From a3613327e2ae1b95a854ab0a17914156cee629f4 Mon Sep 17 00:00:00 2001 From: overcuriousity Date: Sun, 27 Jul 2025 22:48:14 +0200 Subject: [PATCH] improve tools.yaml --- src/data/tools.yaml | 2037 ++++++++++++++++++++++++++++++++++- src/data/tools.yaml.example | 220 ++++ 2 files changed, 2249 insertions(+), 8 deletions(-) create mode 100644 src/data/tools.yaml.example diff --git a/src/data/tools.yaml b/src/data/tools.yaml index 133f08b..d1ac010 100644 --- a/src/data/tools.yaml +++ b/src/data/tools.yaml @@ -1,4 +1,1980 @@ tools: + - name: Autopsy + type: software + description: >- + Die führende Open-Source-Alternative zu kommerziellen Forensik-Suiten mit + intuitiver grafischer Oberfläche. Besonders stark in der Timeline-Analyse, + Keyword-Suche und dem Carving gelöschter Dateien. Die modulare + Plugin-Architektur erlaubt Erweiterungen für spezielle + Untersuchungsszenarien. Zwar komplexer als kommerzielle Lösungen, aber + dafür vollständig transparent und kostenfrei. + skillLevel: intermediate + url: https://www.autopsy.com/ + tags: + - gui + - filesystem + - timeline-analysis + - carving + - artifact-extraction + - keyword-search + icon: 📦 + domains: + - incident-response + - static-investigations + - malware-analysis + - mobile-forensics + - cloud-forensics + phases: + - examination + - analysis + related_concepts: + - SQL Query Fundamentals + - Hash Functions & Digital Signatures + platforms: + - Windows + - Linux + accessType: Download + license: Apache 2.0 + knowledgebase: false + - name: Volatility 3 + icon: 📦 + type: software + description: >- + Das Universalwerkzeug der Live-Forensik, unverzichtbar für die Analyse von + RAM-Dumps. Mit über 100 Plugins extrahiert es Prozesse, + Netzwerkverbindungen, Registry-Keys und versteckte Malware aus dem + Arbeitsspeicher. Die Python-basierte Architektur macht es flexibel + erweiterbar, erfordert aber solide Kommandozeilen-Kenntnisse. Version 3 + bringt deutliche Performance-Verbesserungen und bessere + Formatunterstützung. + domains: + - incident-response + - static-investigations + - malware-analysis + - network-forensics + phases: + - examination + - analysis + platforms: + - Windows + - Linux + - macOS + related_concepts: + - Hash Functions & Digital Signatures + - Regular Expressions (Regex) + related_software: + domain-agnostic-software: null + skillLevel: advanced + accessType: download + url: https://www.volatilityfoundation.org/ + projectUrl: '' + license: VSL + knowledgebase: false + tags: + - commandline + - memory + - malware-analysis + - artifact-extraction + - scripting + - process-analysis + - name: TheHive 5 + icon: 🌐 + type: software + description: >- + Moderne Security-Orchestrierungs-Plattform für die koordinierte + Incident-Response im Team. Integriert nahtlos mit MISP, Cortex und anderen + Security-Tools für automatisierte Workflows. Die kostenlose Community + Edition wurde 2021 eingestellt, was die Langzeitperspektive fraglich + macht. Für professionelle SOCs dennoch eine der besten + Kollaborations-Lösungen am Markt. + domains: + - incident-response + - static-investigations + - malware-analysis + - network-forensics + phases: + - analysis + - reporting + platforms: + - Web + related_concepts: null + related_software: + domain-agnostic-software: + - collaboration-general + skillLevel: intermediate + accessType: server-based + url: https://github.com/TheHive-Project/TheHive + projectUrl: '' + license: Community Edition (Free) / Commercial + knowledgebase: false + tags: + - web-based + - case-management + - collaboration + - api + - workflow-automation + - incident-tracking + statusUrl: https://uptime.example.lab/api/badge/1/status + - name: MISP + icon: 🌐 + type: software + description: >- + Das Rückgrat des modernen Threat-Intelligence-Sharings mit über 40.000 + aktiven Instanzen weltweit. Ermöglicht den strukturierten Austausch von + IoCs zwischen Organisationen und automatisierte Bedrohungsanalyse. Die + föderierte Architektur und umfangreiche Taxonomie machen es zum + De-facto-Standard für CTI. Besonders wertvoll durch die Integration in + SIEMs, Firewalls und andere Sicherheitssysteme. + domains: + - incident-response + - static-investigations + - malware-analysis + - network-forensics + - cloud-forensics + phases: + - examination + - analysis + platforms: + - Web + skillLevel: intermediate + accessType: server-based + url: https://misp-project.org/ + projectUrl: https://misp.cc24.dev + license: AGPL-3.0 + knowledgebase: true + tags: + - web-based + - threat-intelligence + - api + - correlation + - ioc-sharing + - automation + statusUrl: https://status.mikoshi.de/api/badge/34/status + - name: Timesketch + icon: 📦 + type: software + description: >- + Google's Open-Source-Lösung für kollaborative Timeline-Analyse großer + Datensätze. Visualisiert und korreliert Ereignisse aus verschiedenen + Quellen in einer interaktiven Zeitachse. Die Plaso-Integration ermöglicht + automatisches Parsing hunderter Log-Formate. Ideal für komplexe Fälle mit + mehreren Analysten und Millionen von Zeitstempeln. + domains: + - incident-response + - static-investigations + - network-forensics + - cloud-forensics + phases: + - analysis + - reporting + platforms: + - Web + related_concepts: + - Regular Expressions (Regex) + - SQL Query Fundamentals + related_software: + domain-agnostic-software: null + skillLevel: intermediate + accessType: server-based + url: https://timesketch.org/ + projectUrl: '' + license: Apache 2.0 + knowledgebase: false + tags: + - web-based + - timeline-analysis + - visualization + - collaboration + - logs + - correlation + statusUrl: https://uptime.example.lab/api/badge/3/status + - name: Wireshark + icon: 📦 + type: software + description: >- + Der unangefochtene König der Netzwerk-Protokoll-Analyse mit Support für + über 3000 Protokolle. Unverzichtbar für die Untersuchung von + Netzwerk-Anomalien, Malware-Kommunikation und Datenexfiltration. Die + mächtigen Display-Filter und Follow-Stream-Funktionen machen komplexe + Analysen zugänglich. Hauptnachteil: Benötigt vorhandene PCAP-Dateien, + eignet sich weniger für historische Analysen. + domains: + - incident-response + - malware-analysis + - network-forensics + - cloud-forensics + - ics-forensics + phases: + - examination + - analysis + platforms: + - Windows + - Linux + - macOS + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://www.wireshark.org/ + projectUrl: '' + license: GPL-2.0 + knowledgebase: false + tags: + - gui + - network-traffic + - packet-capture + - protocol-analysis + - visualization + - filtering + - name: Magnet AXIOM + icon: 📦 + type: software + description: >- + Die Rolls-Royce unter den kommerziellen Forensik-Suiten mit + beeindruckender Automatisierung. Glänzt besonders bei Cloud-Forensik mit + nativer Unterstützung für Google, Apple und Microsoft-Dienste. Die + KI-gestützte Bilderkennung und Connection-Analyse spart Ermittlern + wertvolle Zeit. Der Preis von mehreren zehntausend Euro macht es primär + für Behörden und Großunternehmen interessant. + domains: + - incident-response + - static-investigations + - mobile-forensics + - cloud-forensics + phases: + - data-collection + - examination + - analysis + - reporting + platforms: + - Windows + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: beginner + accessType: commercial + url: https://www.magnetforensics.com/products/magnet-axiom/ + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - gui + - cloud-data + - mobile-data + - artifact-extraction + - automated-analysis + - reporting + - name: Cellebrite UFED + icon: 📦 + type: software + description: >- + Der Goldstandard der mobilen Forensik mit legendären + Entsperrungsfähigkeiten für aktuelle Smartphones. Nutzt Zero-Day-Exploits + und Hardware-Schwachstellen für den Zugriff auf verschlüsselte Geräte. Die + Physical Analyzer Software macht die extrahierten Daten durch intelligente + Visualisierung verständlich. Mit Preisen im sechsstelligen Bereich und + ethischen Bedenken bezüglich der Käuferauswahl nicht unumstritten. + domains: + - static-investigations + - mobile-forensics + phases: + - data-collection + - examination + - analysis + platforms: + - Windows + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: beginner + accessType: commercial + url: https://cellebrite.com/en/ufed/ + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - gui + - mobile-data + - decryption + - artifact-extraction + - hardware-interface + - automated-analysis + - name: Cuckoo Sandbox 3 + icon: 🌐 + type: software + description: >- + Die führende Open-Source-Sandbox für automatisierte Malware-Analyse in + isolierten Umgebungen. Zeichnet Systemaufrufe, Netzwerkverkehr und + Verhaltensänderungen während der Malware-Ausführung auf. Version 3 vom + CERT-EE bringt moderne Python-3-Unterstützung und verbesserte + Erkennungsumgehung. Die Einrichtung erfordert fundierte + Virtualisierungskenntnisse, belohnt aber mit detaillierten Reports. + domains: + - incident-response + - malware-analysis + phases: + - examination + - analysis + platforms: + - Linux + - Web + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: advanced + accessType: server-based + url: https://github.com/cert-ee/cuckoo3 + projectUrl: '' + license: GPL-3.0 + knowledgebase: false + tags: + - web-based + - malware-analysis + - behavioral-analysis + - api + - virtualization + - automated-analysis + - name: Ghidra + icon: 📦 + type: software + description: >- + NSAs Geschenk an die Reverse-Engineering-Community als mächtige + Alternative zu IDA Pro. Der Decompiler verwandelt Maschinencode zurück in + lesbaren Pseudocode für tiefgehende Analyse. Unterstützt dutzende + Prozessorarchitekturen von x86 bis zu obskuren Embedded-Systemen. Die + steile Lernkurve wird durch die aktive Community und exzellente + Dokumentation gemildert. + domains: + - malware-analysis + - ics-forensics + phases: + - analysis + platforms: + - Windows + - Linux + - macOS + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: expert + accessType: download + url: https://github.com/NationalSecurityAgency/ghidra + projectUrl: '' + license: Apache 2.0 + knowledgebase: false + tags: + - gui + - reverse-engineering + - binary + - decompilation + - scripting + - static-analysis + - name: Plaso (log2timeline) + icon: 📦 + type: software + description: >- + Der industrielle Staubsauger für Zeitstempel - extrahiert aus hunderten + Quellen eine Super-Timeline. Parst Windows-Event-Logs, Browser-Historie, + Registry und vieles mehr in ein einheitliches Format. Die Integration mit + Timesketch ermöglicht die Visualisierung von Millionen Events. Performance + kann bei großen Datenmengen leiden, aber die Vollständigkeit ist + unübertroffen. + domains: + - incident-response + - static-investigations + - network-forensics + - cloud-forensics + phases: + - data-collection + - examination + platforms: + - Windows + - Linux + - macOS + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://plaso.readthedocs.io/ + projectUrl: '' + license: Apache 2.0 + knowledgebase: false + tags: + - commandline + - logs + - timeline-analysis + - parsing + - artifact-extraction + - scripting + - name: CyberChef + icon: 🌐 + type: software + description: >- + Das digitale Schweizer Taschenmesser für Daten-Manipulation mit über 300 + Operations. Von Base64-Dekodierung über Verschlüsselung bis zur + Malware-Deobfuskation - alles im Browser. Die visuelle "Rezept"-Metapher + macht komplexe Transformationsketten intuitiv verständlich. Unverzichtbar + für CTF-Challenges und tägliche Forensik-Aufgaben gleichermaßen. + domains: + - incident-response + - static-investigations + - malware-analysis + - network-forensics + phases: + - examination + - analysis + platforms: + - Web + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: beginner + accessType: server-based + url: https://gchq.github.io/CyberChef/ + projectUrl: '' + license: Apache 2.0 + knowledgebase: false + tags: + - web-based + - decoding + - encryption + - data-transformation + - visualization + - parsing + - name: Velociraptor + icon: 🌐 + type: software + description: >- + Die nächste Evolution der Endpoint-Forensik mit skalierbarer + Remote-Collection-Architektur. Die mächtige VQL-Abfragesprache ermöglicht + chirurgisch präzise Artefakt-Sammlung ohne Full-Disk-Images. + Hunt-Funktionen durchsuchen tausende Endpoints gleichzeitig nach + Kompromittierungs-Indikatoren. Die Lernkurve ist steil, aber die + Effizienzgewinne bei großen Infrastrukturen sind enorm. + domains: + - incident-response + - static-investigations + - malware-analysis + - fraud-investigation + - network-forensics + - cloud-forensics + phases: + - data-collection + - examination + - analysis + platforms: + - Windows + - Linux + - macOS + - Web + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: advanced + accessType: server-based + url: https://www.velociraptor.app/ + projectUrl: https://raptor.cc24.dev + license: Apache 2.0 + knowledgebase: true + tags: + - web-based + - endpoint-monitoring + - artifact-extraction + - scripting + - live-forensics + - hunting + statusUrl: https://status.mikoshi.de/api/badge/33/status + - name: GRR Rapid Response + icon: 🌐 + type: software + description: >- + Googles Antwort auf Enterprise-Scale-Forensik für die Untersuchung von + Flotten mit tausenden Clients. Sammelt gezielt Artefakte und führt + Memory-Analysen remote durch, ohne Systeme offline zu nehmen. Weniger + Features als Velociraptor, dafür stabiler und einfacher in der Handhabung. + Die Python-API ermöglicht die Automatisierung wiederkehrender + Untersuchungen. + domains: + - incident-response + - static-investigations + - malware-analysis + - fraud-investigation + phases: + - data-collection + - examination + platforms: + - Windows + - Linux + - macOS + - Web + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: advanced + accessType: server-based + url: https://github.com/google/grr + projectUrl: '' + license: Apache 2.0 + knowledgebase: false + tags: + - web-based + - endpoint-monitoring + - artifact-extraction + - api + - live-forensics + - fleet-management + - name: Arkime + icon: 📦 + type: software + description: >- + Das Heavy-Metal-Tool für Full-Packet-Capture mit der Fähigkeit, Petabytes + an Netzwerkverkehr zu speichern. Indiziert in Echtzeit Metadaten für + blitzschnelle Suchen über Monate historischer Daten. Die Integration mit + Elasticsearch ermöglicht komplexe Queries über Sessions, IPs und Payloads. + Ressourcenhungrig aber unverzichtbar für ernsthafte Network Security + Monitoring Operations. + domains: + - incident-response + - static-investigations + - network-forensics + - cloud-forensics + phases: + - data-collection + - examination + - analysis + platforms: + - Linux + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: expert + accessType: server-based + url: https://arkime.com/ + projectUrl: '' + license: Apache 2.0 + knowledgebase: false + tags: + - web-based + - network-traffic + - packet-capture + - indexing + - api + - big-data + - name: NetworkMiner + icon: 📦 + type: software + description: >- + Der benutzerfreundliche kleine Bruder von Wireshark mit Fokus auf Forensik + statt Live-Analyse. Extrahiert automatisch übertragene Dateien, Bilder und + Credentials aus PCAP-Dateien. Die intuitive GUI zeigt Hosts, Sessions und + DNS-Queries übersichtlich ohne komplexe Filter. Perfekt für Einsteiger und + schnelle Übersichten, an Grenzen bei verschlüsseltem Traffic. + domains: + - incident-response + - static-investigations + - malware-analysis + - network-forensics + phases: + - examination + - analysis + platforms: + - Windows + - Linux + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: beginner + accessType: download + url: https://www.netresec.com/?page=NetworkMiner + projectUrl: '' + license: GPL-2.0 / Commercial + knowledgebase: false + tags: + - gui + - network-traffic + - file-extraction + - visualization + - parsing + - session-reconstruction + - name: ExifTool + icon: 📦 + type: software + description: >- + Der Metadaten-Maestro, der aus über 1000 Dateiformaten verborgene + Informationen extrahiert. Findet GPS-Koordinaten in Fotos, Autoren in + Dokumenten und Bearbeitungshistorien in PDFs. Die Kommandozeile mag + abschrecken, aber die Mächtigkeit ist unübertroffen. Ein Must-Have für + jede Forensik-Toolbox, oft der erste Schritt bei + Dokumenten-Untersuchungen. + domains: + - incident-response + - static-investigations + - fraud-investigation + - mobile-forensics + phases: + - examination + - analysis + platforms: + - Windows + - Linux + - macOS + related_concepts: + - Regular Expressions (Regex) + related_software: + domain-agnostic-software: null + skillLevel: novice + accessType: download + url: https://exiftool.org/ + projectUrl: '' + license: Perl Artistic License + knowledgebase: false + tags: + - commandline + - metadata + - parsing + - artifact-extraction + - scripting + - batch-processing + - name: Chainalysis + icon: 📦 + type: software + description: >- + Der Platzhirsch der Blockchain-Forensik mit Zugriff auf die größte + Krypto-Intelligence-Datenbank weltweit. Clustering-Algorithmen + identifizieren Exchanges, Mixer und Darknet-Märkte mit beeindruckender + Genauigkeit. Die Sanctions Screening und Compliance-Features machen es zur + ersten Wahl für Behörden. Lizenzkosten im sechsstelligen Bereich + limitieren den Zugang auf Großorganisationen. + domains: + - static-investigations + - fraud-investigation + phases: + - analysis + - reporting + platforms: + - Web + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: intermediate + accessType: commercial + url: https://www.chainalysis.com/ + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - web-based + - blockchain + - visualization + - correlation + - api + - reporting + - name: Neo4j + icon: 🌐 + type: software + description: >- + Die führende Graph-Datenbank verwandelt komplexe Beziehungsgeflechte in + verständliche Visualisierungen. Mit Cypher-Queries lassen sich + Verbindungen zwischen Personen, Transaktionen und Events aufdecken. + Besonders wertvoll für Social-Media-Analysen, Geldflüsse und + Organisations-Strukturen. Die Community Edition limitiert auf einen + Benutzer - für Teams ist die kommerzielle Version nötig. + domains: + - static-investigations + - malware-analysis + - fraud-investigation + - network-forensics + - cloud-forensics + phases: + - analysis + - reporting + platforms: + - Windows + - Linux + - macOS + - Web + related_concepts: + - SQL Query Fundamentals + related_software: + domain-agnostic-software: null + skillLevel: intermediate + accessType: server-based + url: https://neo4j.com/ + projectUrl: https://graph.cc24.dev + license: GPL-3.0 / Commercial + knowledgebase: false + tags: + - web-based + - visualization + - graph-analysis + - api + - correlation + - query-language + statusUrl: https://status.mikoshi.de/api/badge/32/status + - name: QGIS + icon: 📦 + type: software + description: >- + Das Open-Source-GIS-Kraftpaket für die Visualisierung von Geodaten in + forensischen Untersuchungen. Erstellt aus GPS-Logs von Smartphones + beeindruckende Bewegungsprofile und Heatmaps. Die Python-Integration + ermöglicht automatisierte Analysen großer Datensätze. Unverzichtbar wenn + Fahrzeuge, Drohnen oder mobile Geräte mit Standortdaten involviert sind. + domains: + - static-investigations + - fraud-investigation + - mobile-forensics + phases: + - analysis + - reporting + platforms: + - Windows + - Linux + - macOS + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://qgis.org/ + projectUrl: '' + license: GPL-2.0 + knowledgebase: false + tags: + - gui + - geospatial + - visualization + - mapping + - scripting + - reporting + - name: Nextcloud + icon: 🌐 + type: software + description: >- + Die Open-Source-Cloud-Suite als sichere Kollaborations-Zentrale für + Forensik-Teams. Bietet verschlüsselte Dateifreigabe, Office-Integration + und Videokonferenzen DSGVO-konform. Der eingebaute SSO-Provider + vereinfacht das Identity Management für andere Forensik-Tools. Skaliert + vom Raspberry Pi für kleine Teams bis zur High-Availability-Installation. + domains: + - incident-response + - static-investigations + - malware-analysis + - fraud-investigation + - network-forensics + - mobile-forensics + - cloud-forensics + - ics-forensics + phases: + - reporting + platforms: + - Web + related_concepts: null + related_software: + domain-agnostic-software: + - collaboration-general + skillLevel: novice + accessType: server-based + url: https://nextcloud.com/ + projectUrl: https://cloud.cc24.dev + license: AGPL-3.0 + knowledgebase: true + tags: + - web-based + - collaboration + - file-sharing + - api + - encryption + - document-management + statusUrl: https://status.mikoshi.de/api/badge/11/status + - name: Gitea + icon: 🌐 + type: software + description: >- + Das leichtgewichtige Git-Repository für die Versionierung von + Forensik-Skripten und Dokumentation. Perfekt für die Verwaltung von + YARA-Rules, Volatility-Plugins und Analysetools im Team. Die eingebaute + CI/CD-Pipeline automatisiert Tool-Deployments und Qualitätschecks. + Ressourcenschonend genug für den Betrieb auf einem NAS oder Mini-Server. + domains: + - incident-response + - malware-analysis + phases: + - reporting + platforms: + - Web + related_concepts: null + related_software: + domain-agnostic-software: + - collaboration-general + skillLevel: beginner + accessType: server-based + url: https://gitea.io/ + projectUrl: https://git.cc24.dev + license: MIT + knowledgebase: null + tags: + - web-based + - version-control + - collaboration + - api + - documentation + - ci-cd + statusUrl: https://status.mikoshi.de/api/badge/18/status + - name: Binwalk + icon: 📦 + type: software + description: >- + Der Firmware-Flüsterer, der aus IoT-Geräten und Routern ihre Geheimnisse + extrahiert. Erkennt eingebettete Dateisysteme, komprimierte Archive und + versteckte Partitionen automatisch. Besonders wertvoll für die Analyse von + Embedded-Malware und Backdoors in Smart Devices. Die Magie liegt in den + Signaturen - mit eigenen Rules erweiterbar für spezielle Formate. + domains: + - malware-analysis + - ics-forensics + phases: + - examination + - analysis + platforms: + - Linux + - macOS + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: advanced + accessType: download + url: https://github.com/ReFirmLabs/binwalk + projectUrl: '' + license: MIT + knowledgebase: false + tags: + - commandline + - firmware + - carving + - binary + - extraction + - scripting + - name: LibreOffice + icon: 📦 + type: software + description: >- + Die freie Office-Suite, die mehr kann als nur Berichte schreiben. Calc + eignet sich hervorragend für die Analyse von CSV-Exporten und Log-Dateien. + Die Makro-Funktionen ermöglichen die Automatisierung wiederkehrender + Auswertungen. Als Standardformat für Abschlussberichte unverzichtbar und + überall einsetzbar. + domains: + - incident-response + - static-investigations + - malware-analysis + - fraud-investigation + - network-forensics + - mobile-forensics + - cloud-forensics + - ics-forensics + phases: + - examination + - analysis + - reporting + platforms: + - Windows + - Linux + - macOS + related_concepts: null + related_software: + domain-agnostic-software: + - collaboration-general + skillLevel: novice + accessType: download + url: https://www.libreoffice.org/ + projectUrl: '' + license: Mozilla Public License Version 2.0 + knowledgebase: false + tags: + - gui + - document-creation + - spreadsheet-analysis + - reporting + - data-processing + - scripting + - name: Android Logical Imaging + icon: 📋 + type: method + description: >- + Es gibt immer wieder auch Fälle, wo man nicht allermodernste Mobilgeräte + knacken muss - der Großvater, der im Nachlass ein altes Samsung mit + wichtigen Daten hinterlassen hat. Es muss in diesn Fällen nicht der teure + Hersteller aus Israel sein. Die Androis-ADB-Shell bietet genug + Möglichkeiten, auch ohne viel Geld auszugeben an das logische Dateisystem + zu gelangen. Die Erfolgsaussichten sinken jedoch massiv bei neuren + Geräten. + domains: + - mobile-forensics + phases: + - data-collection + platforms: [] + skillLevel: advanced + accessType: null + url: https://claude.ai/public/artifacts/66785e1f-62bb-4eb9-9269-b08648161742 + projectUrl: null + license: null + knowledgebase: true + related_concepts: null + tags: + - imaging + - filesystem + - hardware-interface + - name: Microsoft Office 365 + type: software + description: >- + Der Industriestandard für professionelle Dokumentation mit nahtloser + Cloud-Integration. Excel's Power Query verwandelt komplexe + Forensik-Datensätze in aussagekräftige Visualisierungen. Die + Kollaborations-Features ermöglichen Echtzeit-Zusammenarbeit an Berichten. + Datenschutzbedenken bei Cloud-Speicherung sensibler Forensik-Daten sollten + bedacht werden. + domains: + - incident-response + - static-investigations + - malware-analysis + - fraud-investigation + - network-forensics + - mobile-forensics + - cloud-forensics + - ics-forensics + phases: + - examination + - analysis + - reporting + skillLevel: novice + url: https://www.office.com/ + tags: + - gui + - document-creation + - spreadsheet-analysis + - collaboration + - cloud-based + - reporting + icon: ☁️ + platforms: + - Windows + - macOS + - Web + accessType: commercial + license: Proprietary + knowledgebase: false + related_concepts: null + related_software: + domain-agnostic-software: + - collaboration-general + - name: GraphSense + icon: 🌐 + type: software + description: >- + Die europäische Alternative zu Chainalysis mit Open-Source-Kern und Fokus + auf Privatsphäre. Clustering-Qualität noch nicht auf Chainalysis-Niveau, + dafür vollständige Kontrolle über die Daten. Die + Cassandra-Backend-Anforderungen machen Self-Hosting zur Herausforderung + für kleine Teams. Ideal für Organisationen, die Blockchain-Analysen ohne + US-Cloud-Abhängigkeit benötigen. + domains: + - static-investigations + - fraud-investigation + phases: + - analysis + - reporting + platforms: + - Web + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: intermediate + accessType: server-based + url: https://graphsense.org/ + projectUrl: '' + license: MIT + knowledgebase: false + tags: + - web-based + - blockchain + - visualization + - graph-analysis + - api + - big-data + - name: FTK Imager + icon: 📦 + type: software + description: >- + Der Oldtimer unter den Imaging-Tools, aber immer noch zuverlässig wie ein + Uhrwerk. Erstellt bit-genaue Kopien von Festplatten mit integrierter + Hash-Verifizierung für die Beweiskette. Die kostenlose Version reicht für + die meisten Aufgaben, unterstützt alle gängigen Image-Formate. Etwas + angestaubt in der Oberfläche, aber bewährt in tausenden Gerichtsverfahren. + Freeware, aber nicht open source. + domains: + - static-investigations + - incident-response + phases: + - data-collection + platforms: + - Windows + related_concepts: + - Hash Functions & Digital Signatures + related_software: + domain-agnostic-software: null + skillLevel: beginner + accessType: download + url: https://www.exterro.com/digital-forensics-software/ftk-imager + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - gui + - imaging + - filesystem + - hashing + - verification + - write-blocking + - name: Guymager + icon: 📦 + type: software + description: >- + Das schlanke Linux-Imaging-Tool mit Fokus auf Performance und + Zuverlässigkeit. Multi-threaded Design nutzt moderne CPUs optimal für + schnellstmögliche Akquisition. Unterstützt RAW, EWF und AFF Formate mit + simultaner Hash-Berechnung. Die spartanische Oberfläche täuscht über die + solide Technik unter der Haube hinweg. + domains: + - incident-response + - static-investigations + phases: + - data-collection + platforms: + - Linux + related_concepts: + - Hash Functions & Digital Signatures + related_software: + domain-agnostic-software: null + skillLevel: novice + accessType: download + url: https://guymager.sourceforge.io/ + projectUrl: '' + license: GPL-2.0 + knowledgebase: false + tags: + - gui + - imaging + - filesystem + - hashing + - multi-threading + - write-blocking + - name: Fuji + icon: 📦 + type: software + description: >- + Der Geheimtipp für macOS-Forensiker - Live-Imaging ohne + Kernel-Modifikationen. Umgeht geschickt Apples Sicherheitsmechanismen für + forensisch saubere Speicherabbilder. Besonders wertvoll da kommerzielle + Mac-Forensik-Tools rar und teuer sind. Die aktive Community sorgt für + Updates bei neuen macOS-Versionen. + domains: + - incident-response + - static-investigations + phases: + - data-collection + platforms: + - macOS + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://github.com/Lazza/Fuji + projectUrl: '' + license: GPL-3.0 + knowledgebase: false + tags: + - commandline + - imaging + - memory + - live-forensics + - filesystem + - macos-specific + - name: ALEAPP + icon: 📦 + type: software + description: >- + Android-Forensik leicht gemacht - parst dutzende Apps und System-Artefakte + automatisch. Von WhatsApp-Chats über Standortdaten bis zu gelöschten + SQLite-Einträgen wird alles extrahiert. Die HTML-Reports sind gerichtsfest + aufbereitet mit Timeline und Kommunikationsanalyse. Teil der beliebten + LEAPP-Familie, ständig aktualisiert für neue Android-Versionen. + domains: + - incident-response + - static-investigations + - mobile-forensics + phases: + - examination + - analysis + platforms: + - Windows + - Linux + - macOS + related_concepts: + - SQL Query Fundamentals + related_software: + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://github.com/abrignoni/ALEAPP + projectUrl: '' + license: MIT + knowledgebase: false + tags: + - gui + - mobile-data + - artifact-extraction + - parsing + - reporting + - timeline-analysis + - name: iLEAPP + icon: 📦 + type: software + description: >- + Das iOS-Pendant zu ALEAPP mit Fokus auf Apple's geschlossenem Ökosystem. + Extrahiert versteckte Schätze aus iPhone-Backups inklusive gelöschter + Daten. Besonders stark bei der Analyse von iMessage, FaceTime und + Apple-eigenen Apps. Die regelmäßigen Updates halten Schritt mit + iOS-Änderungen und neuen Artefakten. + domains: + - incident-response + - static-investigations + - mobile-forensics + phases: + - examination + - analysis + platforms: + - Windows + - Linux + - macOS + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://github.com/abrignoni/iLEAPP + projectUrl: '' + license: MIT + knowledgebase: false + tags: + - gui + - mobile-data + - artifact-extraction + - parsing + - reporting + - ios-specific + - name: VLEAPP + icon: 📦 + type: software + description: >- + Die Zukunft der Fahrzeug-Forensik für vernetzte Autos und + Infotainment-Systeme. Parst CAN-Bus-Daten, GPS-Tracks und + Smartphone-Verbindungen aus modernen Fahrzeugen. Ein Nischen-Tool, aber + unverzichtbar bei Unfallrekonstruktionen und Kriminalfällen. Die + Unterstützung für verschiedene Hersteller wächst mit der Community. + domains: + - static-investigations + - ics-forensics + phases: + - examination + - analysis + platforms: + - Windows + - Linux + - macOS + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://github.com/abrignoni/VLEAPP + projectUrl: '' + license: MIT + knowledgebase: false + tags: + - gui + - vehicle-data + - artifact-extraction + - parsing + - gps-analysis + - can-bus + - name: Kali Linux + type: software + description: >- + Die wohlbekannte Hacker-Distribution mit über 600 vorinstallierten + Security-Tools. Von Forensik über Penetration Testing bis Reverse + Engineering ist alles an Bord. Die Live-Boot-Option ermöglicht forensische + Untersuchungen ohne Installation. Regelmäßige Updates halten die + Tool-Sammlung auf dem neuesten Stand. + domains: + - incident-response + - static-investigations + - malware-analysis + - fraud-investigation + - network-forensics + - mobile-forensics + - cloud-forensics + - ics-forensics + skillLevel: intermediate + url: https://kali.org/ + tags: + - live-boot + - tool-collection + - penetration-testing + - forensics-suite + - virtualization + - arm-support + icon: 🖥 + platforms: + - OS + accessType: download + license: GPL-3.0 + knowledgebase: true + related_concepts: null + related_software: + domain-agnostic-software: + - specific-os + - name: dd + icon: 📦 + type: software + description: >- + Das Unix-Urgestein für bit-genaues Kopieren von Datenträgern seit 1974. + Minimalistisch aber mächtig - der Goldstandard für forensische Disk-Images + unter Linux. Mit den richtigen Parametern (conv=noerror,sync) übersteht es + auch defekte Sektoren. Keine Schnörkel, keine GUI, nur pure + Zuverlässigkeit für Forensik-Puristen. + domains: + - incident-response + - static-investigations + phases: + - data-collection + platforms: + - Linux + - macOS + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: intermediate + accessType: built-in + url: https://www.gnu.org/software/coreutils/dd + projectUrl: '' + license: GPL-3.0 + knowledgebase: false + tags: + - commandline + - imaging + - raw-copy + - block-device + - unix-tool + - scripting + - name: dcfldd + icon: 📦 + type: software + description: >- + Die forensische Weiterentwicklung von dd mit eingebauter + Hash-Verifizierung. Zeigt Fortschrittsbalken, splittet große Images und + berechnet mehrere Hashes gleichzeitig. Von der DoD Computer Forensics Lab + entwickelt für professionelle Anforderungen. Die Status-Ausgabe während + langer Imaging-Vorgänge rettet Nerven und Zeit. + domains: + - incident-response + - static-investigations + phases: + - data-collection + platforms: + - Linux + related_concepts: + - Hash Functions & Digital Signatures + related_software: + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://github.com/resurrecting-open-source-projects/dcfldd + projectUrl: '' + license: GPL-2.0 + knowledgebase: false + tags: + - commandline + - imaging + - hashing + - verification + - progress-monitoring + - split-output + - name: ewfacquire + icon: 📦 + type: software + description: >- + Das Kommandozeilen-Tool für Expert Witness Format (E01) Images mit + Kompression. Teil der libewf-Suite, erstellt gerichtsfeste Images mit + Metadaten und Chain of Custody. Besonders wertvoll für große Datenträger + dank effizienter Kompression. Die E01-Kompatibilität ermöglicht nahtlosen + Austausch mit kommerziellen Tools. + domains: + - incident-response + - static-investigations + phases: + - data-collection + platforms: + - Linux + - macOS + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://github.com/libyal/libewf + projectUrl: '' + license: LGPL-3.0 + knowledgebase: false + tags: + - commandline + - imaging + - compression + - ewf-format + - metadata + - verification + - name: PhotoRec + icon: 📦 + type: software + description: >- + Der Datenretter in der Not - findet gelöschte Dateien ohne + Dateisystem-Strukturen. Signature-basiertes Carving für über 300 + Dateiformate von Fotos bis Office-Dokumenten. Arbeitet read-only und ist + damit forensisch sauber für die Beweissicherung. Die Schwestersoftware + TestDisk repariert zusätzlich beschädigte Partitionen. + domains: + - incident-response + - static-investigations + - fraud-investigation + phases: + - examination + platforms: + - Windows + - Linux + - macOS + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: beginner + accessType: download + url: https://www.cgsecurity.org/wiki/PhotoRec + projectUrl: '' + license: GPL-2.0 + knowledgebase: false + tags: + - commandline + - carving + - file-recovery + - deleted-data + - signature-based + - cross-platform + - name: Kismet + icon: 📦 + type: software + description: >- + Der WLAN-Schnüffler der Extraklasse für Wireless-Forensik und + Sicherheitsaudits. Passives Monitoring deckt versteckte Netzwerke, Rogue + Access Points und Client-Geräte auf. Die GPS-Integration ermöglicht + War-Driving mit präziser Standort-Zuordnung. Unterstützt moderne Standards + wie 802.11ac und Bluetooth LE Sniffing. + domains: + - incident-response + - network-forensics + phases: + - data-collection + - examination + platforms: + - Linux + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: advanced + accessType: download + url: https://www.kismetwireless.net/ + projectUrl: '' + license: GPL-2.0 + knowledgebase: false + tags: + - commandline + - wireless-monitoring + - packet-capture + - gps-integration + - passive-scanning + - api + - name: OSFMount + icon: 📦 + type: software + description: >- + Mountet Disk-Images als virtuelle Laufwerke unter Windows für komfortable + Analyse. Unterstützt alle gängigen Formate von RAW über E01 bis zu + VM-Images. Der schreibgeschützte Modus garantiert forensische Integrität + der Beweise. Besonders praktisch für schnelle Triage ohne vollständige + Forensik-Suite. Freeware, aber nicht open source. + domains: + - incident-response + - static-investigations + phases: + - examination + platforms: + - Windows + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: beginner + accessType: download + url: https://www.osforensics.com/tools/mount-disk-images.html + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - gui + - image-mounting + - filesystem + - read-only + - virtual-drive + - format-support + - freeware + - name: Thumbcache Viewer + icon: 📦 + type: software + description: >- + Spezialist für Windows Thumbnail-Caches mit Zugriff auf gelöschte + Bildvorschauen. Extrahiert Thumbnails aus thumbcache_*.db Dateien + inklusive EXIF-Zeitstempel. Unbezahlbar für den Nachweis, dass Bilder auf + einem System vorhanden waren. Die einfache GUI macht es auch für weniger + technische Ermittler zugänglich. + domains: + - static-investigations + - fraud-investigation + phases: + - examination + - analysis + platforms: + - Windows + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: beginner + accessType: download + url: https://thumbcacheviewer.github.io/ + projectUrl: '' + license: GPL-3.0 + knowledgebase: false + tags: + - gui + - windows-artifacts + - image-analysis + - cache-analysis + - thumbnail-extraction + - deleted-data + - name: RegRipper + icon: 📦 + type: software + description: >- + Der Windows-Registry-Experte mit hunderten Plugins für automatisierte + Analyse. Extrahiert USB-Historie, installierte Software, + Benutzeraktivitäten und Malware-Spuren. Die Plugin-Architektur erlaubt + maßgeschneiderte Untersuchungen für spezielle Fälle. Spart Stunden + manueller Registry-Analyse und findet oft übersehene Artefakte. + domains: + - incident-response + - static-investigations + - malware-analysis + phases: + - examination + - analysis + platforms: + - Windows + - Linux + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://github.com/keydet89/RegRipper3.0 + projectUrl: '' + license: MIT + knowledgebase: false + tags: + - commandline + - registry + - windows-artifacts + - parsing + - plugin-system + - artifact-extraction + - name: YARA + type: software + description: >- + Die Pattern-Matching-Engine für Malware-Jäger und Threat Hunter. + Regelbasierte Suche nach Strings, Byte-Sequenzen und regulären Ausdrücken. + De-facto Standard für Malware-Signaturen mit riesiger + Community-Rule-Sammlung. Integration in viele Forensik-Tools macht es zum + Marktstandard. + domains: + - incident-response + - malware-analysis + phases: + - examination + - analysis + skillLevel: intermediate + url: https://virustotal.github.io/yara/ + tags: + - commandline + - pattern-matching + - malware-detection + - rule-engine + - library + - signature-based + icon: 🛠 + platforms: + - Windows + - Linux + - macOS + related_concepts: + - Regular Expressions (Regex) + - Hash Functions & Digital Signatures + accessType: download + license: BSD-3-Clause + knowledgebase: false + - name: Strings + icon: 📦 + type: software + description: >- + Das simple Tool mit großer Wirkung - extrahiert lesbare Texte aus + Binärdateien. Findet URLs, Passwörter, Pfade und andere + ASCII/Unicode-Strings in Malware. Die Ausgabe gibt oft erste Hinweise auf + Funktionalität und Herkunft. In Kombination mit grep ein mächtiges + Werkzeug für schnelle Triage. + domains: + - incident-response + - malware-analysis + phases: + - examination + platforms: + - Windows + - Linux + - macOS + related_concepts: + - Regular Expressions (Regex) + related_software: + domain-agnostic-software: null + skillLevel: novice + accessType: built-in + url: https://docs.microsoft.com/en-us/sysinternals/downloads/strings + projectUrl: '' + license: Proprietary/GPL + knowledgebase: false + tags: + - commandline + - string-extraction + - binary + - quick-analysis + - text-search + - cross-platform + - name: MaxMind GeoIP + type: software + description: >- + Die Geolocation-Datenbank für IP-Adressen-Zuordnung zu Ländern und + Städten. Unverzichtbar für die Analyse von Netzwerk-Logs und + Angriffsherkunft. Die kostenlose GeoLite2-Version reicht für die meisten + forensischen Zwecke. API-Integration ermöglicht automatisierte + Anreicherung großer Datensätze. + domains: + - incident-response + - fraud-investigation + - network-forensics + phases: + - analysis + skillLevel: beginner + url: https://www.maxmind.com/ + tags: + - api + - geolocation + - ip-analysis + - database + - enrichment + - library + icon: 🗄 + platforms: + - Windows + - Linux + - macOS + accessType: download + license: GeoLite2 EULA / Commercial + knowledgebase: false + - name: SIFT Workstation + type: software + description: >- + SANS' kuratierte Ubuntu-Distribution vollgepackt mit Forensik-Tools und + Skripten. Über 500 Tools vorinstalliert, vorkonfiguriert und dokumentiert + für sofortigen Einsatz. Die begleitenden Trainingsmaterialien machen es + zur idealen Lernumgebung. Regelmäßige Updates vom SANS-Team halten die + Tool-Sammlung aktuell. + domains: + - incident-response + - static-investigations + - malware-analysis + - network-forensics + - mobile-forensics + skillLevel: intermediate + url: https://www.sans.org/tools/sift-workstation/ + tags: + - virtual-machine + - tool-collection + - forensics-suite + - training-focused + - documentation + - ubuntu-based + icon: 🖥 + platforms: + - OS + accessType: download + license: Free / Mixed + knowledgebase: false + related_concepts: null + related_software: + domain-agnostic-software: + - specific-os + - name: Tsurugi Linux + type: software + description: >- + Die von Forensikern entwickelte Forensik-Distribution mit Fokus auf + Benutzerfreundlichkeit. Besonders stark bei Mobile- und Malware-Forensik + mit vielen spezialisierten Tools. Die DFIR-Menüstruktur gruppiert Tools + logisch nach Untersuchungsphasen. Läuft performant auch auf älterer + Hardware dank optimiertem Kernel. Hat einen integrierten Write-Blocker und + existiert in einer reduzierten "Acquire"-Version, die Imaging als + Live-System-Umgebung ermöglicht. + domains: + - incident-response + - static-investigations + - malware-analysis + - mobile-forensics + skillLevel: intermediate + url: https://tsurugi-linux.org/ + tags: + - live-boot + - tool-collection + - forensics-suite + - mobile-focus + - lightweight + icon: 🖥 + platforms: + - OS + accessType: download + license: GPL / Mixed + knowledgebase: false + related_concepts: null + related_software: + domain-agnostic-software: + - specific-os + - name: Parrot Security OS + type: software + description: >- + Die Datenschutz-fokussierte Alternative zu Kali mit Forensik-Werkzeugen. + AnonSurf für anonymisierte Ermittlungen und verschlüsselte Kommunikation + eingebaut. Ressourcenschonender als Kali, läuft flüssig auch in VMs mit + wenig RAM. Die rolling-release Natur hält Tools aktuell ohne + Neuinstallation. + domains: + - incident-response + - static-investigations + - malware-analysis + - network-forensics + skillLevel: intermediate + url: https://parrotsec.org/ + tags: + - live-boot + - privacy-focused + - tool-collection + - rolling-release + - lightweight + - anonymization + icon: 🖥 + platforms: + - OS + accessType: download + license: GPL-3.0 + knowledgebase: false + related_concepts: null + related_software: + domain-agnostic-software: + - specific-os + - name: Eric Zimmerman Tools + icon: 📦 + type: software + description: >- + Die Tool-Sammlung des Windows-Forensik-Gurus für Artefakt-Analyse. Von + ShellBags über Prefetch bis zu Amcache - jedes Tool ein Spezialist. Die + Timeline Explorer GUI vereint alle Ausgaben in einer durchsuchbaren + Ansicht. Ständige Updates für neue Windows-Versionen und Cloud-Artefakte. + domains: + - incident-response + - static-investigations + phases: + - examination + - analysis + platforms: + - Windows + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://ericzimmerman.github.io/ + projectUrl: '' + license: MIT + knowledgebase: false + tags: + - commandline + - windows-artifacts + - parsing + - timeline-analysis + - tool-collection + - artifact-extraction + - name: Impacket + icon: 📦 + type: software + description: >- + Python-Bibliothek für Netzwerk-Protokoll-Manipulation und + Windows-Forensik. Ermöglicht Remote-Zugriff auf Windows-Systeme für + Live-Forensik und IR. Die Skript-Sammlung deckt von SMB-Enumeration bis + Kerberos-Attacks alles ab. Unverzichtbar für die Untersuchung von Lateral + Movement und Persistence. + domains: + - incident-response + - network-forensics + - malware-analysis + phases: + - data-collection + - examination + platforms: + - Linux + - Windows + - macOS + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: advanced + accessType: download + url: https://github.com/SecureAuthCorp/impacket + projectUrl: '' + license: Apache 2.0 + knowledgebase: false + tags: + - library + - network-protocols + - windows-forensics + - remote-access + - scripting + - api + - name: RSA NetWitness + icon: 📦 + type: software + description: >- + Enterprise-Grade SIEM und Forensik-Plattform für große Netzwerke. + Korreliert Logs, Packets und Endpoints für 360-Grad-Sicht auf Incidents. + Die Hunting-Funktionen nutzen ML für Anomalie-Erkennung in Petabytes von + Daten. Lizenzkosten im siebenstelligen Bereich für vollständige + Deployment. + domains: + - incident-response + - network-forensics + - malware-analysis + phases: + - data-collection + - examination + - analysis + platforms: + - Web + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: expert + accessType: commercial + url: https://www.netwitness.com/ + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - web-based + - siem + - big-data + - correlation + - machine-learning + - enterprise + - name: X-Ways Forensics + icon: 📦 + type: software + description: >- + Der deutsche Präzisionsskalpell unter den Forensik-Tools mit + unübertroffener Effizienz. Besonders geschätzt für blitzschnelle Searches + in Multi-Terabyte-Images. Die spartanische Oberfläche schreckt Einsteiger + ab, Profis schwören darauf. Deutlich günstiger als US-Konkurrenz bei + vergleichbarer Funktionalität. + domains: + - static-investigations + - incident-response + phases: + - examination + - analysis + platforms: + - Windows + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: expert + accessType: commercial + url: https://www.x-ways.net/forensics/ + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - gui + - filesystem + - carving + - high-performance + - german-made + - hex-editor + - name: EnCase + icon: 📦 + type: software + description: >- + Der Veteran der kommerziellen Forensik-Tools mit 25 Jahren + Gerichtserfahrung. EnScript-Programmierung ermöglicht maßgeschneiderte + Automatisierung. Die Zertifizierung (EnCE) ist in vielen Behörden + Einstellungsvoraussetzung. + domains: + - static-investigations + - incident-response + phases: + - data-collection + - examination + - analysis + - reporting + platforms: + - Windows + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: intermediate + accessType: commercial + url: https://www.opentext.com/products/encase-forensic + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - gui + - filesystem + - enterprise + - court-proven + - certification + - scripting + - name: FRED + icon: 🔧 + type: software + description: >- + Forensic Recovery of Evidence Device - spezialisierte Hardware für + Imaging. Kombiniert Write-Blocker, Imager und Analyse-Workstation in einem + System. Die Ultrabay-Technologie ermöglicht Hot-Swap mehrerer Drives + gleichzeitig. Für High-Volume-Labs die Investition wert, für + Gelegenheitsnutzer Overkill. + domains: + - static-investigations + - incident-response + phases: + - data-collection + platforms: + - Hardware + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: intermediate + accessType: commercial + url: https://www.digitalintelligence.com/products/fred/ + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - hardware + - imaging + - write-blocking + - multiple-drives + - professional-lab + - integrated-system + - name: ICSpector + type: software + description: >- + Ein von Microsoft entwickeltes Open-Source-Framework, das eine besondere + Nische bedient: Die Datensammlung bei Industriekontrollsystemen und + PLC-Metadaten. + domains: + - ics-forensics + phases: + - data-collection + - examination + - analysis + skillLevel: advanced + url: https://github.com/microsoft/ics-forensics-tools + tags: + - python + - binary + - scripting + icon: 🛠 + platforms: + - Windows + - Linux + - macOS + accessType: download + license: MIT + knowledgebase: false + - name: Live Memory Acquisition Procedure + icon: 📋 + type: method + description: >- + Standardisiertes Verfahren zur forensisch korrekten Akquisition des + Arbeitsspeichers laufender Systeme. Umfasst Bewertung der + Systemkritikalität, Auswahl geeigneter Tools, Minimierung der + System-Kontamination und Dokumentation der Chain of Custody. Essentiell + für die Sicherung flüchtiger Beweise wie Prozess-Informationen, + Netzwerkverbindungen und Verschlüsselungsschlüssel. + domains: + - incident-response + - static-investigations + - malware-analysis + phases: + - data-collection + platforms: [] + related_concepts: null + related_software: + domain-agnostic-software: null + skillLevel: advanced + accessType: null + url: >- + https://www.nist.gov/publications/guide-integrating-forensic-techniques-incident-response + projectUrl: null + license: null + knowledgebase: false + tags: + - memory-acquisition + - volatile-evidence + - live-forensics + - ram-dump + - evidence-preservation + - procedure - name: Rapid Incident Response Triage on macOS icon: 📋 type: method @@ -20,7 +1996,6 @@ tools: platforms: [] related_concepts: null related_software: - - Aftermath domain-agnostic-software: null skillLevel: intermediate accessType: null @@ -57,9 +2032,8 @@ tools: - examination platforms: - macOS - related_concepts: - - Hash Functions & Digital Signatures - related_software: null + related_concepts: null + related_software: domain-agnostic-software: null skillLevel: intermediate accessType: download @@ -94,7 +2068,7 @@ tools: - analysis platforms: [] related_concepts: null - related_software: null + related_software: domain-agnostic-software: null skillLevel: intermediate accessType: null @@ -126,7 +2100,7 @@ tools: - analysis platforms: [] related_concepts: null - related_software: null + related_software: domain-agnostic-software: null skillLevel: intermediate accessType: null @@ -158,7 +2132,7 @@ tools: - examination platforms: [] related_concepts: null - related_software: null + related_software: domain-agnostic-software: null skillLevel: advanced accessType: null @@ -172,6 +2146,29 @@ tools: - evidence-preservation - malware-identification - chain-of-custody + - name: MSAB XRY + type: software + description: >- + Die Smartphone-Extraktionssoftware der Firma MSAB positioniert sich als + Konkurrenz zum Marktführer Cellebrite. MSAB wirbt mit dem Imaging selbst + neuester Android- und IOS-Geräte. + skillLevel: beginner + url: https://www.msab.com/product/xry-extract/ + icon: 📦 + domains: + - mobile-forensics + phases: + - data-collection + tags: + - law-enforcement + - fast + - SIM + - image-recognition + platforms: + - Windows + accessType: download + license: Proprietary + knowledgebase: false domains: - id: incident-response name: Incident Response & Breach-Untersuchung @@ -217,4 +2214,28 @@ scenarios: friendly_name: "Registry-Analyse" - id: memory-forensics icon: 🧠 - friendly_name: "Memory-Forensik" \ No newline at end of file + friendly_name: "Memory-Forensik" + - id: network-traffic + icon: 🌐 + friendly_name: "Netzwerk-Traffic" + - id: mobile-forensik + icon: 📱 + friendly_name: "Mobile Geräte" + - id: malware-analysis + icon: 🦠 + friendly_name: "Malware-Analyse" + - id: timeline-analysis + icon: ⏰ + friendly_name: "Timeline-Erstellung" + - id: file-recovery + icon: 💾 + friendly_name: "Datei-Wiederherstellung" + - id: browser-forensik + icon: 🌍 + friendly_name: "Browser-Forensik" + - id: email-forensik + icon: 📧 + friendly_name: "E-Mail-Forensik" + - id: log-analysis + icon: 📊 + friendly_name: "Log-Analyse" \ No newline at end of file diff --git a/src/data/tools.yaml.example b/src/data/tools.yaml.example new file mode 100644 index 0000000..133f08b --- /dev/null +++ b/src/data/tools.yaml.example @@ -0,0 +1,220 @@ +tools: + - name: Rapid Incident Response Triage on macOS + icon: 📋 + type: method + description: >- + Spezialisierte Methodik für die schnelle Incident Response auf + macOS-Systemen mit Fokus auf die Sammlung kritischer forensischer + Artefakte in unter einer Stunde. Adressiert die Lücke zwischen + Windows-zentrierten IR-Prozessen und macOS-spezifischen + Sicherheitsarchitekturen. Nutzt Tools wie Aftermath für effiziente + Datensammlung ohne zeitaufwändige Full-Disk-Images. Besonders wertvoll für + Unternehmensumgebungen mit gemischten Betriebssystem-Landschaften. + domains: + - incident-response + - static-investigations + - malware-analysis + phases: + - data-collection + - examination + platforms: [] + related_concepts: null + related_software: + - Aftermath + domain-agnostic-software: null + skillLevel: intermediate + accessType: null + url: >- + https://www.sans.org/white-papers/rapid-incident-response-on-macos-actionable-insights-under-hour/ + projectUrl: null + license: null + knowledgebase: null + tags: + - macos + - rapid-response + - triage + - incident-response + - aftermath + - enterprise + - methodology + - apple + - name: Aftermath + icon: 📦 + type: software + description: >- + Jamf's Open-Source-Tool für die schnelle Sammlung forensischer Artefakte + auf macOS-Systemen. Sammelt kritische Daten wie Prozessinformationen, + Netzwerkverbindungen, Dateisystem-Metadaten und Systemkonfigurationen ohne + Full-Disk-Imaging. Speziell entwickelt für die Rapid-Response-Triage in + Enterprise-Umgebungen mit macOS-Geräten. Normalisiert Zeitstempel und + erstellt durchsuchbare Ausgabeformate für effiziente Analyse. + domains: + - incident-response + - static-investigations + - malware-analysis + phases: + - data-collection + - examination + platforms: + - macOS + related_concepts: + - Hash Functions & Digital Signatures + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://github.com/jamf/aftermath/ + projectUrl: '' + license: Apache 2.0 + knowledgebase: false + tags: + - macos + - incident-response + - triage + - artifact-collection + - rapid-response + - jamf + - enterprise + - commandline + - name: Regular Expressions (Regex) + icon: 🔤 + type: concept + description: >- + Pattern matching language for searching, extracting, and manipulating + text. Essential for log analysis, malware signature creation, and data + extraction from unstructured sources. Forms the backbone of many forensic + tools and custom scripts. + domains: + - incident-response + - malware-analysis + - network-forensics + - fraud-investigation + phases: + - examination + - analysis + platforms: [] + related_concepts: null + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: null + url: https://regexr.com/ + projectUrl: null + license: null + knowledgebase: true + tags: + - pattern-matching + - text-processing + - log-analysis + - string-manipulation + - search-algorithms + - name: SQL Query Fundamentals + icon: 🗃️ + type: concept + description: >- + Structured Query Language for database interrogation and analysis. + Critical for examining application databases, SQLite artifacts from + mobile devices, and browser history databases. Enables complex + correlation and filtering of large datasets. + domains: + - incident-response + - mobile-forensics + - fraud-investigation + - cloud-forensics + phases: + - examination + - analysis + platforms: [] + related_concepts: null + related_software: null + domain-agnostic-software: null + skillLevel: intermediate + accessType: null + url: https://www.w3schools.com/sql/ + projectUrl: null + license: null + knowledgebase: false + tags: + - database-analysis + - query-language + - data-correlation + - mobile-artifacts + - browser-forensics + - name: Hash Functions & Digital Signatures + icon: 🔐 + type: concept + description: >- + Cryptographic principles for data integrity verification and + authentication. Fundamental for evidence preservation, malware + identification, and establishing chain of custody. Understanding of MD5, + SHA, and digital signature validation. + domains: + - incident-response + - static-investigations + - malware-analysis + - cloud-forensics + phases: + - data-collection + - examination + platforms: [] + related_concepts: null + related_software: null + domain-agnostic-software: null + skillLevel: advanced + accessType: null + url: https://en.wikipedia.org/wiki/Cryptographic_hash_function + projectUrl: null + license: null + knowledgebase: false + tags: + - cryptography + - data-integrity + - evidence-preservation + - malware-identification + - chain-of-custody +domains: + - id: incident-response + name: Incident Response & Breach-Untersuchung + - id: static-investigations + name: Datenträgerforensik & Ermittlungen + - id: malware-analysis + name: Malware-Analyse & Reverse Engineering + - id: fraud-investigation + name: Betrugs- & Finanzkriminalität + - id: network-forensics + name: Netzwerk-Forensik & Traffic-Analyse + - id: mobile-forensics + name: Mobile Geräte & App-Forensik + - id: cloud-forensics + name: Cloud & Virtuelle Umgebungen + - id: ics-forensics + name: Industrielle Kontrollsysteme (ICS/SCADA) +phases: + - id: data-collection + name: Datensammlung + description: Imaging, Acquisition, Remote Collection Tools + - id: examination + name: Auswertung + description: Parsing, Extraction, Initial Analysis Tools + - id: analysis + name: Analyse + description: Deep Analysis, Correlation, Visualization Tools + - id: reporting + name: Bericht & Präsentation + description: >- + Documentation, Visualization, Presentation Tools (z.B. QGIS für Geodaten, + Timeline-Tools) +domain-agnostic-software: + - id: collaboration-general + name: Übergreifend & Kollaboration + description: Cross-cutting tools and collaboration platforms + - id: specific-os + name: Betriebssysteme + description: Operating Systems which focus on forensics +scenarios: + - id: registry + icon: 🗃️ + friendly_name: "Registry-Analyse" + - id: memory-forensics + icon: 🧠 + friendly_name: "Memory-Forensik" \ No newline at end of file