From bfdd7da897c28c5f7619ec71c8930a58d3eb2e8d Mon Sep 17 00:00:00 2001 From: overcuriousity Date: Sat, 19 Jul 2025 00:04:54 +0200 Subject: [PATCH] append tools --- src/data/tools.yaml | 1345 +++++++++++++++++++++++++++++++++++-------- 1 file changed, 1095 insertions(+), 250 deletions(-) diff --git a/src/data/tools.yaml b/src/data/tools.yaml index 7c14657..415532e 100644 --- a/src/data/tools.yaml +++ b/src/data/tools.yaml @@ -1,13 +1,12 @@ tools: - name: Autopsy description: >- - Open-Source digitale Forensik-Anwendung mit grafischer Benutzeroberfläche - für Festplatten- und Dateisystemanalyse. Besonders geeignet für die - Auswertungs- und Analyse-Phase mit umfangreichen Carving- und - Timeline-Funktionen. DIE Alternative für kommerzielle Software im - Bereich, wenn es um die kriminalistische Untersuchung von Images geht, - steht den kommerziellen Lösungen von Cellebrite oder MAGNET Forensics kaum - nach, ist in der Bedienung aber etwas komplexer. + Die führende Open-Source-Alternative zu kommerziellen Forensik-Suiten mit + intuitiver grafischer Oberfläche. Besonders stark in der Timeline-Analyse, + Keyword-Suche und dem Carving gelöschter Dateien. Die modulare + Plugin-Architektur erlaubt Erweiterungen für spezielle + Untersuchungsszenarien. Zwar komplexer als kommerzielle Lösungen, aber + dafür vollständig transparent und kostenfrei. domains: - incident-response - law-enforcement @@ -17,64 +16,74 @@ tools: phases: - examination - analysis - - reporting platforms: - Windows - Linux - domain-agnostic-software: + domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://www.autopsy.com/ projectUrl: '' license: Apache 2.0 knowledgebase: false - tags: [disk-analysis, file-carving, timeline-analysis, gui, deleted-files] + tags: + - gui + - filesystem + - timeline-analysis + - carving + - artifact-extraction + - keyword-search - name: Volatility 3 description: >- - Fortgeschrittenes Memory-Forensik-Framework für Incident Response und - Malware-Analyse mit Plugin-Architektur. Hauptsächlich für die Auswertungs- - und Analysephase von RAM-Dumps geeignet. Das python-basierte Programm - liegt mittlerweile in der Version 3 vor und ist auf GitHub verfügbar. - Vorwiegend arbeitet Volatility mit x86_64-Architektur, was die Eignung für - Mobile-Forensics einschränkt. Eingeschränkt ist Volatility auch für - Netzwerkforensik geeignet. + Das Schweizer Taschenmesser der Memory-Forensik, unverzichtbar für die + Analyse von RAM-Dumps. Mit über 100 Plugins extrahiert es Prozesse, + Netzwerkverbindungen, Registry-Keys und versteckte Malware aus dem + Arbeitsspeicher. Die Python-basierte Architektur macht es flexibel + erweiterbar, erfordert aber solide Kommandozeilen-Kenntnisse. Version 3 + bringt deutliche Performance-Verbesserungen und bessere + Formatunterstützung. domains: - incident-response - law-enforcement - malware-analysis - network-forensics phases: - - data-collection - examination - analysis platforms: - Windows - Linux - macOS - domain-agnostic-software: + domain-agnostic-software: null skillLevel: advanced accessType: download url: https://www.volatilityfoundation.org/ projectUrl: '' license: VSL knowledgebase: false - tags: [memory-dumps, ram-analysis, plugin-based, command-line, process-analysis] + tags: + - commandline + - memory + - malware-analysis + - artifact-extraction + - scripting + - process-analysis - name: TheHive 5 description: >- - Kollaborative Security-Incident-Response-Plattform für SOCs, CERTs und - Sicherheitsteams mit Case-Management. Unterstützt scheinbar alle Phasen - einer Untersuchung, besonders für Koordination und Berichterstattung. - Keine Erfahrungswerte. Die Community Edition ist seit 2021 End-of-Life, - und daher möglicherweise nicht uneingeschränkt zu empfehlen. + Moderne Security-Orchestrierungs-Plattform für die koordinierte + Incident-Response im Team. Integriert nahtlos mit MISP, Cortex und anderen + Security-Tools für automatisierte Workflows. Die kostenlose Community + Edition wurde 2021 eingestellt, was die Langzeitperspektive fraglich + macht. Für professionelle SOCs dennoch eine der besten + Kollaborations-Lösungen am Markt. domains: - incident-response - law-enforcement - malware-analysis - network-forensics phases: - - data-collection - - examination - analysis + - reporting platforms: - Web domain-agnostic-software: @@ -85,16 +94,22 @@ tools: projectUrl: '' license: Community Edition (Free) / Commercial knowledgebase: false - tags: [case-management, team-collaboration, soc, workflow, alerts] + tags: + - web-based + - case-management + - collaboration + - api + - workflow-automation + - incident-tracking statusUrl: https://uptime.example.lab/api/badge/1/status - name: MISP description: >- - Threat-Intelligence-Plattform für strukturierten Austausch von IoCs. - Primär für Datensammlung und -anreicherung, unterstützt aber auch Analyse - durch Korrelation von Bedrohungsdaten. Besondere Stärke ist die Anbindung - an eine internationale, föderierte Community, die Entitäten aus ihren - Untersuchungen teilen. Kommt zunehmend in den Echtbetrieb bei - Strafverfolgungsbehörden, SIEMs, CERTs und Forensik-Institutionen. + Das Rückgrat des modernen Threat-Intelligence-Sharings mit über 40.000 + aktiven Instanzen weltweit. Ermöglicht den strukturierten Austausch von + IoCs zwischen Organisationen und automatisierte Bedrohungsanalyse. Die + föderierte Architektur und umfangreiche Taxonomie machen es zum + De-facto-Standard für CTI. Besonders wertvoll durch die Integration in + SIEMs, Firewalls und andere Sicherheitssysteme. domains: - incident-response - law-enforcement @@ -103,53 +118,64 @@ tools: - cloud-forensics phases: - data-collection - - examination - analysis platforms: - Web - domain-agnostic-software: + domain-agnostic-software: null skillLevel: intermediate accessType: self-hosted url: https://misp-project.org/ projectUrl: https://misp.cc24.dev license: AGPL-3.0 knowledgebase: true - tags: [threat-intelligence, ioc-sharing, correlation, community-driven, siem-integration] + tags: + - web-based + - threat-intelligence + - api + - correlation + - ioc-sharing + - automation statusUrl: https://status.mikoshi.de/api/badge/34/status - name: Timesketch description: >- - Kollaborative forensische Timeline-Analyse-Plattform. Hauptsächlich für - die Analysephase konzipiert, unterstützt chronologische - Ereigniskorrelation aus verschiedenen Quellen. Hat scheinbar eine - Einbindung von Plaso/Log2Timeline. + Google's Open-Source-Lösung für kollaborative Timeline-Analyse großer + Datensätze. Visualisiert und korreliert Ereignisse aus verschiedenen + Quellen in einer interaktiven Zeitachse. Die Plaso-Integration ermöglicht + automatisches Parsing hunderter Log-Formate. Ideal für komplexe Fälle mit + mehreren Analysten und Millionen von Zeitstempeln. domains: - incident-response - law-enforcement - network-forensics - cloud-forensics phases: - - examination - analysis - reporting platforms: - Web - domain-agnostic-software: + domain-agnostic-software: null skillLevel: intermediate accessType: self-hosted url: https://timesketch.org/ projectUrl: '' license: Apache 2.0 knowledgebase: false - tags: [timeline-analysis, collaborative, event-correlation, web-based, temporal-analysis] + tags: + - web-based + - timeline-analysis + - visualization + - collaboration + - logs + - correlation statusUrl: https://uptime.example.lab/api/badge/3/status - name: Wireshark description: >- - Netzwerk-Protokoll-Analyzer für Paketaufzeichnung und -analyse. Primär für - Datensammlung und Auswertung von Netzwerkverkehr, unterstützt über 2000 - Protokolle. Setzt voraus, das pcap-Dateien aufgezeichnet wurden, was - selten der Fall ist und meist erst anterograd möglich ist, wenn eine - Bedrohung bereits entdeckt wurde. Eignet sich daher eher weniger für - post-mortem-Untersuchungen. + Der unangefochtene König der Netzwerk-Protokoll-Analyse mit Support für + über 3000 Protokolle. Unverzichtbar für die Untersuchung von + Netzwerk-Anomalien, Malware-Kommunikation und Datenexfiltration. Die + mächtigen Display-Filter und Follow-Stream-Funktionen machen komplexe + Analysen zugänglich. Hauptnachteil: Benötigt vorhandene PCAP-Dateien, + eignet sich weniger für historische Analysen. domains: - incident-response - malware-analysis @@ -157,28 +183,34 @@ tools: - cloud-forensics - ics-forensics phases: - - data-collection - examination - analysis platforms: - Windows - Linux - macOS - domain-agnostic-software: + domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://www.wireshark.org/ projectUrl: '' license: GPL-2.0 knowledgebase: false - tags: [pcap-analysis, packet-capture, protocol-analysis, network-traffic, real-time] + tags: + - gui + - network-traffic + - packet-capture + - protocol-analysis + - visualization + - filtering - name: Magnet AXIOM description: >- - Umfassende digitale Forensik-Plattform für Computer und Mobilgeräte. Einer - der mächtigen Player in der Welt der Forensik, mit mächtigen Lizenzkosten. - Sehr etabliert im Law-Enforcement-Bereich mit Fokus auf die Untersuchung - von Rechnern und Mobilgeräten. Deckt alle Phasen ab mit besonderem Fokus - auf automatisierte Artefakt-Erkennung und Cloud-Forensik. + Die Rolls-Royce unter den kommerziellen Forensik-Suiten mit + beeindruckender Automatisierung. Glänzt besonders bei Cloud-Forensik mit + nativer Unterstützung für Google, Apple und Microsoft-Dienste. Die + KI-gestützte Bilderkennung und Connection-Analyse spart Ermittlern + wertvolle Zeit. Der Preis von mehreren zehntausend Euro macht es primär + für Behörden und Großunternehmen interessant. domains: - incident-response - law-enforcement @@ -191,22 +223,28 @@ tools: - reporting platforms: - Windows - domain-agnostic-software: + domain-agnostic-software: null skillLevel: beginner accessType: commercial url: https://www.magnetforensics.com/products/magnet-axiom/ projectUrl: '' license: Proprietary knowledgebase: false - tags: [automated-analysis, artifact-recovery, cloud-extraction, mobile-extraction, all-in-one] + tags: + - gui + - cloud-data + - mobile-data + - artifact-extraction + - automated-analysis + - reporting - name: Cellebrite UFED description: >- - Gemäß eigener Angaben führende Mobile-Forensik-Lösung für Extraktion und - Analyse von Smartphones und Tablets aus Israel. In der Tat führend was die - Ausnutzung von Zero-Day-Schwachstellen für die Entschlüsselung neuester - Smartphones betrifft. Stark etabliert im Law-Enforcement-Bereich, besticht - auch durch seinen relativ benutzerfreundlichen Einstieg mit dem - UFED-Reader. Starker Fokus auf Mobile-Forensik. Sehr hohe Lizenzkosten. + Der Goldstandard der mobilen Forensik mit legendären + Entsperrungsfähigkeiten für aktuelle Smartphones. Nutzt Zero-Day-Exploits + und Hardware-Schwachstellen für den Zugriff auf verschlüsselte Geräte. Die + Physical Analyzer Software macht die extrahierten Daten durch intelligente + Visualisierung verständlich. Mit Preisen im sechsstelligen Bereich und + ethischen Bedenken bezüglich der Käuferauswahl nicht unumstritten. domains: - law-enforcement - mobile-forensics @@ -214,45 +252,61 @@ tools: - data-collection - examination - analysis - - reporting platforms: - Windows - domain-agnostic-software: + domain-agnostic-software: null skillLevel: beginner accessType: commercial url: https://cellebrite.com/en/ufed/ projectUrl: '' license: Proprietary knowledgebase: false - tags: [mobile-extraction, smartphone-unlock, ios-android, physical-extraction, chat-recovery] + tags: + - gui + - mobile-data + - decryption + - artifact-extraction + - hardware-interface + - automated-analysis - name: Cuckoo Sandbox 3 description: >- - Automatisiertes Malware-Analysesystem und eine Alternative für Any.Run. - Hauptsächlich für die Sammlung von Artefakten ausgeführter Malware mit - dynamischer Verhaltensanalyse in isolierten Umgebungen, die i.d.R. auf - Windows-VMs basiert. In der aktuellen Version vom CERT Estland entwickelt. + Die führende Open-Source-Sandbox für automatisierte Malware-Analyse in + isolierten Umgebungen. Zeichnet Systemaufrufe, Netzwerkverkehr und + Verhaltensänderungen während der Malware-Ausführung auf. Version 3 vom + CERT-EE bringt moderne Python-3-Unterstützung und verbesserte + Erkennungsumgehung. Die Einrichtung erfordert fundierte + Virtualisierungskenntnisse, belohnt aber mit detaillierten Reports. domains: - incident-response - malware-analysis phases: - - data-collection + - examination + - analysis platforms: - Linux - Web - domain-agnostic-software: + domain-agnostic-software: null skillLevel: advanced accessType: self-hosted url: https://github.com/cert-ee/cuckoo3 projectUrl: '' license: GPL-3.0 knowledgebase: false - tags: [malware-sandbox, dynamic-analysis, behavioral-analysis, automated, vm-based] + tags: + - web-based + - malware-analysis + - behavioral-analysis + - api + - virtualization + - automated-analysis - name: Ghidra description: >- - NSA-entwickeltes Reverse-Engineering-Framework für statische - Malware-Analyse. Primär für tiefgehende Code-Analyse in der Analysephase. - Analysiert hauptsächlich statische Binärdateien und ist somit sehr - speziell und tiefgehend. + NSAs Geschenk an die Reverse-Engineering-Community als mächtige + Alternative zu IDA Pro. Der Decompiler verwandelt Maschinencode zurück in + lesbaren Pseudocode für tiefgehende Analyse. Unterstützt dutzende + Prozessorarchitekturen von x86 bis zu obskuren Embedded-Systemen. Die + steile Lernkurve wird durch die aktive Community und exzellente + Dokumentation gemildert. domains: - malware-analysis - ics-forensics @@ -261,47 +315,62 @@ tools: platforms: - Windows - Linux - domain-agnostic-software: + - macOS + domain-agnostic-software: null skillLevel: expert accessType: download url: https://github.com/NationalSecurityAgency/ghidra projectUrl: '' license: Apache 2.0 knowledgebase: false - tags: [reverse-engineering, disassembler, binary-analysis, decompiler, static-analysis] + tags: + - gui + - reverse-engineering + - binary + - decompilation + - scripting + - static-analysis - name: Plaso (log2timeline) description: >- - Tool zur automatischen Erstellung von Timelines. Hauptsächlich für - Datensammlung und Auswertung, bereitet Zeitstempel-Daten für die Analyse - vor. Ist mit Timesketch integrierbar und somit eine mögliche Komponente - davon, setzt aber früher in der Kette an. + Der industrielle Staubsauger für Zeitstempel - extrahiert aus hunderten + Quellen eine Super-Timeline. Parst Windows-Event-Logs, Browser-Historie, + Registry und vieles mehr in ein einheitliches Format. Die Integration mit + Timesketch ermöglicht die Visualisierung von Millionen Events. Performance + kann bei großen Datenmengen leiden, aber die Vollständigkeit ist + unübertroffen. domains: - incident-response - law-enforcement - network-forensics - cloud-forensics phases: + - data-collection - examination platforms: - Windows - Linux - macOS - domain-agnostic-software: + domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://plaso.readthedocs.io/ projectUrl: '' license: Apache 2.0 knowledgebase: false - tags: [timeline-creation, log-parsing, timestamp-extraction, super-timeline, artifact-parsing] + tags: + - commandline + - logs + - timeline-analysis + - parsing + - artifact-extraction + - scripting - name: CyberChef description: >- - Web-basiertes Tool für Datenmanipulation und -analyse. Vielseitig - einsetzbar in Auswertung und Analyse für Dekodierung, Verschlüsselung und - Datenextraktion. - - Quasi das schweizer Taschenmesser für URL Decoding, Character Encoding, - Base64 u.s.w. und sehr beliebt in CTFs. + Das digitale Schweizer Taschenmesser für Daten-Manipulation mit über 300 + Operations. Von Base64-Dekodierung über Verschlüsselung bis zur + Malware-Deobfuskation - alles im Browser. Die visuelle "Rezept"-Metapher + macht komplexe Transformationsketten intuitiv verständlich. Unverzichtbar + für CTF-Challenges und tägliche Forensik-Aufgaben gleichermaßen. domains: - incident-response - law-enforcement @@ -312,26 +381,28 @@ tools: - analysis platforms: - Web - domain-agnostic-software: + domain-agnostic-software: null skillLevel: beginner accessType: self-hosted url: https://gchq.github.io/CyberChef/ projectUrl: '' license: Apache 2.0 knowledgebase: false - tags: [data-decoding, encoding-conversion, web-based, ctf-tool, data-manipulation] + tags: + - web-based + - decoding + - encryption + - data-transformation + - visualization + - parsing - name: Velociraptor description: >- - Ein ausgesprochen nützliches Tool, das auch immer weiter an Bedeutung im - Bereich jeder Art von Live-Forensik gewinnt. Es ermöglicht das sammeln von - Artefakten in Echtzeit ohne physische Anwesenheit des Forensikers und ist - prinzipiell ein C&C-Server für die zu untersuchenden Endgeräte. - - Allerdings gibt es eine hohe Lernkurve, viele Befehle werden über die - eigene (SQL-ähnliche) VQL-Sprache ausgeführt. - - Es setzt somit früh in der forensischen Kette an, ist dafür für die - meisten Domänen tauglich. + Die nächste Evolution der Endpoint-Forensik mit skalierbarer + Remote-Collection-Architektur. Die mächtige VQL-Abfragesprache ermöglicht + chirurgisch präzise Artefakt-Sammlung ohne Full-Disk-Images. + Hunt-Funktionen durchsuchen tausende Endpoints gleichzeitig nach + Kompromittierungs-Indikatoren. Die Lernkurve ist steil, aber die + Effizienzgewinne bei großen Infrastrukturen sind enorm. domains: - incident-response - law-enforcement @@ -342,28 +413,35 @@ tools: phases: - data-collection - examination + - analysis platforms: - Windows - Linux - macOS - Web - domain-agnostic-software: + domain-agnostic-software: null skillLevel: advanced accessType: self-hosted url: https://www.velociraptor.app/ projectUrl: https://raptor.cc24.dev license: Apache 2.0 knowledgebase: true - tags: [live-forensics, remote-collection, endpoint-visibility, vql-queries, hunt-queries] + tags: + - web-based + - endpoint-monitoring + - artifact-extraction + - scripting + - live-forensics + - hunting statusUrl: https://status.mikoshi.de/api/badge/33/status - name: GRR Rapid Response description: >- - Remote-Live-Forensik Incident-Response. Ein Python-Client wird auf den - Endgeräten installiert und sammelt Artefakte, die zentral aggregiert - werden. Ähnlich wie Velociraptor aggregiert es somit Artefakte auf - Endgeräten, ist aber dabei weniger mächtig als sein Konkurrent. Selbiges - gilt für die Auswertung - grundlegendes filtern und taggen. Entwickelt von - Google. + Googles Antwort auf Enterprise-Scale-Forensik für die Untersuchung von + Flotten mit tausenden Clients. Sammelt gezielt Artefakte und führt + Memory-Analysen remote durch, ohne Systeme offline zu nehmen. Weniger + Features als Velociraptor, dafür stabiler und einfacher in der Handhabung. + Die Python-API ermöglicht die Automatisierung wiederkehrender + Untersuchungen. domains: - incident-response - law-enforcement @@ -377,21 +455,28 @@ tools: - Linux - macOS - Web - domain-agnostic-software: + domain-agnostic-software: null skillLevel: advanced accessType: self-hosted url: https://github.com/google/grr projectUrl: '' license: Apache 2.0 knowledgebase: false - tags: [remote-forensics, endpoint-collection, python-based, scalable, agent-based] + tags: + - web-based + - endpoint-monitoring + - artifact-extraction + - api + - live-forensics + - fleet-management - name: Arkime description: >- - Der große Bruder von Wireguard, skalierbare Full-Packet-Capture-Plattform. - Primär für Datensammlung und Auswertung von Netzwerkverkehr über längere - Zeiträume, kann pcap-Dateien auswerten. Wird in der Strafverfolgung und - überall eingesetzt, wo es Netzwerkverkehr zu untersuchen gilt. Hieß früher - auch "Moloch". + Das Heavy-Metal-Tool für Full-Packet-Capture mit der Fähigkeit, Petabytes + an Netzwerkverkehr zu speichern. Indiziert in Echtzeit Metadaten für + blitzschnelle Suchen über Monate historischer Daten. Die Integration mit + Elasticsearch ermöglicht komplexe Queries über Sessions, IPs und Payloads. + Ressourcenhungrig aber unverzichtbar für ernsthafte Network Security + Monitoring Operations. domains: - incident-response - law-enforcement @@ -403,22 +488,27 @@ tools: - analysis platforms: - Linux - domain-agnostic-software: + domain-agnostic-software: null skillLevel: expert accessType: self-hosted url: https://arkime.com/ projectUrl: '' license: Apache 2.0 knowledgebase: false - tags: [full-packet-capture, pcap-indexing, long-term-storage, network-monitoring, scalable] + tags: + - web-based + - network-traffic + - packet-capture + - indexing + - api + - big-data - name: NetworkMiner description: >- - Eine Wireguard-Alternative mit einfacherem GUI. Eignet ich ebenfalls zur - Analyse von pcap-Netzwerkverkehraufzeichnungen, erstellt genauso - Statistiken und ist dabei etwas übersichtlicher. Entwickelt von Netresec - und in der Strafverfolgung im Einsatz, extrahiert auch übertragene Dateien - aus den TCP-Paketen, die es relativ komfortabel zur Verfügung stellt. - Empfehlenswert besonders auch für Anfänger. + Der benutzerfreundliche kleine Bruder von Wireshark mit Fokus auf Forensik + statt Live-Analyse. Extrahiert automatisch übertragene Dateien, Bilder und + Credentials aus PCAP-Dateien. Die intuitive GUI zeigt Hosts, Sessions und + DNS-Queries übersichtlich ohne komplexe Filter. Perfekt für Einsteiger und + schnelle Übersichten, an Grenzen bei verschlüsseltem Traffic. domains: - incident-response - law-enforcement @@ -429,20 +519,29 @@ tools: - analysis platforms: - Windows - domain-agnostic-software: + - Linux + domain-agnostic-software: null skillLevel: beginner accessType: download url: https://www.netresec.com/?page=NetworkMiner projectUrl: '' license: GPL-2.0 / Commercial knowledgebase: false - tags: [pcap-analysis, file-extraction, gui, network-reconstruction, session-analysis] + tags: + - gui + - network-traffic + - file-extraction + - visualization + - parsing + - session-reconstruction - name: ExifTool description: >- - Universelles Metadaten-Tool für über 200 Dateiformate. Unverzichtbar für - Auswertung von Bild- und Dokumentmetadaten in allen forensischen Szenarien - und einfach in der Handhabung. Analysiert Metadaten von Bildern, Videos, - Dokumenten u.s.w. + Der Metadaten-Maestro, der aus über 1000 Dateiformaten verborgene + Informationen extrahiert. Findet GPS-Koordinaten in Fotos, Autoren in + Dokumenten und Bearbeitungshistorien in PDFs. Die Kommandozeile mag + abschrecken, aber die Mächtigkeit ist unübertroffen. Ein Must-Have für + jede Forensik-Toolbox, oft der erste Schritt bei + Dokumenten-Untersuchungen. domains: - incident-response - law-enforcement @@ -450,50 +549,63 @@ tools: - mobile-forensics phases: - examination + - analysis platforms: - Windows - Linux - macOS - domain-agnostic-software: + domain-agnostic-software: null skillLevel: novice accessType: download url: https://exiftool.org/ projectUrl: '' license: Perl Artistic License knowledgebase: false - tags: [metadata-extraction, image-analysis, document-metadata, command-line, file-properties] + tags: + - commandline + - metadata + - parsing + - artifact-extraction + - scripting + - batch-processing - name: Chainalysis description: >- - Anwendung zur umfangreichen Analyse von Blockchain-Finanztransaktionen. - Stark etabliert im Bereich der Strafverfolgung, konkurrenzlos in der - Datenbasis (Clustering) und unangefochten in der Auswertung von - nicht-Bitcoin Kryptowährungen (a.k.a. Shitcoins). Erstellt auch sehr gute - grafische Übersichten, die sich gut zur Repräsentation der Beweiskette - eignen. Sehr teures Lizenzmodell. + Der Platzhirsch der Blockchain-Forensik mit Zugriff auf die größte + Krypto-Intelligence-Datenbank weltweit. Clustering-Algorithmen + identifizieren Exchanges, Mixer und Darknet-Märkte mit beeindruckender + Genauigkeit. Die Sanctions Screening und Compliance-Features machen es zur + ersten Wahl für Behörden. Lizenzkosten im sechsstelligen Bereich + limitieren den Zugang auf Großorganisationen. domains: - law-enforcement - fraud-investigation phases: - - examination - analysis - reporting platforms: - Web - domain-agnostic-software: - skillLevel: advanced + domain-agnostic-software: null + skillLevel: intermediate accessType: commercial url: https://www.chainalysis.com/ projectUrl: '' license: Proprietary knowledgebase: false - tags: [blockchain-analysis, cryptocurrency, bitcoin-tracking, transaction-flow, wallet-clustering] + tags: + - web-based + - blockchain + - visualization + - correlation + - api + - reporting - name: Neo4j description: >- - Graph-Datenbank für Visualisierung komplexer Beziehungen. Besonders - geeignet für Visualisierung von Netzwerkverbindungen, Social Media. - Verwendet die "Cypher-Query-Language", mit der sich die Graphen - programmatisch erstellen lassen. Die Community-Edition ist eingeschränkt, - die kommerzielle Variante unterstützt beispielsweise mehrere Accounts. + Die führende Graph-Datenbank verwandelt komplexe Beziehungsgeflechte in + verständliche Visualisierungen. Mit Cypher-Queries lassen sich + Verbindungen zwischen Personen, Transaktionen und Events aufdecken. + Besonders wertvoll für Social-Media-Analysen, Geldflüsse und + Organisations-Strukturen. Die Community Edition limitiert auf einen + Benutzer - für Teams ist die kommerzielle Version nötig. domains: - law-enforcement - malware-analysis @@ -508,50 +620,60 @@ tools: - Linux - macOS - Web - domain-agnostic-software: + domain-agnostic-software: null skillLevel: intermediate accessType: self-hosted url: https://neo4j.com/ projectUrl: https://graph.cc24.dev license: GPL-3.0 / Commercial knowledgebase: false - tags: [graph-database, relationship-mapping, visualization, cypher-queries, link-analysis] + tags: + - web-based + - visualization + - graph-analysis + - api + - correlation + - query-language statusUrl: https://status.mikoshi.de/api/badge/32/status - name: QGIS description: >- - Open-Source Geoinformationssystem für räumliche Datenanalyse. Wertvoll für - Berichterstattung uns Landkartenerstellung bei Fällen mit GPS-Daten aus - Smartphones oder Fahrzeugen. Kann dabei beispielsweise CSV-Exporte aus - gesammelten Koordinaten & Zeitstempeln auswerten und darstellen. + Das Open-Source-GIS-Kraftpaket für die Visualisierung von Geodaten in + forensischen Untersuchungen. Erstellt aus GPS-Logs von Smartphones + beeindruckende Bewegungsprofile und Heatmaps. Die Python-Integration + ermöglicht automatisierte Analysen großer Datensätze. Unverzichtbar wenn + Fahrzeuge, Drohnen oder mobile Geräte mit Standortdaten involviert sind. domains: - law-enforcement - fraud-investigation - mobile-forensics phases: - - examination - analysis - reporting platforms: - Windows - Linux - macOS - domain-agnostic-software: + domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://qgis.org/ projectUrl: '' license: GPL-2.0 knowledgebase: false - tags: [gps-analysis, geolocation, mapping, spatial-data, location-tracking] + tags: + - gui + - geospatial + - visualization + - mapping + - scripting + - reporting - name: Nextcloud description: >- - Die Alleskönner-Plattform, die auch den Forensiker unterstützt: Durch - sicheren Datenaustausch mit Auftraggebern, Cloud-Speicher, - Kollaborationstools in Form von Chat, Videotelefonie und einer kompletten - Office-Suite, Kalender und E-Mail, aber auch als Infrastruktur als - SSO-Provider. Eine wahre All-in-One-Lösung und Vorzeoigeprojekt der - Open-Source-Welt. Kann sogar auf einem RaspberryPi gehostet werden. - Grundlage für unsere CC24-Cloud. + Die Open-Source-Cloud-Suite als sichere Kollaborations-Zentrale für + Forensik-Teams. Bietet verschlüsselte Dateifreigabe, Office-Integration + und Videokonferenzen DSGVO-konform. Der eingebaute SSO-Provider + vereinfacht das Identity Management für andere Forensik-Tools. Skaliert + vom Raspberry Pi für kleine Teams bis zur High-Availability-Installation. domains: - incident-response - law-enforcement @@ -573,16 +695,26 @@ tools: projectUrl: https://cloud.cc24.dev license: AGPL-3.0 knowledgebase: true - tags: [file-sharing, collaboration-platform, secure-storage, office-suite, self-hosted] + tags: + - web-based + - collaboration + - file-sharing + - api + - encryption + - document-management statusUrl: https://status.mikoshi.de/api/badge/11/status - name: Gitea description: >- - Leichtgewichtiger Git-Service für Versionskontrolle. Nützlich für - Dokumentation von Skripten, Playbooks und forensischen Prozeduren. + Das leichtgewichtige Git-Repository für die Versionierung von + Forensik-Skripten und Dokumentation. Perfekt für die Verwaltung von + YARA-Rules, Volatility-Plugins und Analysetools im Team. Die eingebaute + CI/CD-Pipeline automatisiert Tool-Deployments und Qualitätschecks. + Ressourcenschonend genug für den Betrieb auf einem NAS oder Mini-Server. domains: - incident-response - malware-analysis phases: + - reporting platforms: - Web domain-agnostic-software: @@ -593,12 +725,21 @@ tools: projectUrl: https://git.cc24.dev license: MIT knowledgebase: null - tags: [version-control, code-repository, documentation, git-hosting, lightweight] + tags: + - web-based + - version-control + - collaboration + - api + - documentation + - ci-cd statusUrl: https://status.mikoshi.de/api/badge/18/status - name: Binwalk description: >- - Firmware-Analyse-Tool für eingebettete Dateisysteme. Hochspezialisiert auf - Extraktion und Analyse von Firmware-Images in IoT- und ICS-Forensik. + Der Firmware-Flüsterer, der aus IoT-Geräten und Routern ihre Geheimnisse + extrahiert. Erkennt eingebettete Dateisysteme, komprimierte Archive und + versteckte Partitionen automatisch. Besonders wertvoll für die Analyse von + Embedded-Malware und Backdoors in Smart Devices. Die Magie liegt in den + Signaturen - mit eigenen Rules erweiterbar für spezielle Formate. domains: - malware-analysis - ics-forensics @@ -608,21 +749,27 @@ tools: platforms: - Linux - macOS - domain-agnostic-software: + domain-agnostic-software: null skillLevel: advanced accessType: download url: https://github.com/ReFirmLabs/binwalk projectUrl: '' license: MIT knowledgebase: false - tags: [firmware-extraction, embedded-systems, file-carving, iot-forensics, binary-analysis] - - name: Libre Office + tags: + - commandline + - firmware + - carving + - binary + - extraction + - scripting + - name: LibreOffice description: >- - Als bekannte Open-Source-Office-Alternative gehört LibreOffice auf jeden - Computer. Damit eignet es sich logischerweise perfekt zum Verfassen von - Berichten aller Art. Aber auch als Forensik-Tool bietet sich LibreOffice - Calc zur Analyse von Logs o.ä. an, auch wenn dafür speziellere Software - die Nase vorn hat. + Die freie Office-Suite, die mehr kann als nur Berichte schreiben. Calc + eignet sich hervorragend für die Analyse von CSV-Exporten und Log-Dateien. + Die Makro-Funktionen ermöglichen die Automatisierung wiederkehrender + Auswertungen. Als Standardformat für Abschlussberichte unverzichtbar und + überall einsetzbar. domains: - incident-response - law-enforcement @@ -633,6 +780,8 @@ tools: - cloud-forensics - ics-forensics phases: + - examination + - analysis - reporting platforms: - Windows @@ -646,16 +795,21 @@ tools: projectUrl: '' license: Mozilla Public License Version 2.0 knowledgebase: false - tags: [report-writing, spreadsheet-analysis, documentation, office-suite, open-source] - - name: Microsoft Office (365) + tags: + - gui + - document-creation + - spreadsheet-analysis + - reporting + - data-processing + - scripting + - name: Microsoft Office 365 description: >- - Eine sehr bekannte, verbreitete Office-Lösung, die sich offensichtlich wie - LibreOffice sehr gut zum Verfassen von Berichten aller Art eignet, - nachgeordnet auch zur Analyse von Logfiles oder sonstigen einfachen - Datensätzen in Excel. Ist besonders wegen seiner tiefen Integration in - viele Firmen-Umgebungen und andere Microsoft-Produkte nicht von der Hand - zu weisen und immer noch Libreoffice im Bedienkomfort überlegen - (kontrovers). + Der Industriestandard für professionelle Dokumentation mit nahtloser + Cloud-Integration. Excel's Power Query verwandelt komplexe + Forensik-Datensätze in aussagekräftige Visualisierungen. Die + Kollaborations-Features ermöglichen Echtzeit-Zusammenarbeit an Berichten. + Datenschutzbedenken bei Cloud-Speicherung sensibler Forensik-Daten sollten + bedacht werden. domains: - incident-response - law-enforcement @@ -666,10 +820,11 @@ tools: - cloud-forensics - ics-forensics phases: + - examination + - analysis - reporting platforms: - Windows - - Linux - macOS - Web domain-agnostic-software: @@ -680,60 +835,79 @@ tools: projectUrl: '' license: Proprietary knowledgebase: false - tags: [report-writing, excel-analysis, documentation, office-suite, cloud-based] + tags: + - gui + - document-creation + - spreadsheet-analysis + - collaboration + - cloud-based + - reporting - name: GraphSense description: >- - Das Chainalysis-Konkurrenzprodukt der österreichischen Firma IKNAIO. - Erzielt gute Ergebnisse, die Datenbasis (Clustering) ist jedoch nicht auf - dem Niveau von Chainalysis und vermutlich auch Gegenstand der proprietären - Daten. EU-Finanziert. Bemerkenswerterweise kann GraphSense als - OpenSource-Version installiert werden, in der Praxis dürfte das jedoch nur - eingeschränkt möglich sein, da ein sehr leistungsstarkes Apache - Cassandra-Cluster zum Betrieb notwendig sein soll. Ebenfalls schöne - grafische Repräsentation der Beweiskette. + Die europäische Alternative zu Chainalysis mit Open-Source-Kern und Fokus + auf Privatsphäre. Clustering-Qualität noch nicht auf Chainalysis-Niveau, + dafür vollständige Kontrolle über die Daten. Die + Cassandra-Backend-Anforderungen machen Self-Hosting zur Herausforderung + für kleine Teams. Ideal für Organisationen, die Blockchain-Analysen ohne + US-Cloud-Abhängigkeit benötigen. domains: - law-enforcement - fraud-investigation phases: - - examination - analysis - reporting platforms: - Web - domain-agnostic-software: + domain-agnostic-software: null skillLevel: intermediate accessType: self-hosted url: https://graphsense.org/ projectUrl: '' license: MIT knowledgebase: false - tags: [blockchain-analysis, cryptocurrency, open-source, bitcoin-tracking, visualization] + tags: + - web-based + - blockchain + - visualization + - graph-analysis + - api + - big-data - name: FTK Imager description: >- - Etabliertes Werkzeug zur Erstellung von Filesystem-Images zur - Post-Mortem-Analyse, aber auch Live-Forensik. Wird von exterro vertrieben. - Für Privatanwender und kleine Firmen kostenfrei (nicht verifiziert). + Der Oldtimer unter den Imaging-Tools, aber immer noch zuverlässig wie ein + Schweizer Uhrwerk. Erstellt bit-genaue Kopien von Festplatten mit + integrierter Hash-Verifizierung für die Beweiskette. Die kostenlose + Version reicht für die meisten Aufgaben, unterstützt alle gängigen + Image-Formate. Etwas angestaubt in der Oberfläche, aber bewährt in + tausenden Gerichtsverfahren. domains: - law-enforcement - - cloud-forensics + - incident-response phases: - data-collection platforms: - Windows - domain-agnostic-software: + domain-agnostic-software: null skillLevel: beginner - accessType: commercial + accessType: download url: https://www.exterro.com/digital-forensics-software/ftk-imager projectUrl: '' license: Freeware knowledgebase: false - tags: [disk-imaging, evidence-acquisition, e01-format, write-blocker, forensic-imaging] + tags: + - gui + - imaging + - filesystem + - hashing + - verification + - write-blocking - name: Guymager description: >- - Das Open-Source-Imaging-Tool der Wahl - generiert images im Rohformat, EWF - und AFF Format. Ausgesprochen einfach in der Bedienung, gewährleistet eine - saubere Beweiskette durch Hashwertbildung. Ist nur leider schon sehr alt, - funktioniert aber noch gut. + Das schlanke Linux-Imaging-Tool mit Fokus auf Performance und + Zuverlässigkeit. Multi-threaded Design nutzt moderne CPUs optimal für + schnellstmögliche Akquisition. Unterstützt RAW, EWF und AFF Formate mit + simultaner Hash-Berechnung. Die spartanische Oberfläche täuscht über die + solide Technik unter der Haube hinweg. domains: - incident-response - law-enforcement @@ -741,18 +915,27 @@ tools: - data-collection platforms: - Linux - domain-agnostic-software: + domain-agnostic-software: null skillLevel: novice accessType: download url: https://guymager.sourceforge.io/ projectUrl: '' - license: GPL-2 + license: GPL-2.0 knowledgebase: false - tags: [disk-imaging, linux-imaging, hash-verification, ewf-format, forensic-acquisition] + tags: + - gui + - imaging + - filesystem + - hashing + - multi-threading + - write-blocking - name: Fuji description: >- - Ein Live-Imaging-Tool für MacOS. Erstellt Speicherabbilder an einem - laufenden Mac, von Forensikern aus der Strafverfolgung empfohlen. + Der Geheimtipp für macOS-Forensiker - Live-Imaging ohne + Kernel-Modifikationen. Umgeht geschickt Apples Sicherheitsmechanismen für + forensisch saubere Speicherabbilder. Besonders wertvoll da kommerzielle + Mac-Forensik-Tools rar und teuer sind. Die aktive Community sorgt für + Updates bei neuen macOS-Versionen. domains: - incident-response - law-enforcement @@ -760,18 +943,27 @@ tools: - data-collection platforms: - macOS - domain-agnostic-software: - skillLevel: novice + domain-agnostic-software: null + skillLevel: intermediate accessType: download url: https://github.com/Lazza/Fuji projectUrl: '' - license: GPL-3 + license: GPL-3.0 knowledgebase: false - tags: [mac-imaging, live-acquisition, macos-forensics, memory-imaging, dmg-creation] + tags: + - commandline + - imaging + - memory + - live-forensics + - filesystem + - macos-specific - name: ALEAPP description: >- - Python-Tool für das Parsen von Logs unter Android und Teil der - abrigoni-Suite. Generiert HtML/CSV-Reports. + Android-Forensik leicht gemacht - parst dutzende Apps und System-Artefakte + automatisch. Von WhatsApp-Chats über Standortdaten bis zu gelöschten + SQLite-Einträgen wird alles extrahiert. Die HTML-Reports sind gerichtsfest + aufbereitet mit Timeline und Kommunikationsanalyse. Teil der beliebten + LEAPP-Familie, ständig aktualisiert für neue Android-Versionen. domains: - incident-response - law-enforcement @@ -783,18 +975,27 @@ tools: - Windows - Linux - macOS - domain-agnostic-software: + domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/abrignoni/ALEAPP projectUrl: '' license: MIT knowledgebase: false - tags: [android-forensics, artifact-parsing, mobile-analysis, report-generation, log-analysis] + tags: + - gui + - mobile-data + - artifact-extraction + - parsing + - reporting + - timeline-analysis - name: iLEAPP description: >- - iOS Log-Parser auf Python-Basis und Teil der abrigoni-Suite. Generiert - HtML/CSV-Reports. + Das iOS-Pendant zu ALEAPP mit Fokus auf Apple's geschlossenem Ökosystem. + Extrahiert versteckte Schätze aus iPhone-Backups inklusive gelöschter + Daten. Besonders stark bei der Analyse von iMessage, FaceTime und + Apple-eigenen Apps. Die regelmäßigen Updates halten Schritt mit + iOS-Änderungen und neuen Artefakten. domains: - incident-response - law-enforcement @@ -806,19 +1007,27 @@ tools: - Windows - Linux - macOS - domain-agnostic-software: + domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/abrignoni/iLEAPP projectUrl: '' license: MIT knowledgebase: false - tags: [ios-forensics, artifact-parsing, iphone-analysis, report-generation, log-analysis] + tags: + - gui + - mobile-data + - artifact-extraction + - parsing + - reporting + - ios-specific - name: VLEAPP description: >- - Vehicle Logs Events And Properties Parser, Teil der abrigoni-Suite. Kann - Artefakte aus Embedded Systems (Fahrzeugen) aufbereiten und ist dadurch in - einer besonderen Nische. Basiert auf JavaScript. + Die Zukunft der Fahrzeug-Forensik für vernetzte Autos und + Infotainment-Systeme. Parst CAN-Bus-Daten, GPS-Tracks und + Smartphone-Verbindungen aus modernen Fahrzeugen. Ein Nischen-Tool, aber + unverzichtbar bei Unfallrekonstruktionen und Kriminalfällen. Die + Unterstützung für verschiedene Hersteller wächst mit der Community. domains: - law-enforcement - ics-forensics @@ -829,17 +1038,27 @@ tools: - Windows - Linux - macOS - domain-agnostic-software: + domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/abrignoni/VLEAPP projectUrl: '' license: MIT knowledgebase: false - tags: [vehicle-forensics, car-data, infotainment-analysis, embedded-systems, automotive] + tags: + - gui + - vehicle-data + - artifact-extraction + - parsing + - gps-analysis + - can-bus - name: Kali Linux description: >- - Spezielle Linux-Distribution, die sich an Pentester richtet. Hat aber auch zahlreiche Forensik-Software an Bord. + Die Schweizer Armee-Messer-Distribution mit über 600 vorinstallierten + Security-Tools. Von Forensik über Penetration Testing bis Reverse + Engineering ist alles an Bord. Die Live-Boot-Option ermöglicht forensische + Untersuchungen ohne Installation. Regelmäßige Updates halten die + Tool-Sammlung auf dem neuesten Stand. domains: - incident-response - law-enforcement @@ -849,18 +1068,642 @@ tools: - mobile-forensics - cloud-forensics - ics-forensics - phases: + phases: [] platforms: - OS domain-agnostic-software: - specific-os - skillLevel: novice - accessType: OS + skillLevel: intermediate + accessType: download url: https://kali.org/ - projectUrl: - license: GPL-3 + projectUrl: null + license: GPL-3.0 knowledgebase: true - tags: [pentesting, OS, Linux] + tags: + - live-boot + - tool-collection + - penetration-testing + - forensics-suite + - virtualization + - arm-support + - name: dd + description: >- + Das Unix-Urgestein für bit-genaues Kopieren von Datenträgern seit 1974. + Minimalistisch aber mächtig - der Goldstandard für forensische Disk-Images + unter Linux. Mit den richtigen Parametern (conv=noerror,sync) übersteht es + auch defekte Sektoren. Keine Schnörkel, keine GUI, nur pure + Zuverlässigkeit für Forensik-Puristen. + domains: + - incident-response + - law-enforcement + phases: + - data-collection + platforms: + - Linux + - macOS + domain-agnostic-software: null + skillLevel: intermediate + accessType: built-in + url: https://www.gnu.org/software/coreutils/dd + projectUrl: '' + license: GPL-3.0 + knowledgebase: false + tags: + - commandline + - imaging + - raw-copy + - block-device + - unix-tool + - scripting + - name: dcfldd + description: >- + Die forensische Weiterentwicklung von dd mit eingebauter + Hash-Verifizierung. Zeigt Fortschrittsbalken, splittet große Images und + berechnet mehrere Hashes gleichzeitig. Von der DoD Computer Forensics Lab + entwickelt für professionelle Anforderungen. Die Status-Ausgabe während + langer Imaging-Vorgänge rettet Nerven und Zeit. + domains: + - incident-response + - law-enforcement + phases: + - data-collection + platforms: + - Linux + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://github.com/resurrecting-open-source-projects/dcfldd + projectUrl: '' + license: GPL-2.0 + knowledgebase: false + tags: + - commandline + - imaging + - hashing + - verification + - progress-monitoring + - split-output + - name: ewfacquire + description: >- + Das Kommandozeilen-Tool für Expert Witness Format (E01) Images mit + Kompression. Teil der libewf-Suite, erstellt gerichtsfeste Images mit + Metadaten und Chain of Custody. Besonders wertvoll für große Datenträger + dank effizienter Kompression. Die E01-Kompatibilität ermöglicht nahtlosen + Austausch mit kommerziellen Tools. + domains: + - incident-response + - law-enforcement + phases: + - data-collection + platforms: + - Linux + - macOS + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://github.com/libyal/libewf + projectUrl: '' + license: LGPL-3.0 + knowledgebase: false + tags: + - commandline + - imaging + - compression + - ewf-format + - metadata + - verification + - name: PhotoRec + description: >- + Der Datenretter in der Not - findet gelöschte Dateien ohne + Dateisystem-Strukturen. Signature-basiertes Carving für über 300 + Dateiformate von Fotos bis Office-Dokumenten. Arbeitet read-only und ist + damit forensisch sauber für die Beweissicherung. Die Schwestersoftware + TestDisk repariert zusätzlich beschädigte Partitionen. + domains: + - incident-response + - law-enforcement + - fraud-investigation + phases: + - examination + platforms: + - Windows + - Linux + - macOS + domain-agnostic-software: null + skillLevel: beginner + accessType: download + url: https://www.cgsecurity.org/wiki/PhotoRec + projectUrl: '' + license: GPL-2.0 + knowledgebase: false + tags: + - commandline + - carving + - file-recovery + - deleted-data + - signature-based + - cross-platform + - name: Kismet + description: >- + Der WLAN-Schnüffler der Extraklasse für Wireless-Forensik und + Sicherheitsaudits. Passives Monitoring deckt versteckte Netzwerke, Rogue + Access Points und Client-Geräte auf. Die GPS-Integration ermöglicht + War-Driving mit präziser Standort-Zuordnung. Unterstützt moderne Standards + wie 802.11ac und Bluetooth LE Sniffing. + domains: + - incident-response + - network-forensics + phases: + - data-collection + - examination + platforms: + - Linux + domain-agnostic-software: null + skillLevel: advanced + accessType: download + url: https://www.kismetwireless.net/ + projectUrl: '' + license: GPL-2.0 + knowledgebase: false + tags: + - commandline + - wireless-monitoring + - packet-capture + - gps-integration + - passive-scanning + - api + - name: OSFMount + description: >- + Mountet Disk-Images als virtuelle Laufwerke unter Windows für komfortable + Analyse. Unterstützt alle gängigen Formate von RAW über E01 bis zu + VM-Images. Der schreibgeschützte Modus garantiert forensische Integrität + der Beweise. Besonders praktisch für schnelle Triage ohne vollständige + Forensik-Suite. + domains: + - incident-response + - law-enforcement + phases: + - examination + platforms: + - Windows + domain-agnostic-software: null + skillLevel: beginner + accessType: download + url: https://www.osforensics.com/tools/mount-disk-images.html + projectUrl: '' + license: Freeware + knowledgebase: false + tags: + - gui + - image-mounting + - filesystem + - read-only + - virtual-drive + - format-support + - name: Thumbcache Viewer + description: >- + Spezialist für Windows Thumbnail-Caches mit Zugriff auf gelöschte + Bildvorschauen. Extrahiert Thumbnails aus thumbcache_*.db Dateien + inklusive EXIF-Zeitstempel. Unbezahlbar für den Nachweis, dass Bilder auf + einem System vorhanden waren. Die einfache GUI macht es auch für weniger + technische Ermittler zugänglich. + domains: + - law-enforcement + - fraud-investigation + phases: + - examination + - analysis + platforms: + - Windows + domain-agnostic-software: null + skillLevel: beginner + accessType: download + url: https://thumbcacheviewer.github.io/ + projectUrl: '' + license: GPL-3.0 + knowledgebase: false + tags: + - gui + - windows-artifacts + - image-analysis + - cache-analysis + - thumbnail-extraction + - deleted-data + - name: RegRipper + description: >- + Der Windows-Registry-Experte mit hunderten Plugins für automatisierte + Analyse. Extrahiert USB-Historie, installierte Software, + Benutzeraktivitäten und Malware-Spuren. Die Plugin-Architektur erlaubt + maßgeschneiderte Untersuchungen für spezielle Fälle. Spart Stunden + manueller Registry-Analyse und findet oft übersehene Artefakte. + domains: + - incident-response + - law-enforcement + - malware-analysis + phases: + - examination + - analysis + platforms: + - Windows + - Linux + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://github.com/keydet89/RegRipper3.0 + projectUrl: '' + license: MIT + knowledgebase: false + tags: + - commandline + - registry + - windows-artifacts + - parsing + - plugin-system + - artifact-extraction + - name: YARA + description: >- + Die Pattern-Matching-Engine für Malware-Jäger und Threat Hunter. + Regelbasierte Suche nach Strings, Byte-Sequenzen und regulären Ausdrücken. + De-facto Standard für Malware-Signaturen mit riesiger + Community-Rule-Sammlung. Integration in viele Forensik-Tools macht es zum + universellen Schweizer Messer. + domains: + - incident-response + - malware-analysis + phases: + - examination + - analysis + platforms: + - Windows + - Linux + - macOS + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://virustotal.github.io/yara/ + projectUrl: '' + license: BSD-3-Clause + knowledgebase: false + tags: + - commandline + - pattern-matching + - malware-detection + - rule-engine + - library + - signature-based + - name: Strings + description: >- + Das simple Tool mit großer Wirkung - extrahiert lesbare Texte aus + Binärdateien. Findet URLs, Passwörter, Pfade und andere + ASCII/Unicode-Strings in Malware. Die Ausgabe gibt oft erste Hinweise auf + Funktionalität und Herkunft. In Kombination mit grep ein mächtiges + Werkzeug für schnelle Triage. + domains: + - incident-response + - malware-analysis + phases: + - examination + platforms: + - Windows + - Linux + - macOS + domain-agnostic-software: null + skillLevel: novice + accessType: built-in + url: https://docs.microsoft.com/en-us/sysinternals/downloads/strings + projectUrl: '' + license: Proprietary/GPL + knowledgebase: false + tags: + - commandline + - string-extraction + - binary + - quick-analysis + - text-search + - cross-platform + - name: MaxMind GeoIP + description: >- + Die Geolocation-Datenbank für IP-Adressen-Zuordnung zu Ländern und + Städten. Unverzichtbar für die Analyse von Netzwerk-Logs und + Angriffsherkunft. Die kostenlose GeoLite2-Version reicht für die meisten + forensischen Zwecke. API-Integration ermöglicht automatisierte + Anreicherung großer Datensätze. + domains: + - incident-response + - network-forensics + - fraud-investigation + phases: + - analysis + platforms: + - Windows + - Linux + - macOS + domain-agnostic-software: null + skillLevel: beginner + accessType: download + url: https://www.maxmind.com/ + projectUrl: '' + license: GeoLite2 EULA / Commercial + knowledgebase: false + tags: + - api + - geolocation + - ip-analysis + - database + - enrichment + - library + - name: SIFT Workstation + description: >- + SANS' kuratierte Ubuntu-Distribution vollgepackt mit Forensik-Tools und + Skripten. Über 500 Tools vorinstalliert, vorkonfiguriert und dokumentiert + für sofortigen Einsatz. Die begleitenden Trainingsmaterialien machen es + zur idealen Lernumgebung. Regelmäßige Updates vom SANS-Team halten die + Tool-Sammlung aktuell. + domains: + - incident-response + - law-enforcement + - malware-analysis + - network-forensics + - mobile-forensics + phases: [] + platforms: + - OS + domain-agnostic-software: + - specific-os + skillLevel: intermediate + accessType: download + url: https://www.sans.org/tools/sift-workstation/ + projectUrl: '' + license: Free / Mixed + knowledgebase: false + tags: + - virtual-machine + - tool-collection + - forensics-suite + - training-focused + - documentation + - ubuntu-based + - name: Tsurugi Linux + description: >- + Die von Forensikern entwickelte Forensik-Distribution mit Fokus auf + Benutzerfreundlichkeit. Besonders stark bei Mobile- und Malware-Forensik + mit vielen spezialisierten Tools. Die DFIR-Menüstruktur gruppiert Tools + logisch nach Untersuchungsphasen. Läuft performant auch auf älterer + Hardware dank optimiertem Kernel. Hat einen integrierten Write-Blocker und + existiert in einer reduzierten "Acquire"-Version, die Imaging als + Live-System-Umgebung ermöglicht. + domains: + - incident-response + - law-enforcement + - malware-analysis + - mobile-forensics + platforms: + - OS + domain-agnostic-software: + - specific-os + skillLevel: intermediate + accessType: download + url: https://tsurugi-linux.org/ + license: GPL / Mixed + knowledgebase: false + tags: + - live-boot + - tool-collection + - forensics-suite + - mobile-focus + - lightweight + - name: Parrot Security OS + description: >- + Die Datenschutz-fokussierte Alternative zu Kali mit Forensik-Werkzeugen. + AnonSurf für anonymisierte Ermittlungen und verschlüsselte Kommunikation + eingebaut. Ressourcenschonender als Kali, läuft flüssig auch in VMs mit + wenig RAM. Die rolling-release Natur hält Tools aktuell ohne + Neuinstallation. + domains: + - incident-response + - law-enforcement + - malware-analysis + - network-forensics + phases: [] + platforms: + - OS + domain-agnostic-software: + - specific-os + skillLevel: intermediate + accessType: download + url: https://parrotsec.org/ + projectUrl: '' + license: GPL-3.0 + knowledgebase: false + tags: + - live-boot + - privacy-focused + - tool-collection + - rolling-release + - lightweight + - anonymization + - name: Eric Zimmerman Tools + description: >- + Die Tool-Sammlung des Windows-Forensik-Gurus für Artefakt-Analyse. Von + ShellBags über Prefetch bis zu Amcache - jedes Tool ein Spezialist. Die + Timeline Explorer GUI vereint alle Ausgaben in einer durchsuchbaren + Ansicht. Ständige Updates für neue Windows-Versionen und Cloud-Artefakte. + domains: + - incident-response + - law-enforcement + phases: + - examination + - analysis + platforms: + - Windows + domain-agnostic-software: null + skillLevel: intermediate + accessType: download + url: https://ericzimmerman.github.io/ + projectUrl: '' + license: MIT + knowledgebase: false + tags: + - commandline + - windows-artifacts + - parsing + - timeline-analysis + - tool-collection + - artifact-extraction + - name: Impacket + description: >- + Python-Bibliothek für Netzwerk-Protokoll-Manipulation und + Windows-Forensik. Ermöglicht Remote-Zugriff auf Windows-Systeme für + Live-Forensik und IR. Die Skript-Sammlung deckt von SMB-Enumeration bis + Kerberos-Attacks alles ab. Unverzichtbar für die Untersuchung von Lateral + Movement und Persistence. + domains: + - incident-response + - network-forensics + - malware-analysis + phases: + - data-collection + - examination + platforms: + - Linux + - Windows + - macOS + domain-agnostic-software: null + skillLevel: advanced + accessType: download + url: https://github.com/SecureAuthCorp/impacket + projectUrl: '' + license: Apache 2.0 + knowledgebase: false + tags: + - library + - network-protocols + - windows-forensics + - remote-access + - scripting + - api + - name: RSA NetWitness + description: >- + Enterprise-Grade SIEM und Forensik-Plattform für große Netzwerke. + Korreliert Logs, Packets und Endpoints für 360-Grad-Sicht auf Incidents. + Die Hunting-Funktionen nutzen ML für Anomalie-Erkennung in Petabytes von + Daten. Lizenzkosten im siebenstelligen Bereich für vollständige + Deployment. + domains: + - incident-response + - network-forensics + - malware-analysis + phases: + - data-collection + - examination + - analysis + platforms: + - Web + domain-agnostic-software: null + skillLevel: expert + accessType: commercial + url: https://www.netwitness.com/ + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - web-based + - siem + - big-data + - correlation + - machine-learning + - enterprise + - name: X-Ways Forensics + description: >- + Der deutsche Präzisionsskalpell unter den Forensik-Tools mit + unübertroffener Effizienz. Besonders geschätzt für blitzschnelle Searches + in Multi-Terabyte-Images. Die spartanische Oberfläche schreckt Einsteiger + ab, Profis schwören darauf. Deutlich günstiger als US-Konkurrenz bei + vergleichbarer Funktionalität. + domains: + - law-enforcement + - incident-response + phases: + - examination + - analysis + platforms: + - Windows + domain-agnostic-software: null + skillLevel: expert + accessType: commercial + url: https://www.x-ways.net/forensics/ + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - gui + - filesystem + - carving + - high-performance + - german-made + - hex-editor + - name: EnCase + description: >- + Der Veteran der kommerziellen Forensik-Tools mit 25 Jahren + Gerichtserfahrung. EnScript-Programmierung ermöglicht maßgeschneiderte + Automatisierung. Die Zertifizierung (EnCE) ist in vielen Behörden + Einstellungsvoraussetzung. + domains: + - law-enforcement + - incident-response + phases: + - data-collection + - examination + - analysis + - reporting + platforms: + - Windows + domain-agnostic-software: null + skillLevel: intermediate + accessType: commercial + url: https://www.opentext.com/products/encase-forensic + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - gui + - filesystem + - enterprise + - court-proven + - certification + - scripting + - name: FRED + description: >- + Forensic Recovery of Evidence Device - spezialisierte Hardware für + Imaging. Kombiniert Write-Blocker, Imager und Analyse-Workstation in einem + System. Die Ultrabay-Technologie ermöglicht Hot-Swap mehrerer Drives + gleichzeitig. Für High-Volume-Labs die Investition wert, für + Gelegenheitsnutzer Overkill. + domains: + - law-enforcement + - incident-response + phases: + - data-collection + platforms: + - Hardware + domain-agnostic-software: null + skillLevel: intermediate + accessType: commercial + url: https://www.digitalintelligence.com/products/fred/ + projectUrl: '' + license: Proprietary + knowledgebase: false + tags: + - hardware + - imaging + - write-blocking + - multiple-drives + - professional-lab + - integrated-system + - name: ICSpector + description: >- + Ein von Microsoft entwickeltes Open-Source-Framework, das eine besondere + Nische bedient: Die Datensammlung bei Industriekontrollsystemen und + PLC-Metadaten. + domains: + - ics-forensics + phases: + - data-collection + - examination + - analysis + platforms: + - Windows + - Linux + - macOS + skillLevel: advanced + accessType: download + url: https://github.com/microsoft/ics-forensics-tools + license: MIT + knowledgebase: false + tags: + - python + - binary + - scripting domains: - id: incident-response name: Incident Response & Breach-Untersuchung @@ -881,20 +1724,22 @@ domains: phases: - id: data-collection name: Datensammlung - description: "Imaging, Acquisition, Remote Collection Tools" + description: Imaging, Acquisition, Remote Collection Tools - id: examination name: Auswertung - description: "Parsing, Extraction, Initial Analysis Tools" + description: Parsing, Extraction, Initial Analysis Tools - id: analysis name: Analyse - description: "Deep Analysis, Correlation, Visualization Tools" + description: Deep Analysis, Correlation, Visualization Tools - id: reporting name: Bericht & Präsentation - description: "Documentation, Visualization, Presentation Tools (z.B. QGIS für Geodaten, Timeline-Tools)" + description: >- + Documentation, Visualization, Presentation Tools (z.B. QGIS für Geodaten, + Timeline-Tools) domain-agnostic-software: - id: collaboration-general name: Übergreifend & Kollaboration - description: "Cross-cutting tools and collaboration platforms" + description: Cross-cutting tools and collaboration platforms - id: specific-os name: Betriebssysteme - description: "Operating Systems which focus on forensics" \ No newline at end of file + description: Operating Systems which focus on forensics