name: Wireshark description: >- - Netzwerk-Protokoll-Analyzer für Paketaufzeichnung und -analyse. - Primär für Datensammlung und Auswertung von Netzwerkverkehr, - unterstützt über 2000 Protokolle. + Netzwerk-Protokoll-Analyzer für Paketaufzeichnung und -analyse. Primär für + Datensammlung und Auswertung von Netzwerkverkehr, unterstützt über 2000 + Protokolle. Setzt voraus, das pcap-Dateien aufgezeichnet wurden, was + selten der Fall ist und meist erst anterograd möglich ist, wenn eine + Bedrohung bereits entdeckt wurde. Eignet sich daher eher weniger für + post-mortem-Untersuchungen. domains: - - network-forensics - incident-response - malware-analysis + - network-forensics + - cloud-forensics + - ics-forensics phases: - data-collection - examination @@ -196,27 +165,18 @@ tools: url: https://www.wireshark.org/ projectUrl: '' license: GPL-2.0 - knowledgebase: - tags: - - packet-capture - - protocol-analysis - - live-capture - - pcap-analysis - - filter-capabilities - - statistics-generation - - export-formats - - plugin-support - - tls-decryption - - # Commercial Tools (Well-known) + knowledgebase: false + tags: [pcap-analysis, packet-capture, protocol-analysis, network-traffic, real-time] - name: Magnet AXIOM description: >- - Umfassende digitale Forensik-Plattform für Computer und Mobilgeräte. - Deckt alle Phasen ab mit besonderem Fokus auf automatisierte - Artefakt-Erkennung und Cloud-Forensik. + Umfassende digitale Forensik-Plattform für Computer und Mobilgeräte. Einer + der mächtigen Player in der Welt der Forensik, mit mächtigen Lizenzkosten. + Sehr etabliert im Law-Enforcement-Bereich mit Fokus auf die Untersuchung + von Rechnern und Mobilgeräten. Deckt alle Phasen ab mit besonderem Fokus + auf automatisierte Artefakt-Erkennung und Cloud-Forensik. domains: - - law-enforcement - incident-response + - law-enforcement - mobile-forensics - cloud-forensics phases: @@ -226,90 +186,65 @@ tools: - reporting platforms: - Windows - skillLevel: intermediate + skillLevel: beginner accessType: commercial url: https://www.magnetforensics.com/products/magnet-axiom/ projectUrl: '' license: Proprietary - knowledgebase: - tags: - - mobile-forensics - - cloud-acquisition - - artifact-recovery - - timeline-generation - - ai-categorization - - report-generation - - court-admissible - - image-analysis - + knowledgebase: false + tags: [automated-analysis, artifact-recovery, cloud-extraction, mobile-extraction, all-in-one] - name: Cellebrite UFED description: >- - Führende Mobile-Forensik-Lösung für Extraktion und Analyse von - Smartphones und Tablets. Primär für Datensammlung und Auswertung - mobiler Geräte konzipiert. + Gemäß eigener Angaben führende Mobile-Forensik-Lösung für Extraktion und + Analyse von Smartphones und Tablets aus Israel. In der Tat führend was die + Ausnutzung von Zero-Day-Schwachstellen für die Entschlüsselung neuester + Smartphones betrifft. Stark etabliert im Law-Enforcement-Bereich, besticht + auch durch seinen relativ benutzerfreundlichen Einstieg mit dem + UFED-Reader. Starker Fokus auf Mobile-Forensik. Sehr hohe Lizenzkosten. domains: - law-enforcement - mobile-forensics - - incident-response phases: - data-collection - examination - analysis + - reporting platforms: - Windows - - Hardware - skillLevel: intermediate + skillLevel: beginner accessType: commercial url: https://cellebrite.com/en/ufed/ projectUrl: '' license: Proprietary - knowledgebase: - tags: - - mobile-extraction - - physical-extraction - - logical-extraction - - password-bypass - - app-analysis - - deleted-data-recovery - - report-generation - - court-admissible - - # Malware Analysis Tools + knowledgebase: false + tags: [mobile-extraction, smartphone-unlock, ios-android, physical-extraction, chat-recovery] - name: Cuckoo Sandbox 3 description: >- - Automatisiertes Malware-Analysesystem der neuesten Generation. - Hauptsächlich für die Analysephase mit dynamischer Verhaltensanalyse - in isolierten Umgebungen. + Automatisiertes Malware-Analysesystem und eine Alternative für Any.Run. + Hauptsächlich für die Sammlung von Artefakten ausgeführter Malware mit + dynamischer Verhaltensanalyse in isolierten Umgebungen, die i.d.R. auf + Windows-VMs basiert. In der aktuellen Version vom CERT Estland entwickelt. domains: - - malware-analysis - incident-response + - malware-analysis phases: - - analysis + - data-collection platforms: - Linux + - Web skillLevel: advanced accessType: self-hosted url: https://github.com/cert-ee/cuckoo3 projectUrl: '' license: GPL-3.0 - knowledgebase: - tags: - - dynamic-analysis - - behavior-monitoring - - sandbox-analysis - - api-monitoring - - network-monitoring - - yara-integration - - automated-analysis - - json-export - - malware-detection - statusUrl: '' - + knowledgebase: false + tags: [malware-sandbox, dynamic-analysis, behavioral-analysis, automated, vm-based] - name: Ghidra description: >- NSA-entwickeltes Reverse-Engineering-Framework für statische - Malware-Analyse. Primär für tiefgehende Code-Analyse in der - Analysephase. + Malware-Analyse. Primär für tiefgehende Code-Analyse in der Analysephase. + Analysiert hauptsächlich statische Binärdateien und ist somit sehr + speziell und tiefgehend. domains: - malware-analysis - ics-forensics @@ -318,165 +253,137 @@ tools: platforms: - Windows - Linux - - macOS skillLevel: expert accessType: download - url: https://ghidra-sre.org/ + url: https://github.com/NationalSecurityAgency/ghidra projectUrl: '' license: Apache 2.0 - knowledgebase: - tags: - - reverse-engineering - - disassembly - - decompilation - - scripting-support - - multi-architecture - - collaborative-re - - plugin-architecture - - binary-analysis - - # Data Processing & Analysis + knowledgebase: false + tags: [reverse-engineering, disassembler, binary-analysis, decompiler, static-analysis] - name: Plaso (log2timeline) description: >- - Tool zur automatischen Erstellung von Super-Timelines. Hauptsächlich - für Datensammlung und Auswertung, bereitet Zeitstempel-Daten für - die Analyse vor. + Tool zur automatischen Erstellung von Timelines. Hauptsächlich für + Datensammlung und Auswertung, bereitet Zeitstempel-Daten für die Analyse + vor. Ist mit Timesketch integrierbar und somit eine mögliche Komponente + davon, setzt aber früher in der Kette an. domains: - incident-response - law-enforcement - - fraud-investigation + - network-forensics + - cloud-forensics phases: - - data-collection - examination platforms: - - Linux - Windows + - Linux - macOS skillLevel: intermediate accessType: download url: https://plaso.readthedocs.io/ projectUrl: '' license: Apache 2.0 - knowledgebase: - tags: - - timeline-generation - - log-parsing - - artifact-parsing - - multi-format-support - - elasticsearch-output - - timesketch-integration - - automation - - batch-processing - + knowledgebase: false + tags: [timeline-creation, log-parsing, timestamp-extraction, super-timeline, artifact-parsing] - name: CyberChef description: >- Web-basiertes Tool für Datenmanipulation und -analyse. Vielseitig - einsetzbar in Auswertung und Analyse für Dekodierung, Verschlüsselung - und Datenextraktion. + einsetzbar in Auswertung und Analyse für Dekodierung, Verschlüsselung und + Datenextraktion. + + Quasi das schweizer Taschenmesser für URL Decoding, Character Encoding, + Base64 u.s.w. und sehr beliebt in CTFs. domains: - incident-response + - law-enforcement - malware-analysis - network-forensics - - fraud-investigation phases: - examination - analysis platforms: - Web skillLevel: beginner - accessType: web-based + accessType: self-hosted url: https://gchq.github.io/CyberChef/ projectUrl: '' license: Apache 2.0 - knowledgebase: - tags: - - data-transformation - - encoding-decoding - - encryption-tools - - regex-extraction - - file-analysis - - magic-detection - - recipe-automation - - offline-capable - - # Remote Forensics & Endpoint Detection + knowledgebase: false + tags: [data-decoding, encoding-conversion, web-based, ctf-tool, data-manipulation] - name: Velociraptor description: >- - Endpoint-Visibility- und DFIR-Tool für Hunting und Remote-Forensik. - Exzellent für Datensammlung in großen Netzwerken, unterstützt - alle Phasen durch VQL-Abfragen. + Ein ausgesprochen nützliches Tool, das auch immer weiter an Bedeutung im + Bereich jeder Art von Live-Forensik gewinnt. Es ermöglicht das sammeln von + Artefakten in Echtzeit ohne physische Anwesenheit des Forensikers und ist + prinzipiell ein C&C-Server für die zu untersuchenden Endgeräte. + + Allerdings gibt es eine hohe Lernkurve, viele Befehle werden über die + eigene (SQL-ähnliche) VQL-Sprache ausgeführt. + + Es setzt somit früh in der forensischen Kette an, ist dafür für die + meisten Domänen tauglich. domains: - incident-response - - malware-analysis - law-enforcement + - malware-analysis + - fraud-investigation + - network-forensics + - cloud-forensics phases: - data-collection - examination - - analysis - - reporting platforms: - Windows - Linux - macOS + - Web skillLevel: advanced accessType: self-hosted url: https://www.velociraptor.app/ projectUrl: https://raptor.cc24.dev license: Apache 2.0 - knowledgebase: - tags: - - remote-collection - - live-forensics - - hunt-queries - - vql-language - - artifact-collection - - event-monitoring - - scalable-deployment - - api-available - - reporting-notebooks + knowledgebase: true + tags: [live-forensics, remote-collection, endpoint-visibility, vql-queries, hunt-queries] statusUrl: https://status.mikoshi.de/api/badge/33/status - - name: GRR Rapid Response description: >- - Remote-Live-Forensik von Google für skalierbare Incident-Response. - Fokus auf Datensammlung in Unternehmensnetzwerken mit - Hunt-Funktionalität. + Remote-Live-Forensik Incident-Response. Ein Python-Client wird auf den + Endgeräten installiert und sammelt Artefakte, die zentral aggregiert + werden. Ähnlich wie Velociraptor aggregiert es somit Artefakte auf + Endgeräten, ist aber dabei weniger mächtig als sein Konkurrent. Selbiges + gilt für die Auswertung - grundlegendes filtern und taggen. Entwickelt von + Google. domains: - incident-response - law-enforcement + - malware-analysis + - fraud-investigation phases: - data-collection - examination platforms: - - Linux - Windows + - Linux - macOS + - Web skillLevel: advanced accessType: self-hosted url: https://github.com/google/grr projectUrl: '' license: Apache 2.0 - knowledgebase: - tags: - - remote-forensics - - scalable-collection - - hunt-capability - - flow-automation - - artifact-collection - - memory-acquisition - - api-available - - enterprise-ready - statusUrl: '' - - # Network Packet Analysis - - name: Arkime (formerly Moloch) + knowledgebase: false + tags: [remote-forensics, endpoint-collection, python-based, scalable, agent-based] + - name: Arkime description: >- - Skalierbare Full-Packet-Capture-Plattform für große Netzwerke. - Primär für Datensammlung und Auswertung von Netzwerkverkehr - über längere Zeiträume. + Der große Bruder von Wireguard, skalierbare Full-Packet-Capture-Plattform. + Primär für Datensammlung und Auswertung von Netzwerkverkehr über längere + Zeiträume, kann pcap-Dateien auswerten. Wird in der Strafverfolgung und + überall eingesetzt, wo es Netzwerkverkehr zu untersuchen gilt. Hieß früher + auch "Moloch". domains: - - network-forensics - incident-response + - law-enforcement + - network-forensics + - cloud-forensics phases: - data-collection - examination @@ -488,92 +395,46 @@ tools: url: https://arkime.com/ projectUrl: '' license: Apache 2.0 - knowledgebase: - tags: - - full-packet-capture - - pcap-indexing - - session-analysis - - elasticsearch-backend - - api-available - - scalable-storage - - query-language - - visualization - statusUrl: '' - + knowledgebase: false + tags: [full-packet-capture, pcap-indexing, long-term-storage, network-monitoring, scalable] - name: NetworkMiner description: >- - Netzwerk-Forensik-Tool für Paket-Analyse und Datei-Extraktion. - Spezialisiert auf Auswertung von PCAP-Dateien und Extraktion - übertragener Inhalte. + Eine Wireguard-Alternative mit einfacherem GUI. Eignet ich ebenfalls zur + Analyse von pcap-Netzwerkverkehraufzeichnungen, erstellt genauso + Statistiken und ist dabei etwas übersichtlicher. Entwickelt von Netresec + und in der Strafverfolgung im Einsatz, extrahiert auch übertragene Dateien + aus den TCP-Paketen, die es relativ komfortabel zur Verfügung stellt. + Empfehlenswert besonders auch für Anfänger. domains: - - network-forensics - incident-response + - law-enforcement + - malware-analysis + - network-forensics phases: - examination - analysis platforms: - Windows - - Linux (Mono) skillLevel: beginner accessType: download url: https://www.netresec.com/?page=NetworkMiner projectUrl: '' license: GPL-2.0 / Commercial - knowledgebase: - tags: - - pcap-analysis - - file-extraction - - credential-extraction - - os-fingerprinting - - session-reconstruction - - image-extraction - - certificate-extraction - - passive-analysis - - # Triage & Collection Tools - - name: KAPE - description: >- - Kroll Artifact Parser and Extractor für schnelle Triage. - Hauptsächlich für automatisierte Datensammlung mit modularem - Ansatz und Target/Module-System. - domains: - - incident-response - - law-enforcement - phases: - - data-collection - - examination - platforms: - - Windows - skillLevel: intermediate - accessType: download - url: >- - https://www.kroll.com/en/services/cyber-risk/incident-response-litigation-support/kroll-artifact-parser-extractor-kape - projectUrl: '' - license: Freeware - knowledgebase: - tags: - - triage-collection - - artifact-parsing - - modular-framework - - target-system - - batch-processing - - portable-tool - - automated-collection - - windows-artifacts - - # Metadata & File Analysis + knowledgebase: false + tags: [pcap-analysis, file-extraction, gui, network-reconstruction, session-analysis] - name: ExifTool description: >- - Universelles Metadaten-Tool für über 200 Dateiformate. Unverzichtbar - für Auswertung von Bild- und Dokumentmetadaten in allen - forensischen Szenarien. + Universelles Metadaten-Tool für über 200 Dateiformate. Unverzichtbar für + Auswertung von Bild- und Dokumentmetadaten in allen forensischen Szenarien + und einfach in der Handhabung. Analysiert Metadaten von Bildern, Videos, + Dokumenten u.s.w. domains: - - law-enforcement - incident-response + - law-enforcement - fraud-investigation + - mobile-forensics phases: - examination - - analysis platforms: - Windows - Linux @@ -583,27 +444,21 @@ tools: url: https://exiftool.org/ projectUrl: '' license: Perl Artistic License - knowledgebase: - tags: - - metadata-extraction - - exif-analysis - - gps-extraction - - batch-processing - - command-line - - scripting-support - - multi-format - - portable-tool - - # Financial & Fraud Investigation + knowledgebase: false + tags: [metadata-extraction, image-analysis, document-metadata, command-line, file-properties] - name: Chainalysis description: >- - Führende Blockchain-Intelligence-Plattform für Kryptowährungs- - Ermittlungen. Primär für Analyse von Geldflüssen und - Wallet-Verbindungen. + Anwendung zur umfangreichen Analyse von Blockchain-Finanztransaktionen. + Stark etabliert im Bereich der Strafverfolgung, konkurrenzlos in der + Datenbasis (Clustering) und unangefochten in der Auswertung von + nicht-Bitcoin Kryptowährungen (a.k.a. Shitcoins). Erstellt auch sehr gute + grafische Übersichten, die sich gut zur Repräsentation der Beweiskette + eignen. Sehr teures Lizenzmodell. domains: - - fraud-investigation - law-enforcement + - fraud-investigation phases: + - examination - analysis - reporting platforms: @@ -613,61 +468,49 @@ tools: url: https://www.chainalysis.com/ projectUrl: '' license: Proprietary - knowledgebase: - tags: - - blockchain-analysis - - crypto-tracing - - wallet-clustering - - risk-scoring - - compliance-tools - - transaction-monitoring - - visualization - - api-available - - # Visualization & Analysis + knowledgebase: false + tags: [blockchain-analysis, cryptocurrency, bitcoin-tracking, transaction-flow, wallet-clustering] - name: Neo4j description: >- - Graph-Datenbank für Visualisierung komplexer Beziehungen. - Besonders wertvoll in der Analysephase für Netzwerk- und - Verbindungsanalysen. + Graph-Datenbank für Visualisierung komplexer Beziehungen. Besonders + geeignet für Visualisierung von Netzwerkverbindungen, Social Media. + Verwendet die "Cypher-Query-Language", mit der sich die Graphen + programmatisch erstellen lassen. Die Community-Edition ist eingeschränkt, + die kommerzielle Variante unterstützt beispielsweise mehrere Accounts. domains: - - fraud-investigation - law-enforcement - - incident-response + - malware-analysis + - fraud-investigation + - network-forensics + - cloud-forensics phases: - analysis - reporting platforms: - - Web - Windows - Linux - macOS + - Web skillLevel: intermediate accessType: self-hosted url: https://neo4j.com/ projectUrl: https://graph.cc24.dev license: GPL-3.0 / Commercial - knowledgebase: - tags: - - graph-database - - relationship-analysis - - data-visualization - - cypher-query - - pattern-detection - - api-available - - import-tools - - scalable-analysis + knowledgebase: false + tags: [graph-database, relationship-mapping, visualization, cypher-queries, link-analysis] statusUrl: https://status.mikoshi.de/api/badge/32/status - - name: QGIS description: >- - Open-Source Geoinformationssystem für räumliche Datenanalyse. - Wertvoll für Berichterstattung bei Fällen mit GPS-Daten aus - Smartphones oder Fahrzeugen. + Open-Source Geoinformationssystem für räumliche Datenanalyse. Wertvoll für + Berichterstattung uns Landkartenerstellung bei Fällen mit GPS-Daten aus + Smartphones oder Fahrzeugen. Kann dabei beispielsweise CSV-Exporte aus + gesammelten Koordinaten & Zeitstempeln auswerten und darstellen. domains: - law-enforcement + - fraud-investigation - mobile-forensics phases: + - examination - analysis - reporting platforms: @@ -679,23 +522,17 @@ tools: url: https://qgis.org/ projectUrl: '' license: GPL-2.0 - knowledgebase: - tags: - - geospatial-analysis - - gps-visualization - - map-generation - - coordinate-analysis - - timeline-mapping - - export-formats - - plugin-ecosystem - - python-scripting - - # Collaboration & Documentation + knowledgebase: false + tags: [gps-analysis, geolocation, mapping, spatial-data, location-tracking] - name: Nextcloud description: >- - Self-Hosted-Plattform für sicheren Dateiaustausch. Ideal für - kollaborative Phasen und sichere Speicherung von Beweismitteln - mit Versionierung. + Die Alleskönner-Plattform, die auch den Forensiker unterstützt: Durch + sicheren Datenaustausch mit Auftraggebern, Cloud-Speicher, + Kollaborationstools in Form von Chat, Videotelefonie und einer kompletten + Office-Suite, Kalender und E-Mail, aber auch als Infrastruktur als + SSO-Provider. Eine wahre All-in-One-Lösung und Vorzeoigeprojekt der + Open-Source-Welt. Kann sogar auf einem RaspberryPi gehostet werden. + Grundlage für unsere CC24-Cloud. domains: - incident-response - law-enforcement @@ -706,8 +543,8 @@ tools: - cloud-forensics - ics-forensics phases: - - collaboration-general - reporting + - collaboration-general platforms: - Web skillLevel: novice @@ -715,23 +552,13 @@ tools: url: https://nextcloud.com/ projectUrl: https://cloud.cc24.dev license: AGPL-3.0 - knowledgebase: - tags: - - file-sharing - - collaboration - - encryption - - version-control - - access-control - - audit-logging - - mobile-sync - - api-available + knowledgebase: true + tags: [file-sharing, collaboration-platform, secure-storage, office-suite, self-hosted] statusUrl: https://status.mikoshi.de/api/badge/11/status - - name: Gitea description: >- - Leichtgewichtiger Git-Service für Versionskontrolle. Nützlich - für Dokumentation von Skripten, Playbooks und forensischen - Prozeduren. + Leichtgewichtiger Git-Service für Versionskontrolle. Nützlich für + Dokumentation von Skripten, Playbooks und forensischen Prozeduren. domains: - incident-response - malware-analysis @@ -744,28 +571,16 @@ tools: url: https://gitea.io/ projectUrl: https://git.cc24.dev license: MIT - knowledgebase: - tags: - - version-control - - code-repository - - documentation - - collaboration - - issue-tracking - - markdown-support - - api-available - - lightweight + knowledgebase: null + tags: [version-control, code-repository, documentation, git-hosting, lightweight] statusUrl: https://status.mikoshi.de/api/badge/18/status - - # Additional Tools - name: Binwalk description: >- - Firmware-Analyse-Tool für eingebettete Dateisysteme. Spezialisiert - auf Extraktion und Analyse von Firmware-Images in IoT- und - ICS-Forensik. + Firmware-Analyse-Tool für eingebettete Dateisysteme. Hochspezialisiert auf + Extraktion und Analyse von Firmware-Images in IoT- und ICS-Forensik. domains: - - ics-forensics - malware-analysis - - mobile-forensics + - ics-forensics phases: - examination - analysis @@ -777,17 +592,220 @@ tools: url: https://github.com/ReFirmLabs/binwalk projectUrl: '' license: MIT - knowledgebase: - tags: - - firmware-analysis - - file-carving - - entropy-analysis - - signature-scanning - - extraction-tool - - iot-forensics - - embedded-systems - - python-api - + knowledgebase: false + tags: [firmware-extraction, embedded-systems, file-carving, iot-forensics, binary-analysis] + - name: Libre Office + description: >- + Als bekannte Open-Source-Office-Alternative gehört LibreOffice auf jeden + Computer. Damit eignet es sich logischerweise perfekt zum Verfassen von + Berichten aller Art. Aber auch als Forensik-Tool bietet sich LibreOffice + Calc zur Analyse von Logs o.ä. an, auch wenn dafür speziellere Software + die Nase vorn hat. + domains: + - incident-response + - law-enforcement + - malware-analysis + - fraud-investigation + - network-forensics + - mobile-forensics + - cloud-forensics + - ics-forensics + phases: + - reporting + - collaboration-general + platforms: + - Windows + - Linux + - macOS + skillLevel: novice + accessType: download + url: https://www.libreoffice.org/ + projectUrl: '' + license: Mozilla Public License Version 2.0 + knowledgebase: false + tags: [report-writing, spreadsheet-analysis, documentation, office-suite, open-source] + - name: Microsoft Office (365) + description: >- + Eine sehr bekannte, verbreitete Office-Lösung, die sich offensichtlich wie + LibreOffice sehr gut zum Verfassen von Berichten aller Art eignet, + nachgeordnet auch zur Analyse von Logfiles oder sonstigen einfachen + Datensätzen in Excel. Ist besonders wegen seiner tiefen Integration in + viele Firmen-Umgebungen und andere Microsoft-Produkte nicht von der Hand + zu weisen und immer noch Libreoffice im Bedienkomfort überlegen + (kontrovers). + domains: + - incident-response + - law-enforcement + - malware-analysis + - fraud-investigation + - network-forensics + - mobile-forensics + - cloud-forensics + - ics-forensics + phases: + - reporting + - collaboration-general + platforms: + - Windows + - Linux + - macOS + - Web + skillLevel: novice + accessType: commercial + url: https://www.office.com/ + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: [report-writing, excel-analysis, documentation, office-suite, cloud-based] + - name: GraphSense + description: >- + Das Chainalysis-Konkurrenzprodukt der österreichischen Firma IKNAIO. + Erzielt gute Ergebnisse, die Datenbasis (Clustering) ist jedoch nicht auf + dem Niveau von Chainalysis und vermutlich auch Gegenstand der proprietären + Daten. EU-Finanziert. Bemerkenswerterweise kann GraphSense als + OpenSource-Version installiert werden, in der Praxis dürfte das jedoch nur + eingeschränkt möglich sein, da ein sehr leistungsstarkes Apache + Cassandra-Cluster zum Betrieb notwendig sein soll. Ebenfalls schöne + grafische Repräsentation der Beweiskette. + domains: + - law-enforcement + - fraud-investigation + phases: + - examination + - analysis + - reporting + platforms: + - Web + skillLevel: intermediate + accessType: self-hosted + url: https://graphsense.org/ + projectUrl: '' + license: MIT + knowledgebase: false + tags: [blockchain-analysis, cryptocurrency, open-source, bitcoin-tracking, visualization] + - name: FTK Imager + description: >- + Etabliertes Werkzeug zur Erstellung von Filesystem-Images zur + Post-Mortem-Analyse, aber auch Live-Forensik. Wird von exterro vertrieben. + Für Privatanwender und kleine Firmen kostenfrei (nicht verifiziert). + domains: + - law-enforcement + - cloud-forensics + phases: + - data-collection + platforms: + - Windows + skillLevel: beginner + accessType: commercial + url: https://www.exterro.com/digital-forensics-software/ftk-imager + projectUrl: '' + license: Freeware + knowledgebase: false + tags: [disk-imaging, evidence-acquisition, e01-format, write-blocker, forensic-imaging] + - name: Guymager + description: >- + Das Open-Source-Imaging-Tool der Wahl - generiert images im Rohformat, EWF + und AFF Format. Ausgesprochen einfach in der Bedienung, gewährleistet eine + saubere Beweiskette durch Hashwertbildung. Ist nur leider schon sehr alt, + funktioniert aber noch gut. + domains: + - incident-response + - law-enforcement + phases: + - data-collection + platforms: + - Linux + skillLevel: novice + accessType: download + url: https://guymager.sourceforge.io/ + projectUrl: '' + license: GPL-2 + knowledgebase: false + tags: [disk-imaging, linux-imaging, hash-verification, ewf-format, forensic-acquisition] + - name: Fuji + description: >- + Ein Live-Imaging-Tool für MacOS. Erstellt Speicherabbilder an einem + laufenden Mac, von Forensikern aus der Strafverfolgung empfohlen. + domains: + - incident-response + - law-enforcement + phases: + - data-collection + platforms: + - macOS + skillLevel: novice + accessType: download + url: https://github.com/Lazza/Fuji + projectUrl: '' + license: GPL-3 + knowledgebase: false + tags: [mac-imaging, live-acquisition, macos-forensics, memory-imaging, dmg-creation] + - name: ALEAPP + description: >- + Python-Tool für das Parsen von Logs unter Android und Teil der + abrigoni-Suite. Generiert HtML/CSV-Reports. + domains: + - incident-response + - law-enforcement + - mobile-forensics + phases: + - examination + - analysis + platforms: + - Windows + - Linux + - macOS + skillLevel: intermediate + accessType: download + url: https://github.com/abrignoni/ALEAPP + projectUrl: '' + license: MIT + knowledgebase: false + tags: [android-forensics, artifact-parsing, mobile-analysis, report-generation, log-analysis] + - name: iLEAPP + description: >- + iOS Log-Parser auf Python-Basis und Teil der abrigoni-Suite. Generiert + HtML/CSV-Reports. + domains: + - incident-response + - law-enforcement + - mobile-forensics + phases: + - examination + - analysis + platforms: + - Windows + - Linux + - macOS + skillLevel: intermediate + accessType: download + url: https://github.com/abrignoni/iLEAPP + projectUrl: '' + license: MIT + knowledgebase: false + tags: [ios-forensics, artifact-parsing, iphone-analysis, report-generation, log-analysis] + - name: VLEAPP + description: >- + Vehicle Logs Events And Properties Parser, Teil der abrigoni-Suite. Kann + Artefakte aus Embedded Systems (Fahrzeugen) aufbereiten und ist dadurch in + einer besonderen Nische. Basiert auf JavaScript. + domains: + - law-enforcement + - ics-forensics + phases: + - examination + - analysis + platforms: + - Windows + - Linux + - macOS + skillLevel: intermediate + accessType: download + url: https://github.com/abrignoni/VLEAPP + projectUrl: '' + license: MIT + knowledgebase: false + tags: [vehicle-forensics, car-data, infotainment-analysis, embedded-systems, automotive] domains: - id: incident-response name: Incident Response & Breach-Untersuchung @@ -805,7 +823,6 @@ domains: name: Cloud & Virtuelle Umgebungen - id: ics-forensics name: Industrielle Kontrollsysteme (ICS/SCADA) - phases: - id: data-collection name: Datensammlung