From d9636578bd85bea84f5451e9b8212ab1072f7913 Mon Sep 17 00:00:00 2001 From: overcuriousity Date: Sat, 9 Aug 2025 21:24:00 +0200 Subject: [PATCH] content update --- src/data/tools.yaml | 784 ++++++++++++++++++++------------------------ 1 file changed, 348 insertions(+), 436 deletions(-) diff --git a/src/data/tools.yaml b/src/data/tools.yaml index 5b8edf9..a99cf9c 100644 --- a/src/data/tools.yaml +++ b/src/data/tools.yaml @@ -2238,17 +2238,14 @@ tools: - name: Strings type: software description: >- - Binary-String-Extraction-Utility findet Human-Readable-Text in Executables - für Initial-Malware-Triage und C2-Infrastructure-Discovery ohne - Advanced-Analysis-Tools. Extrahiert URLs für Command-and-Control-Servers, - Hardcoded-Passwords, File-Paths, Error-Messages und Debug-Strings aus - Packed/Obfuscated-Malware. Unicode-Encoding-Support (UTF-8, UTF-16) für - International-Character-Sets, Minimum-Length-Filtering reduziert - False-Positive-Noise. Offset-Display ermöglicht Hex-Editor-Correlation für - Detailed-Binary-Analysis. Command-Line-Pipe-Integration mit grep, awk, sed - für Advanced-Pattern-Matching-Workflows. Essential-Tool für Quick-Wins bei - verschlüsselten/gepackten Samples wenn Strings im Unpacking-Stub oder - Static-Sections verbleiben. + Extrahiert lesbare Textfragmente aus Binärdateien für initiale + Malware-Analyse und Artefakt-Triage ohne aufwändige + Reverse-Engineering-Tools. Findet Command-and-Control-URLs, hardcodierte + Passwörter, Dateipfade und Debug-Nachrichten in verschleierten oder + gepackten Malware-Samples. Unicode-Unterstützung für internationale + Zeichensätze, Offset-Anzeige ermöglicht Hex-Editor-Korrelation. + Pipe-Integration mit grep und awk für erweiterte Mustersuche. + Unverzichtbar für Quick-Wins bei kryptischen Binärdateien. url: https://docs.microsoft.com/en-us/sysinternals/downloads/strings skillLevel: novice domains: @@ -2540,17 +2537,18 @@ tools: license: GPL-3.0 accessType: download - name: LibreOffice - icon: 📄 type: software description: >- - Verarbeitet massive CSV-Logs und Datenbank-Exporte mit Pivot-Tabellen und - Filtern für forensische Analysen. Calc erstellt komplexe - Timeline-Analysen, Writer generiert gerichtsfeste Reports mit - Inhaltsverzeichnis. Importiert obskure Dateiformate die Microsoft Office - ablehnt, repariert korrupte Dokumente, zeigt Metadaten fremder Files. - Draw visualisiert Netzwerk-Diagramme, Base fungiert als SQLite-Frontend. - Makro-Sprache automatisiert wiederkehrende Analysen. Kostenlos aber - professionell für weltweite Forensik-Dokumentation. + Analysiert umfangreiche Ermittlungsdaten durch leistungsstarke + Pivot-Tabellen und Filteroptionen für forensische Auswertungen. + Verarbeitet CSV-Logs, Datenbank-Exporte und Timeline-Daten für komplexe + Korrelationsanalysen. Calc erstellt aussagekräftige Diagramme aus + Beweismitteln, Writer generiert gerichtsfeste Berichte mit strukturiertem + Inhaltsverzeichnis. Importiert beschädigte oder proprietäre Dateiformate, + die kommerzielle Office-Pakete ablehnen. Makro-Sprache automatisiert + wiederkehrende Analysen. + url: https://www.libreoffice.org/ + skillLevel: novice domains: - incident-response - static-investigations @@ -2568,15 +2566,6 @@ tools: - Windows - Linux - macOS - related_software: - - Microsoft Office 365 - domain-agnostic-software: - - collaboration-general - skillLevel: novice - accessType: download - url: https://www.libreoffice.org/ - license: Mozilla Public License Version 2.0 - knowledgebase: false tags: - gui - reporting @@ -2590,17 +2579,23 @@ tools: - format-converter - pdf-creation - free-alternative + related_software: + - Microsoft Office 365 + icon: 📄 + license: Mozilla Public License Version 2.0 + accessType: download - name: Microsoft Office 365 type: software description: >- - Transformiert komplexe Log-Dateien durch Power Query in aussagekräftige - Visualisierungen für Big-Data-Forensik. Power Pivot verarbeitet Millionen - Datensätze, Excel-Makros automatisieren Routine-Analysen. - Kollaborations-Features ermöglichen Echtzeit-Teamarbeit, Cloud-Storage - sichert große Beweis-Sammlungen. Advanced eDiscovery für Compliance, - Teams integriert sichere Kommunikation. OneNote sammelt Screenshots - strukturiert, Power Automate verbindet Forensik-Tools. KI-Features in - Editor verbessern Report-Qualität. + Transformiert forensische Massendaten durch Power Query in strukturierte + Analysen für umfangreiche Ermittlungen. Power Pivot verarbeitet Millionen + von Log-Einträgen, Excel-Makros automatisieren wiederkehrende + Auswertungen. Kollaborationsfunktionen ermöglichen Echtzeit-Teamarbeit bei + komplexen Fällen, Cloud-Speicher sichert große Beweissammlungen. Advanced + eDiscovery für Compliance-Untersuchungen, OneNote strukturiert Screenshots + und Notizen. KI-gestützte Editorfunktionen verbessern Berichtsqualität. + url: https://www.office.com/ + skillLevel: novice domains: - incident-response - static-investigations @@ -2614,20 +2609,10 @@ tools: - examination - analysis - reporting - skillLevel: novice - url: https://www.office.com/ - icon: 📊 platforms: - Windows - macOS - Web - accessType: commercial - license: Proprietary - knowledgebase: false - related_software: - - LibreOffice - domain-agnostic-software: - - collaboration-general tags: - gui - web-interface @@ -2641,6 +2626,11 @@ tools: - team-integration - mobile-apps - automation-capable + related_software: + - LibreOffice + icon: 📊 + license: Proprietary + accessType: commercial - name: EnCase type: software description: >- @@ -2987,35 +2977,29 @@ tools: - name: ArcGIS type: software description: >- - Esris kommerzielle GIS-Plattform transformiert forensische Geodaten in - aussagekräftige räumliche Analysen für Ermittlungen. Besonders wertvoll - für komplexe Bewegungsprofile aus GPS-Logs, Cell-Tower-Triangulation und - Fahrzeug-Telematik. Die ArcMap-Desktop-Anwendung bietet erweiterte - Spatial-Queries: Buffer-Analysen identifizieren Verdächtige in - Tatort-Nähe, Hot-Spot-Detection findet Kriminalitätsschwerpunkte, - Network-Analyst berechnet optimale Fluchtrouten. Integration mit - Datenbanken ermöglicht Korrelation von Orten mit Personen, Fahrzeugen, - Kommunikation. Die 3D-Scene-Funktionen rekonstruieren Tatorte - photorealistisch. Crime-Mapping- Extensions speziell für Strafverfolgung. - Der Enterprise-Fokus bedeutet hohe Kosten (ab 7.000€) und - Schulungsaufwand, aber bewährte Kompetenz für Geo-Intelligence. - skillLevel: intermediate + Transformiert GPS-Daten, Mobilfunk-Logs und Fahrzeug-Telematik in + aussagekräftige räumliche Analysen für Ermittlungen. Buffer-Analysen + identifizieren Verdächtige in Tatort-Nähe, Hot-Spot-Detection findet + Kriminalitätsschwerpunkte. Network-Analyst berechnet optimale + Fluchtrouten, 3D-Szenen rekonstruieren Tatorte photorealistisch. + Korreliert Geodaten mit Personen, Fahrzeugen und Kommunikationsmustern. + Crime-Mapping-Erweiterungen speziell für Strafverfolgung entwickelt. url: https://www.esri.com/arcgis - icon: 🌍 + skillLevel: intermediate domains: - fraud-investigation - network-forensics phases: - reporting - tags: - - mapping - - visualization platforms: - Windows - macOS - accessType: commercial + tags: + - mapping + - visualization + icon: 🌍 license: Proprietary - knowledgebase: false + accessType: commercial - name: Binary Ninja type: software description: >- @@ -3086,36 +3070,40 @@ tools: - name: Collabora Online type: software description: >- - Browserbasierte Office-Suite ermöglicht simultane Dokumentenbearbeitung - für verteilte Forensik-Teams. Erstellt gerichtsfeste Reports mit - Versionskontrolle, unterstützt alle Office-Formate und integriert sich in - Nextcloud-Infrastrukturen für sichere Evidence-Collaboration ohne - Cloud-Abhängigkeit. - skillLevel: beginner + Ermöglicht sichere Echtzeit-Dokumentenbearbeitung für verteilte + Ermittlungsteams ohne Cloud-Abhängigkeit. Erstellt gerichtsfeste Berichte + mit vollständiger Versionskontrolle und Änderungshistorie. Unterstützt + alle gängigen Office-Formate, integriert nahtlos in + Nextcloud-Infrastrukturen. Verschlüsselte Kommunikation und granulare + Berechtigungen schützen sensible Ermittlungsdaten. Offline-Fähigkeiten für + abgeschottete Laborumgebungen. url: https://www.collaboraonline.com - icon: 📝 + skillLevel: beginner domains: - collaboration-general phases: - reporting - tags: - - office - - collaboration platforms: - Linux - Windows - accessType: download + tags: + - office + - collaboration + icon: 📝 license: MPL-2.0 OR AGPL-3.0 - knowledgebase: false + accessType: download - name: ShadowExplorer - icon: 🗂️ type: software description: >- - Das schlanke Windows-Tool macht Volume-Shadow-Copy-Snapshots auch in - Home-Editionen sichtbar und erlaubt das komfortable Durchstöbern sowie - Wiederherstellen früherer Datei-Versionen. Damit lassen sich versehentlich - gelöschte oder überschriebene Dateien in Sekunden zurückholen – geeignet - für schnelle Triage und klassische Datenträgerforensik. + Macht Windows Volume Shadow Copy Snapshots auch in Home-Editionen für + forensische Analyse zugänglich. Ermöglicht komfortables Durchstöbern und + Wiederherstellen früherer Dateiversionen ohne komplexe + Kommandozeilen-Tools. Rekonstruiert gelöschte oder überschriebene Dateien + aus automatischen Systemsicherungen. Besonders wertvoll für + Zeitpunkt-basierte Analysen und Nachweis von Datenmanipulationen. Schlanke + GUI für schnelle Triage klassischer Datenträgerforensik. + url: https://www.shadowexplorer.com/ + skillLevel: novice domains: - static-investigations - incident-response @@ -3124,14 +3112,6 @@ tools: - analysis platforms: - Windows - related_software: - - OSFMount - - PhotoRec - skillLevel: novice - accessType: download - url: https://www.shadowexplorer.com/ - license: Freeware - knowledgebase: false tags: - gui - shadow-copy @@ -3142,21 +3122,22 @@ tools: - point-in-time-restore related_concepts: - Digital Evidence Chain of Custody + related_software: + - OSFMount + - PhotoRec + icon: 🗂️ + license: Freeware + accessType: download - name: Sonic Visualiser type: software description: >- - Audio-Forensik-Analyse-Suite untersucht Wave-Dateien und komprimierte - Audio-Formats bis auf Sample-Ebene für Authenticity-Verification und - Manipulation-Detection. Spektrogramm-Visualisierung mit - Zeit-Frequenz-Analysis, FFT-basierte Spectral-Views und - Mel-Spectral-Representation für Advanced-Audio-Pattern-Recognition. - Vamp-Plugin-Ecosystem erweitert Analysis-Capabilities: Beat-Detection, - Pitch-Tracking, Onset-Detection für Automated-Feature-Extraction. - Annotation-Layers dokumentieren Findings mit Timestamps und - Frequency-Markers für Court-Presentation. Transkription-Plugins - konvertieren Audio zu Text für Content-Analysis. Export-Funktionen in - CSV/JSON ermöglichen Integration in Analysis-Pipelines und SIEM-Systems - für Large-Scale-Audio-Processing. + Analysiert Audio-Dateien bis auf Sample-Ebene für Authentizitätsprüfung + und Manipulationserkennung in forensischen Ermittlungen. + Spektrogramm-Visualisierung und FFT-basierte Analysen decken versteckte + Bearbeitungen auf. Vamp-Plugin-Ökosystem erweitert Analysefähigkeiten um + Beat-Detection und Pitch-Tracking. Annotation-Ebenen dokumentieren + Findings mit präzisen Zeitstempeln für Gerichtspräsentationen. + Export-Funktionen integrieren Ergebnisse in forensische Analyse-Pipelines. url: https://www.sonicvisualiser.org/ skillLevel: intermediate domains: @@ -3343,72 +3324,55 @@ tools: - name: Cortex type: software description: >- - TheHives Analyzer-Engine automatisiert Observable-Intelligence durch über - 100 integrierte Services von VirusTotal bis Shodan. Ein File-Hash - triggert parallel: AV-Scans, Sandbox-Detonation, YARA-Matching, - Reputation-Checks in Sekunden statt manueller Stunden-Arbeit. Die - Plugin-Architektur erweitert für Custom-APIs und interne - Threat-Intelligence. Besonders wertvoll: Responder-Actions ermöglichen - automatische Incident-Response (Block-IP, Quarantine-Host), - Taxonomy-Integration kategorisiert Threats nach MISP- Standards, - Job-History dokumentiert alle Analysen für Audit-Trails. - Docker-Deployment skaliert Workers je nach Load. Rate-Limiting verhindert - API-Quota-Erschöpfung. Die RESTful-API integriert in SOAR-Playbooks. - JSON-Templates definieren Analyzer-Konfigurationen. Community-Analyzer - erweitern für spezielle Use-Cases. Nach TheHive-Übernahme durch - StrangeBee wird Cortex 3.x als Open-Source weiterentwickelt. - Standard-Component moderner SOC-Automatisierung. - skillLevel: intermediate + Automatisiert Observable-Intelligence durch über 100 integrierte + Analysedienste von VirusTotal bis Shodan für beschleunigte Ermittlungen. + Ein File-Hash triggert parallel AV-Scans, Sandbox-Detonation und + YARA-Matching in Sekunden statt manueller Stundenarbeit. Responder-Actions + ermöglichen automatische Incident-Response wie IP-Blockierung oder + Host-Quarantäne. Plugin-Architektur erweitert für interne + Threat-Intelligence-Quellen. Docker-Deployment skaliert Worker je nach + Analyselast. url: https://strangebee.com/cortex - icon: 🧩 + skillLevel: intermediate domains: - incident-response - malware-analysis phases: - analysis + platforms: + - Linux tags: - automation - threat-intel - platforms: - - Linux - accessType: download + icon: 🧩 license: AGPL v3 - knowledgebase: false + accessType: download - name: Elasticsearch type: software description: >- - Die verteilte Such- und Analytics-Engine bildet das Herzstück moderner - Forensik-Infrastrukturen durch Near-Real-Time-Indexierung von Petabytes. - Lucene-basierte Volltext-Suche findet IOCs in Sekunden über Millionen - Logs. Die JSON-native Architektur verarbeitet strukturierte und - unstrukturierte Daten gleichermäßen. Besonders wertvoll: - Aggregations-Framework erstellt komplexe Timeline-Analysen, Geo-Queries - korrelieren Events geografisch, Machine-Learning-Features erkennen - Anomalien automatisch. Horizontal- Skalierung von Single-Node bis - Multi-Datacenter-Clusters. Die RESTful-API integriert mit allen - Forensik-Tools. Ingest-Pipelines normalisieren verschiedene Log-Formate. - Security-Features (X-Pack) bieten Encryption und RBAC für sensitive - Ermittlungen. Snapshot-Funktionen sichern forensische Integrität. Die - Index-Lifecycle-Management rotiert alte Daten automatisch. Basis für - ELK-Stack (Logstash, Kibana) und SIEM-Systeme. Unverzichtbar für moderne - SOCs und Incident-Response-Teams. - skillLevel: intermediate + Durchsucht Petabytes forensischer Logs in Echtzeit durch verteilte + Lucene-basierte Volltextsuche für moderne SOC-Infrastrukturen. JSON-native + Architektur verarbeitet strukturierte und unstrukturierte Ermittlungsdaten + gleichzeitig. Aggregations-Framework erstellt komplexe Timeline-Analysen, + Geo-Queries korrelieren Events geografisch. Machine-Learning-Features + erkennen Anomalien automatisch. Horizontal skalierbar von Single-Node bis + Multi-Datacenter-Clustern. Basis für ELK-Stack und SIEM-Systeme. url: https://www.elastic.co/elasticsearch - icon: 🔍 + skillLevel: intermediate domains: - incident-response - network-forensics phases: - analysis - tags: - - search - - big-data platforms: - Linux - Windows - accessType: download + tags: + - search + - big-data + icon: 🔍 license: Elastic-2.0 OR SSPL-1.0 - knowledgebase: false + accessType: download - name: Elliptic type: software description: >- @@ -3531,27 +3495,28 @@ tools: - name: GCHQ Tools type: software description: >- - Open-Source-Toolsammlung der britischen GCHQ mit CyberChef als Herzstück - für Datenmanipulation. Dekodiert Base64, XOR-Verschlüsselung, extrahiert - Strings aus Binärdateien und analysiert Entropie-Muster. Unverzichtbar für - Malware-Deobfuskation und schnelle Triage verdächtiger Artefakte. - skillLevel: beginner + Sammlung forensischer Werkzeuge der britischen GCHQ mit CyberChef als + Kernstück für Datenmanipulation und Dekodierung. Entschlüsselt Base64, + XOR-Verschlüsselung und andere Obfuskierungstechniken, extrahiert + versteckte Strings aus Binärdateien. Analysiert Entropie-Muster für + Verschlüsselungserkennung. Browser-basierte Bedienung ohne Installation, + Rezept-System für komplexe Verarbeitungsketten. Unverzichtbar für + Malware-Deobfuskation und schnelle Triage verdächtiger Artefakte. url: https://gchq.github.io/CyberChef - icon: 🥄 + skillLevel: beginner domains: - domain-agnostic-software phases: - analysis + platforms: + - Web tags: - encoding - crypto - parsing - platforms: - - Web - accessType: download + icon: 🥄 license: Apache 2.0 - knowledgebase: false - skillLevel: beginner + accessType: download - name: Gephi type: software description: >- @@ -3675,73 +3640,33 @@ tools: icon: 🖥️ license: Proprietary accessType: commercial - - name: KAPE - type: software - description: >- - Kroll Artifact Parser and Extractor versucht sich an Windows-Forensik - durch intelligente Ziel-basierte Sammlung. Statt Full-Disk-Images - extrahiert KAPE gezielt kritische Artefakte: Registry-Hives, Event-Logs, - Prefetch, Browser- Daten, Scheduled-Tasks in Minuten statt Stunden. Die - Target-Files definieren was gesammelt wird, Module-Files wie es - verarbeitet wird. Besonders clever: Compound-Targets gruppieren - zusammengehörige Artefakte (z.B. "Browser" sammelt Chrome+Firefox+Edge), - die gKAPE-GUI macht es auch für Nicht-Techniker zugänglich. Batch-Mode - verarbeitet mehrere Images parallel. Output direkt kompatibel zu - Timeline-Tools wie Plaso. VSS-Processing analysiert Shadow- Copies - automatisch. Der Remote-Collection-Mode sammelt über Netzwerk. Kostenlos - (mit Registrierung) aber Enterprise-Support verfügbar. - skillLevel: intermediate - url: https://www.kroll.com/kape - icon: 🧰 - domains: - - incident-response - - static-investigations - phases: - - data-collection - tags: - - artifact-collection - - triage - platforms: - - Windows - accessType: download - license: Proprietary - knowledgebase: false - name: Kibana type: software description: >- - Das Visualisierungs-Frontend des Elastic-Stacks verwandelt rohe - Forensik-Daten in aussagekräftige Dashboards und Echtzeit-Analysen. - Drag-and-Drop-Interface erstellt komplexe Queries ohne - Programmierkenntnisse. Besonders wertvoll für Incident-Response: - Timeline-Visualisierungen korrelieren Events über verschiedene Systeme, - Geo-Maps zeigen Angriffs-Ursprünge, Heat-Maps identifizieren - Aktivitätsmuster. Die Discover-Funktion ermöglicht explorative - Datenanalyse mit Drill-Down-Capabilities. Canvas erstellt Infografiken - für Management-Reports. Machine-Learning-Integration erkennt Anomalien - automatisch. Alerting-Framework triggert bei verdächtigen Mustern. - Dashboard-Sharing für SOC-Teams. Der Dev-Tools-Bereich bietet direkten - Elasticsearch-Zugriff für Power-User. Spaces isolieren verschiedene - Ermittlungen. Die Integration mit Wazuh, Suricata und anderen - SIEM-Komponenten macht es zum Standard-Dashboard moderner - Security-Operations. Kostenlos bis zu Basic-Features, X-Pack-Lizenzierung - für Enterprise-Funktionen. - skillLevel: beginner + Verwandelt forensische Rohdaten in aussagekräftige Dashboards und + Echtzeit-Analysen für Incident-Response-Teams. Timeline-Visualisierungen + korrelieren Events über verschiedene Systeme, Geo-Maps zeigen + Angriffs-Ursprünge. Heat-Maps identifizieren Aktivitätsmuster automatisch. + Drag-and-Drop-Interface erstellt komplexe Queries ohne + Programmierkenntnisse. Canvas erstellt Infografiken für + Management-Reports, Machine-Learning-Integration erkennt Anomalien. + Dashboard-Sharing für SOC-Teams. url: https://www.elastic.co/kibana - icon: 📊 + skillLevel: beginner domains: - incident-response phases: - analysis - reporting - tags: - - dashboards - - analytics platforms: - Linux - Windows - accessType: download + tags: + - dashboards + - analytics + icon: 📊 license: "Elastic\_License\_/\_SSPL" - knowledgebase: false + accessType: download - name: LiME type: software description: >- @@ -3847,28 +3772,29 @@ tools: - name: OnlyOffice type: software description: >- - Kollaborative Office-Suite mit Microsoft-Kompatibilität und - Self-Hosting-Option für sensitive Ermittlungen. Real-Time-Co-Editing - ermöglicht simultane Report-Erstellung, Version-History dokumentiert - Änderungen für Audit-Trails. SSO-Integration und granulare Permissions - sichern Multi-User-Forensik-Workflows. - skillLevel: beginner + Kollaborative Bürosuite mit vollständiger Microsoft-Kompatibilität für + forensische Berichtserstellung ohne Vendor-Lock-in. Echtzeit-Co-Editing + ermöglicht simultane Reporterstellung durch mehrere Ermittler, + Versionshistorie dokumentiert alle Änderungen für Audit-Trails. + SSO-Integration und granulare Berechtigungen sichern + Multi-User-Forensik-Workflows. Self-Hosting-Option für maximale + Datenkontrolle bei sensiblen Ermittlungen. url: https://www.onlyoffice.com - icon: 📄 + skillLevel: beginner domains: - collaboration-general phases: - reporting - tags: - - office - - collaboration platforms: - Windows - Linux - macOS - accessType: download + tags: + - office + - collaboration + icon: 📄 license: AGPL-3.0 OR Apache-2.0 - knowledgebase: false + accessType: download - name: OpenCTI type: software description: >- @@ -4182,23 +4108,25 @@ tools: - name: grep type: software description: >- - Klassisches Unix-Werkzeug zur Zeilenfilterung, entwickelt 1973 von Ken - Thompson zur schnellen Suche nach regulären Ausdrücken in Dateien oder - Datenströmen. Der Name leitet sich vom ed-Kommando „g/re/p“ ab und - spiegelt die Funktionsweise wider: globaler Ausdruck, Zeile drucken. GNU - grep unterstützt drei Regex-Dialekte (BRE, ERE, PCRE), Farb-Highlighting - und Zero-Copy-Block-Pufferung für Höchstgeschwindigkeit auch in riesigen - Logs. Dank seiner Pipe-Kompatibilität ist grep Grundbaustein unzähliger - DFIR-Einzeiler zum Parsen von Artefakten, Netzwerk-Flows und Memory-Dumps. - skillLevel: beginner + Filtert forensische Logs und Speicher-Dumps durch leistungsstarke reguläre + Ausdrücke für präzise Beweissuche. GNU-Implementierung unterstützt drei + Regex-Dialekte und Farb-Highlighting für schnelle Mustererkennung. + Zero-Copy-Block-Pufferung ermöglicht Höchstgeschwindigkeit auch in + riesigen Dateien. Pipe-Kompatibilität macht grep zum Grundbaustein + unzähliger DFIR-Einzeiler für Artefakt-Parsing und Netzwerk-Flow-Analyse. + Verfügbar auf jeder Unix-Plattform ohne Installation. url: https://www.gnu.org/software/grep/ - icon: 🔍 + skillLevel: beginner domains: - incident-response - static-investigations phases: - examination - analysis + platforms: + - Linux + - macOS + - Windows tags: - cli - regular-expressions @@ -4206,26 +4134,21 @@ tools: - filtering related_concepts: - Regular Expressions (Regex) - platforms: - - Linux - - macOS - - Windows - accessType: download + icon: 🔍 license: "GPL\_v3" - knowledgebase: false + accessType: download - name: md5sum / sha256sum type: software description: >- - Klassische Kommandozeilen-Checksummengeneratoren aus den GNU coreutils, - die schnell kryptografische Prüfsummen (MD5 bzw. SHA-256) berechnen und - verifizieren können. Ideal zur Integritätsprüfung von Forensik-Images, - Log-Archiven und Download-Artefakten; auch als Stream-Filter einsetzbar - („cat image.dd | sha256sum“). Minimalistischer Funktionsumfang, aber auf - nahezu jeder Unix-ähnlichen Plattform vorinstalliert und damit überall - verfügbar. - skillLevel: beginner + Berechnet kryptografische Prüfsummen für Integritätsprüfung forensischer + Images und Artefakte mit minimaler Systembelastung. Verifiziert + Chain-of-Custody durch Hash-Vergleiche vor und nach Analysen. + Stream-Filter-Fähigkeit ermöglicht simultane Hash-Berechnung während + Disk-Imaging. Auf nahezu jeder Unix-Plattform vorinstalliert, daher + überall verfügbar für spontane Verifizierungen. Erzeugt standardkonforme + Prüfsummen für gerichtliche Verwertbarkeit. url: https://www.gnu.org/software/coreutils/ - icon: 🔢 + skillLevel: beginner domains: - incident-response - static-investigations @@ -4233,114 +4156,115 @@ tools: phases: - examination - analysis + platforms: + - Linux + - macOS + - Windows tags: - cli - hashing - integrity related_concepts: - Hash Functions & Digital Signatures - platforms: - - Linux - - macOS - - Windows - accessType: Linux (GNU-Utils) + icon: 🔢 license: GPL-3.0 - knowledgebase: false - name: hashdeep type: software description: >- - Multithread-fähiges Audit-Werkzeug, das Dateien rekursiv einliest und - gleich mehrere Hash-Algorithmen (MD5, SHA-1, SHA-256, Tiger u.a.) erzeugt. - Unterstützt „baseline auditing“ zum automatischen Wieder­erkennen neuer - oder veränderter Dateien und kann Hash-Listen in NIST-NSRL- oder - CSV-Format ausgeben – perfekt für große Datenträger-Batches. - skillLevel: intermediate + Erstellt rekursive Hash-Sammlungen für umfangreiche Datenträger-Audits mit + mehreren Hash-Algorithmen parallel. Baseline-Auditing erkennt automatisch + neue oder veränderte Dateien bei wiederkehrenden Untersuchungen. + Multithread-Architektur beschleunigt Hash-Berechnung großer Dateimengen + erheblich. Ausgabe in NIST-NSRL oder CSV-Formaten für + Datenbank-Integration. Batch-Export ermöglicht automatisierte + Deduplizierung und Known-Good-Filterung in Enterprise-Umgebungen. url: https://github.com/jessek/hashdeep - icon: 🏷️ + skillLevel: intermediate domains: - static-investigations - cloud-forensics phases: - examination - analysis - tags: - - hashing - - auditing - - multihash platforms: - Linux - macOS - Windows - accessType: download + tags: + - hashing + - auditing + - multihash + icon: 🏷️ license: Public Domain - knowledgebase: false + accessType: download - name: ssdeep type: software description: >- - Tool zur Berechnung „fuzzy hashes“ (Context Triggered Piecewise Hashing, - CTPH) für Ähnlichkeits­analysen von Dateien. Kann binäre - Malware-Varianten, Dokumentschablonen oder Logs selbst bei nur teilweisen - Überschneidungen matchen. Ausgabe-Hashes lassen sich in Datenbanken oder - YARA-Regeln integrieren. - skillLevel: intermediate + Berechnet Fuzzy-Hashes für Ähnlichkeitsanalysen zwischen Malware-Varianten + und Dokumentvorlagen ohne exakte Übereinstimmung. Context Triggered + Piecewise Hashing erkennt auch teilweise veränderte Dateien zuverlässig. + Ausgabe-Hashes integrieren sich in YARA-Regeln und + Threat-Intelligence-Datenbanken. Unverzichtbar für + Malware-Familie-Zuordnung und Kampagnen-Tracking. Ergänzt traditionelle + kryptografische Hashes um Ähnlichkeitsdimension. url: https://ssdeep-project.github.io/ssdeep/ - icon: 🔍 + skillLevel: intermediate domains: - malware-analysis - incident-response phases: - analysis - tags: - - fuzzy-hashing - - similarity platforms: - Linux - macOS - Windows - accessType: download + tags: + - fuzzy-hashing + - similarity + icon: 🔍 license: "GPL\_v2" - knowledgebase: false + accessType: download - name: hashcat type: software description: >- - Höchstperformanter Passwort-Recovery-Accelerator, der CPUs, GPUs, FPGAs - und sogar ASICs parallel nutzen kann. Unterstützt über 300 Hash-Formate - (u.a. bcrypt, NTLM, Kerberos, WPA-PMKID) und besitzt flexible Angriffsmodi - (Dictionary, Mask, Hybrid, Rule-Based). Dank OpenCL-Backend skaliert - hashcat von Laptop-GPU bis zu verteilten Clustern – unverzichtbar für - Credential-Audits und Incident-Response. - skillLevel: advanced + Knackt Passwort-Hashes durch GPU-beschleunigte Brute-Force-Angriffe für + Credential-Recovery in Ermittlungen. Unterstützt über 300 Hash-Formate von + bcrypt bis Kerberos mit flexiblen Angriffsmodi. OpenCL-Backend nutzt CPUs, + GPUs und FPGAs parallel für maximale Performance. Dictionary-, Mask- und + Hybrid-Attacken decken verschiedene Passwort-Strategien ab. Unverzichtbar + für Credential-Audits und Incident-Response bei Passwort-Diebstahl. url: https://hashcat.net/hashcat/ - icon: ⚡ + skillLevel: advanced domains: - incident-response - fraud-investigation phases: - analysis + platforms: + - Linux + - Windows + - macOS tags: - password-recovery - gpu-acceleration - cracking - scenario:credential_theft - platforms: - - Linux - - Windows - - macOS - accessType: download + icon: ⚡ license: MIT - knowledgebase: false + accessType: download - name: Linkurious type: software description: >- - Intuitive Graph-Visualisierungs- und Analyseplattform, die - Graphdatenbanken wie Neo4j überlagert und Ermittler:innen dabei - unterstützt, versteckte Beziehungen in Betrugs-, AML- und - Sicherheitsfällen aufzudecken. Leistungsstarke Filter, Geo- und - Zeitachsenansichten sowie Automatisierungsvorlagen erleichtern das Hunten - komplexer Netzwerke und das Erstellen aussagekräftiger Beweisgrafiken. - skillLevel: intermediate + Visualisiert komplexe Beziehungsnetzwerke in Betrugs- und + Geldwäsche-Ermittlungen durch intuitive Graph-Analyse-Oberfläche. + Überlagert Neo4j-Datenbanken mit leistungsstarken Filtern und + Geo-Ansichten für versteckte Verbindungen. Zeitachsen-Analysen zeigen + Entwicklung krimineller Netzwerke über Zeit. Automatisierungsvorlagen + beschleunigen wiederkehrende Untersuchungen. Erstellt aussagekräftige + Beweisgrafiken für Gerichtspräsentationen. Speziell für Finanzermittlungen + und Anti-Geldwäsche-Compliance entwickelt. url: https://linkurious.com/ - icon: 🕸️ + skillLevel: intermediate domains: - fraud-investigation - network-forensics @@ -4348,89 +4272,88 @@ tools: phases: - analysis - reporting + platforms: + - Web + - Linux tags: - graph-visualisierung - link-analysis - aml - fraud - platforms: - - Web - - Linux - accessType: commercial + icon: 🕸️ license: Proprietary - knowledgebase: false + accessType: commercial - name: Android Studio type: software description: >- - Offizielle IDE von Google für die Android-Entwicklung, basierend auf - JetBrains\_IntelliJ\_IDEA. Integriert ein flexibles Gradle-Buildsystem, - Jetpack-Compose-Designer, Geräte-Emulator, Profiler und Debugging-Tools, - um mobile Apps effizient zu erstellen, zu testen und zu analysieren – auch - für forensische Re-Packaging- oder Malware-Analysen von APKs. - skillLevel: intermediate + Analysiert Android-APK-Dateien und erstellt forensische + Re-Packaging-Umgebungen für Mobile-Malware-Untersuchungen. Integrierter + Geräte-Emulator ermöglicht sichere Malware-Detonation ohne + Hardware-Gefährdung. Gradle-Build-System rekompiliert modifizierte Apps + für Behavioral-Analysis. Profiler und Debugging-Tools tracken verdächtige + Aktivitäten in Echtzeit. Layout-Inspector analysiert + UI-Manipulation-Techniken. ADB-Integration für direkte Geräte-Forensik und + App-Extraktion. url: https://developer.android.com/studio - icon: 📱 + skillLevel: intermediate domains: - mobile-forensics - malware-analysis phases: - examination - analysis + platforms: + - Windows + - macOS + - Linux tags: - ide - android - emulator - debugging - platforms: - - Windows - - macOS - - Linux - accessType: download + icon: 📱 license: Freeware - knowledgebase: false + accessType: download - name: ADB type: software description: >- - Vielseitiges Client Server-Kommandozeilenwerkzeug, mit dem Fachleute über - USB oder Netzwerk mit Android-Geräten und Emulatoren kommunizieren: Pakete - installieren, Dateien extrahieren, Logcats erfassen, Ports weiterleiten - und logische wie physische Datensicherungen erstellen. Unverzichtbar für - mobile Forensik, Incident-Response und App-Entwicklung. - skillLevel: intermediate + Kommuniziert mit Android-Geräten für forensische Datenextraktion über USB + oder Netzwerk ohne Root-Zugriff. Erstellt logische Backups von App-Daten, + installiert forensische Analysewerkzeuge, erfasst Live-Logcats für + Incident-Response. Port-Weiterleitung ermöglicht sichere Remote-Analyse. + File-Transfer-Funktionen extrahieren Beweise direkt vom Gerät. + Shell-Access für erweiterte Forensik-Kommandos. Unverzichtbar für + Mobile-Incident-Response und App-Entwicklungs-Forensik. url: https://developer.android.com/tools/adb - icon: 🔌 + skillLevel: intermediate domains: - mobile-forensics - incident-response phases: - data-collection - examination + platforms: + - Windows + - macOS + - Linux tags: - cli - mobile - device-management - extraction - platforms: - - Windows - - macOS - - Linux - accessType: download + icon: 🔌 license: Freeware - knowledgebase: false + accessType: download - name: dc3dd type: software description: >- - Department of Defense Cyber Crime Center DD für - Military-Grade-Disk-Imaging mit forensisch detailliertem Logging und - Evidence-Documentation. Simultane Multi-Hash-Berechnung (MD5, SHA-1, - SHA-256, SHA-512) mit automatischer Segment-weiser Hash-Verifizierung für - Large-File-Integrity. Comprehensive-Log-Output dokumentiert jeden - einzelnen Sector-Read-Attempt für Chain-of-Custody-Compliance und - Court-Admissibility. Error-Granularity behandelt defekte Medien durch - intelligentes Bad-Block-Mapping und Retry-Strategies. - Split-Archive-Support für verschiedene Storage-Medien mit - Resume-Funktionalität nach Unterbrechungen. Pattern-Fill für sichere - Wiping-Operations nach DoD-Standards. + Erstellt militärstandard-konforme Festplatten-Images mit detailliertem + forensischen Logging für Strafverfolgung. Simultane Multi-Hash-Berechnung + und segmentweise Verifizierung gewährleisten Beweisintegrität. Umfassendes + Error-Logging dokumentiert jeden Sektor-Lesefehler für + Chain-of-Custody-Compliance. Pattern-Fill-Funktionen für DoD-konforme + sichere Löschung. Split-Archive-Unterstützung mit Resume-Fähigkeit für + unterbrochene Long-Running-Images. url: https://sourceforge.net/projects/dc3dd/ skillLevel: intermediate domains: @@ -4455,51 +4378,46 @@ tools: - name: ddrescue type: software description: >- - GNU ddrescue ist ein spezialisiertes Datenrettungs-Tool, das beschädigte - oder fehlerhafte Blockgeräte sektorweise ausliest und zunächst alle gut - lesbaren Bereiche sichert, bevor es sich mehrfach an problematischen - Sektoren versucht. Sein Map-File protokolliert jeden Leseversuch, sodass - abgebrochene Wiederherstellungen jederzeit fortgesetzt oder optimiert - werden können, ohne bereits gerettete Sektoren erneut zu belasten. Zudem - bietet ddrescue einen Fill-Modus, um schwierige Bereiche gezielt mit - Platzhaltern zu überschreiben – nützlich für die Vorbereitung - nachträglicher Dateisystem-Reparaturen. - skillLevel: intermediate + Rettet Daten von beschädigten Datenträgern durch intelligente + Multi-Pass-Strategie für schwierige forensische Akquisitionen. Sichert + zunächst alle lesbaren Bereiche, bevor problematische Sektoren mehrfach + versucht werden. Map-File protokolliert jeden Leseversuch für + Resume-Fähigkeit ohne erneute Medien-Belastung. Fill-Modus bereitet + schwierige Bereiche für nachträgliche Dateisystem-Reparaturen vor. + Unverzichtbar für defekte Beweismittel-Datenträger. url: https://www.gnu.org/software/ddrescue/ - icon: 🛟 + skillLevel: intermediate domains: - static-investigations - fraud-investigation phases: - data-collection + platforms: + - Linux + - macOS + - Windows tags: - data-recovery - disk-imaging - map-file - cli - scenario:disk_imaging - platforms: - - Linux - - macOS - - Windows - accessType: download + icon: 🛟 license: "GPL\_v2+" - knowledgebase: false + accessType: download - name: REMnux type: software description: >- - REMnux ist eine auf Ubuntu basierende Linux-Distribution, die eine - kuratierte Sammlung frei verfügbarer Tools für Malware-Analyse, - Reverse\_Engineering und Speicherforensik in einer sofort einsatzbereiten - VM vereint. Sie erspart Analyst:innen das mühsame Zusammenstellen - einzelner Werkzeuge, da Paketverwaltung, Desktop-Integration und - Lab-Skripte bereits vorkonfiguriert sind. Zu den integrierten Highlights - zählen unter anderem Ghidra, Radare2, Volatility, stegdetect sowie diverse - Netzwerk- und Sandboxing-Utilities, die regelmäßig in koordinierten - Releases aktualisiert werden. - skillLevel: intermediate + Ubuntu-basierte Malware-Analyse-Distribution vereint kuratierte + Reverse-Engineering-Tools in sofort einsatzbereiter VM-Umgebung. + Vorkonfigurierte Integration von Ghidra, Radare2, Volatility und + Netzwerk-Analyse-Tools spart Stunden manueller Installation. + Spezialisierte Malware-Detonation-Umgebung mit Netzwerk-Simulation und + Traffic-Analyse. Regelmäßige Updates halten Tool-Sammlung aktuell. + Docker-Integration für sichere Malware-Sandboxing. Paketverwaltung + vereinfacht Tool-Erweiterung. url: https://remnux.org/ - icon: 🐧 + skillLevel: intermediate domains: - malware-analysis - incident-response @@ -4507,33 +4425,38 @@ tools: phases: - examination - analysis + platforms: + - Linux tags: - linux-distro - toolkit - reverse-engineering - virtualization - platforms: - - Linux - accessType: download + icon: 🐧 license: mixed-oss - knowledgebase: false + accessType: download - name: Android Backup Extractor type: software description: >- - Das bewährte Kommandozeilen-Werkzeug zum Entpacken und Packen von - Android-Backups (.ab) aus »adb backup«\_– inklusive Entschlüsselung - passwort­geschützter Archive dank integrierter AES-Routinen. Ideal für die - Extraktion forensisch relevanter App-Daten ohne Root-Zugriff und damit ein - Must-have für Mobile-Analysen. :contentReference[oaicite:0]{index=0} - skillLevel: intermediate + Entpackt und entschlüsselt Android-Backup-Archive aus ADB-Kommandos für + forensische App-Daten-Analyse ohne Root-Zugriff. Integrierte AES-Routinen + dekryptieren passwortgeschützte Backups automatisch. Extrahiert versteckte + App-Sandboxes und Systemdaten aus .ab-Dateien. Java-basierte Architektur + funktioniert plattformübergreifend. Batch-Processing für + Multiple-Device-Analysen. Unverzichtbares Werkzeug für Mobile-Forensik bei + eingeschränkten Extraktionsmöglichkeiten. url: https://github.com/nelenkov/android-backup-extractor - icon: 📦 + skillLevel: intermediate domains: - mobile-forensics - static-investigations phases: - examination - analysis + platforms: + - Windows + - Linux + - macOS tags: - cli - backup @@ -4541,25 +4464,21 @@ tools: - artifact-extraction - android - scenario:file_recovery - platforms: - - Windows - - Linux - - macOS - accessType: download + icon: 📦 license: Apache-2.0 - knowledgebase: false + accessType: download - name: CAINE type: software description: >- - CAINE (Computer Aided INvestigative Environment) ist eine Ubuntu-basierte - Live-Linux-Distribution, die mehr als 150 Forensik-Werkzeuge in einer - schreibgeschützten Umgebung bündelt. Version 14.0 »Lightstream« - (März\_2025) bringt Kernel\_6.8, UEFI-Support und das UnBlock-GUI zum - gezielten Aufheben der Write-Block-Funktion für einzelne Devices. - :contentReference[oaicite:2]{index=2} - skillLevel: beginner + Ubuntu-basierte Live-Forensik-Distribution bündelt über 150 Werkzeuge in + schreibgeschützter Umgebung für kontaminationsfreie Ermittlungen. + UnBlock-GUI ermöglicht gezieltes Aufheben der Write-Block-Funktion für + einzelne Geräte. UEFI-Support und Kernel 6.8 gewährleisten moderne + Hardware-Kompatibilität. Forensics-Menü organisiert Tools nach + Untersuchungsphasen. Live-Boot ohne Installation schützt Host-System vor + Kontamination. url: https://www.caine-live.net/ - icon: 💿 + skillLevel: beginner domains: - incident-response - static-investigations @@ -4569,6 +4488,8 @@ tools: - data-collection - examination - analysis + platforms: + - Linux tags: - live-distro - imaging @@ -4576,37 +4497,33 @@ tools: - gui - cli - scenario:disk_imaging - platforms: - - Linux - accessType: download + icon: 💿 license: "LGPL\_2.1+" - knowledgebase: false + accessType: download - name: Aircrack-ng type: software description: >- - Die legendäre WLAN-Security-Suite vereint seit 2006 alle Tools für - 802.11-Penetration-Testing und Forensic-WLAN-Analysis. Airodump-ng - sammelt Packets und zeigt Hidden-Networks, Aireplay-ng injiziert - Deauth-Frames für Handshake-Capture, Aircrack-ng selbst bricht WEP-Keys - in Minuten und WPA2-PSKs mit Dictionary-Attacks. Besonders wertvoll für - Forensik: Packet-Capture-Analysis identifiziert Rogue-APs, - Client-Probing-Behavior enthüllt Bewegungsprofile, WPS-PIN-Recovery bei - Legacy-Routern. Die GPU-Acceleration (via pyrit/hashcat) beschleunigt - PSK-Cracking dramatisch. Support für moderne Standards: - WPA3-Transition-Mode, 802.11ac/ax. Scripting-Interface automatisiert - Mass-Assessments. Cross-Platform-Verfügbarkeit mit - Hardware-Treiber-Support. Forensic-Mode bewahrt Evidence-Integrity. - Integration in Penetration-Testing-Frameworks. Der Klassiker für - WLAN-Forensik wenn moderne Enterprise-WLANs kompromittiert wurden. - skillLevel: advanced + Umfassende WLAN-Forensik-Suite analysiert 802.11-Verkehr und identifiziert + Sicherheitsverletzungen in drahtlosen Netzwerken. Airodump-ng sammelt + Pakete und deckt versteckte Netzwerke auf, Aireplay-ng injiziert + Deauth-Frames für Handshake-Erfassung. WEP-Schlüssel-Rekonstruktion in + Minuten, WPA2-PSK-Recovery mit Dictionary-Angriffen. + Rogue-Access-Point-Erkennung und Client-Probing-Analyse für + Bewegungsprofile. GPU-Beschleunigung via hashcat für moderne + Verschlüsselungsstandards. url: https://www.aircrack-ng.org/ - icon: 📦 + skillLevel: advanced domains: - network-forensics - incident-response phases: - data-collection - analysis + platforms: + - Windows + - Linux + - macOS + - BSD tags: - cli - wireless @@ -4614,31 +4531,30 @@ tools: - injection - cracking - scenario:credential_theft - platforms: - - Windows - - Linux - - macOS - - BSD - accessType: download + icon: 📦 license: "GPL\_v2\_(+\_BSD/OpenSSL\_components)" - knowledgebase: false + accessType: download - name: WiFi Pineapple type: software description: >- - Die Hak5-Hardware liefert mit der patentierten PineAP-Suite einen - vollwertigen Rogue-Access-Point: automatisches Recon, Handshake- und - Enterprise-Credential-Capture, gezielte Client-Filterung sowie - Cloud\_C²-Fernsteuerung\_– alles per browser­basierter GUI auf dem - Mark\_VII oder Enterprise-Modell. :contentReference[oaicite:6]{index=6} - skillLevel: intermediate + Spezialisierte Rogue-Access-Point-Hardware für WLAN-Penetrationstests und + forensische Netzwerk-Analyse. PineAP-Suite führt automatische + Reconnaissance durch, erfasst Handshakes und Enterprise-Credentials. + Gezielte Client-Filterung und Cloud-C2-Fernsteuerung für diskrete + Operationen. Browser-basierte GUI vereinfacht komplexe WLAN-Angriffe. Mark + VII und Enterprise-Modelle für verschiedene Einsatzszenarien. + Unverzichtbar für WLAN-Sicherheitsbewertungen und Incident-Response. url: https://shop.hak5.org/products/wifi-pineapple - icon: 📡 + skillLevel: intermediate domains: - network-forensics - incident-response phases: - data-collection - analysis + platforms: + - Web + - Hardware tags: - rogue-ap - wireless @@ -4646,12 +4562,8 @@ tools: - gui - web-interface - scenario:remote_access - platforms: - - Web - - Hardware - accessType: purchase + icon: 📡 license: Proprietär - knowledgebase: false - name: Network Protocols & Packet Analysis type: concept description: >-