From e90da3b2fbf1713ce790db226f3f2fe8727b204b Mon Sep 17 00:00:00 2001 From: overcuriousity Date: Mon, 28 Jul 2025 22:30:33 +0200 Subject: [PATCH] rate limit queue, content --- src/components/AIQueryInterface.astro | 112 ++-- src/data/tools.yaml | 765 ++++++++++++++++++-------- src/pages/api/ai/query.ts | 9 + src/pages/api/ai/queue-debug.ts | 31 ++ src/utils/rateLimitedQueue.ts | 144 +++-- 5 files changed, 765 insertions(+), 296 deletions(-) create mode 100644 src/pages/api/ai/queue-debug.ts diff --git a/src/components/AIQueryInterface.astro b/src/components/AIQueryInterface.astro index 4c8f51e..15e2804 100644 --- a/src/components/AIQueryInterface.astro +++ b/src/components/AIQueryInterface.astro @@ -998,10 +998,10 @@ document.addEventListener('DOMContentLoaded', () => { return; } - // Reset smart prompting when submitting resetSmartPrompting(); const taskId = `ai_${Date.now()}_${Math.random().toString(36).substr(2, 6)}`; + console.log(`[FRONTEND] Starting AI request with taskId: ${taskId}`); aiResults.style.display = 'none'; aiError.style.display = 'none'; @@ -1011,7 +1011,7 @@ document.addEventListener('DOMContentLoaded', () => { const taskIdDisplay = document.getElementById('current-task-id'); if (queueStatus && taskIdDisplay) { queueStatus.style.display = 'block'; - taskIdDisplay.textContent = taskId; + taskIdDisplay.textContent = taskId.slice(-8); } aiSubmitBtn.disabled = true; @@ -1023,64 +1023,90 @@ document.addEventListener('DOMContentLoaded', () => { const updateQueueStatus = async () => { try { const response = await fetch(`/api/ai/queue-status?taskId=${taskId}`); + + if (!response.ok) { + console.error(`[FRONTEND] Queue status HTTP error: ${response.status}`); + return; + } + const data = await response.json(); - if (data.success) { - const queueLength = document.getElementById('queue-length'); - const estimatedTime = document.getElementById('estimated-time'); - const positionBadge = document.getElementById('queue-position-badge'); - const progressBar = document.getElementById('queue-progress'); - - if (queueLength) queueLength.textContent = data.queueLength; - - if (estimatedTime) { - if (data.estimatedWaitTime > 0) { - estimatedTime.textContent = formatDuration(data.estimatedWaitTime); - } else { - estimatedTime.textContent = 'Verarbeitung läuft...'; - } + const queueLength = document.getElementById('queue-length'); + const estimatedTime = document.getElementById('estimated-time'); + const positionBadge = document.getElementById('queue-position-badge'); + const progressBar = document.getElementById('queue-progress'); + + if (queueLength) { + queueLength.textContent = data.queueLength || 0; + } + + if (estimatedTime) { + if (data.estimatedWaitTime > 0) { + estimatedTime.textContent = formatDuration(data.estimatedWaitTime); + } else { + estimatedTime.textContent = 'Verarbeitung läuft...'; } - - if (positionBadge && data.currentPosition) { + } + + if (positionBadge) { + if (data.currentPosition) { positionBadge.textContent = data.currentPosition; if (progressBar && data.queueLength > 0) { const progress = Math.max(0, ((data.queueLength - data.currentPosition + 1) / data.queueLength) * 100); progressBar.style.width = `${progress}%`; } - } - - if (data.isProcessing && !data.currentPosition) { - if (positionBadge) positionBadge.textContent = '⚡'; - if (progressBar) progressBar.style.width = '100%'; - if (estimatedTime) estimatedTime.textContent = 'Verarbeitung läuft...'; + } else { + if (data.taskStatus === 'processing') { + positionBadge.textContent = '⚡'; + if (progressBar) progressBar.style.width = '100%'; + console.log(`[FRONTEND] Task ${taskId.slice(-6)} is processing but no position returned`); + } else if (data.taskStatus === 'completed') { + positionBadge.textContent = '✅'; + if (progressBar) progressBar.style.width = '100%'; + console.log(`[FRONTEND] Task ${taskId.slice(-6)} completed`); + } else if (data.taskStatus === 'failed') { + positionBadge.textContent = '❌'; + if (progressBar) progressBar.style.width = '100%'; + console.log(`[FRONTEND] Task ${taskId.slice(-6)} failed`); + } else { + positionBadge.textContent = '?'; + if (progressBar) progressBar.style.width = '0%'; + console.log(`[FRONTEND] Task ${taskId.slice(-6)} status unknown:`, data.taskStatus); + } } } + } catch (error) { - console.warn('Queue status update failed:', error); + console.error('[FRONTEND] Queue status update failed:', error); } - }; + }; + + const aiRequestPromise = fetch('/api/ai/query', { + method: 'POST', + headers: { + 'Content-Type': 'application/json', + }, + body: JSON.stringify({ + query, + mode: currentMode, + taskId + }) + }); - updateQueueStatus(); - - statusInterval = setInterval(updateQueueStatus, 500); + setTimeout(() => { + updateQueueStatus(); + statusInterval = setInterval(updateQueueStatus, 1000); // Poll every 1 second for better responsiveness + }, 500); try { - const response = await fetch('/api/ai/query', { - method: 'POST', - headers: { - 'Content-Type': 'application/json', - }, - body: JSON.stringify({ - query, - mode: currentMode, - taskId - }) - }); - + const response = await aiRequestPromise; const data = await response.json(); - if (statusInterval) clearInterval(statusInterval); + if (statusInterval) { + clearInterval(statusInterval); + console.log(`[FRONTEND] AI request completed for ${taskId.slice(-6)}, stopping status polling`); + } if (!response.ok) { throw new Error(data.error || `HTTP ${response.status}`); @@ -1102,7 +1128,7 @@ document.addEventListener('DOMContentLoaded', () => { aiResults.style.display = 'block'; } catch (error) { - console.error('AI query failed:', error); + console.error(`[FRONTEND] AI query failed for ${taskId.slice(-6)}:`, error); if (statusInterval) clearInterval(statusInterval); diff --git a/src/data/tools.yaml b/src/data/tools.yaml index 8b0a315..13e1848 100644 --- a/src/data/tools.yaml +++ b/src/data/tools.yaml @@ -2,7 +2,7 @@ tools: - name: Autopsy type: software description: >- - Die führende Open-Source-Forensik-Suite vereint hunderte Analyse-Module + Die bekannte Open-Source-Forensik-Suite vereint hunderte Analyse-Module unter einer intuitiven Oberfläche. Exzellent für Timeline-Rekonstruktion durch automatische Korrelation von Dateisystem-Artefakten, Registry-Einträgen und Log-Dateien. Das integrierte Keyword-Search-Modul @@ -26,11 +26,6 @@ tools: - examination - analysis - reporting - scenarios: - - scenario:disk_imaging - - scenario:file_recovery - - scenario:browser_history - - scenario:windows-registry tags: - gui - timeline @@ -65,7 +60,7 @@ tools: - name: Volatility 3 type: software description: >- - Der Goldstandard für Memory-Forensik - komplett neu entwickelt für moderne + Der Standard für Memory-Forensik - komplett neu entwickelt für moderne Ermittlungen. Version 3 (Feature-Parity Mai 2025) eliminiert das lästige --profile durch automatische OS-Erkennung. Revolutionäre Performance durch symbolbasierte Analyse verarbeitet Multi-GB-Dumps in Sekunden statt @@ -90,11 +85,6 @@ tools: phases: - examination - analysis - scenarios: - - scenario:memory_dump - - scenario:credential_theft - - scenario:persistence - - scenario:remote_access tags: - command-line - plugin-support @@ -127,18 +117,18 @@ tools: icon: 🐝 type: software description: >- - Die zentrale Incident-Response-Plattform orchestriert komplexe - Sicherheitsvorfälle vom ersten Alert bis zum Abschlussbericht. Jeder Case - wird strukturiert durch Observables (IOCs), Tasks und Zeitleisten - abgebildet. Die Cortex-Integration automatisiert Analysen durch Dutzende - Analyzer - von VirusTotal-Checks bis Sandbox-Detonation. - MISP-Synchronisation reichert Cases mit Threat-Intelligence an. Das - ausgeklügelte Rollen- und Rechtesystem ermöglicht sichere Zusammenarbeit - zwischen SOC-Analysten, Forensikern und Management. Templates - standardisieren Response-Prozesse nach Incident-Typ. Die RESTful API - integriert nahtlos mit SIEM, SOAR und Ticketing-Systemen. Metrics und KPIs - messen die Team-Performance. Nach Einstellung der Community Edition ist - die kommerzielle Lizenz für professionelle SOCs alternativlos. + Die zentrale Incident-Response-Plattform orchestriert komplexe + Sicherheitsvorfälle vom ersten Alert bis zum Abschlussbericht. Jeder Case + wird strukturiert durch Observables (IOCs), Tasks und Zeitleisten + abgebildet. Die Cortex-Integration automatisiert Analysen durch Dutzende + Analyzer - von VirusTotal-Checks bis Sandbox-Detonation. + MISP-Synchronisation reichert Cases mit Threat-Intelligence an. Das + ausgeklügelte Rollen- und Rechtesystem ermöglicht sichere Zusammenarbeit + zwischen SOC-Analysten, Forensikern und Management. Templates + standardisieren Response-Prozesse nach Incident-Typ. Die RESTful API + integriert nahtlos mit SIEM, SOAR und Ticketing-Systemen. Metrics und KPIs + messen die Team-Performance. Die Community Edition bleibt kostenlos für + kleinere Teams, während Gold/Platinum-Lizenzen Enterprise-Features bieten. domains: - incident-response - static-investigations @@ -184,7 +174,7 @@ tools: icon: 🌐 type: software description: >- - Die Threat-Intelligence-Sharing-Plattform vernetzt über 10.000 + Die Threat-Intelligence-Sharing-Plattform vernetzt viele Organisationen weltweit im Kampf gegen Cyberkriminalität. Strukturiertes Teilen von IOCs durch standardisierte Attribute: IP-Adressen, Domains, Hashes, YARA-Rules, Malware-Samples. Die Galaxies und Taxonomien @@ -242,8 +232,8 @@ tools: description: >- Googles Timeline-Analyse-Platform meistert die Herausforderung, Millionen von Zeitstempeln aus heterogenen Quellen zu korrelieren. Die - Elasticsearch-Backend-Architektur ermöglicht Suchen über Jahre - forensischer Daten in Sekunden. Plaso/Log2timeline-Integration parst + Elasticsearch-Backend-Architektur ermöglicht Suchen über Mengen + forensischer Daten in verhältnismäßig kurzer Zeit. Plaso/Log2timeline-Integration parst automatisch über 300 Log-Formate in eine einheitliche Super-Timeline. Collaborative Investigation durch geteilte Sketches, Kommentare und Saved Searches. Die Timeline-Explorer visualisiert Ereignisse interaktiv mit @@ -295,8 +285,7 @@ tools: icon: 🦈 type: software description: >- - Der unangefochtene König der Netzwerk-Protokoll-Analyse dekodiert über - 3000 Protokolle von Ethernet bis zu exotischen ICS-Protokollen. + Der unangefochtene König der Netzwerk-Protokoll-Analyse dekodiert die meisten Netzwerkprotokolle von Ethernet bis zu exotischen ICS-Protokollen. Display-Filter mit mächtiger Syntax ermöglichen chirurgisch präzise Paket-Selektion. Follow-Stream rekonstruiert komplette TCP-Sessions, HTTP-Uploads oder FTP-Transfers. Expert-Info identifiziert Anomalien wie @@ -348,23 +337,26 @@ tools: - tls-decryption related_concepts: - Regular Expressions (Regex) + - name: Magnet AXIOM icon: 🧲 type: software description: >- - Die Premium-Forensik-Suite revolutioniert digitale Ermittlungen durch - KI-gestützte Automatisierung. Cloud-Analyzer greifen direkt auf - Google-Konten, iCloud-Backups, Microsoft 365 und Social-Media-Plattformen - zu - mit richterlicher Anordnung oder Zugangsdaten. Die patentierte - IEF-Engine (Internet Evidence Finder) extrahiert Chat-Verläufe aus - hunderten Messenger-Apps. AXIOM Process parallelisiert Analysen auf - Multi-Core-Systemen für drastische Zeitersparnis. Connections-View - visualisiert Kommunikationsnetzwerke zwischen Personen. Die AI-basierte - Bilderkennung kategorisiert Millionen Bilder nach Inhalt - inklusive - CSAM-Detection mit PhotoDNA. Timeline-Analyse korreliert Aktivitäten über - alle Datenquellen. Mobile-Extraction via GrayKey-Integration. Der hohe - Preis (50.000€+) und Wartungskosten machen es primär für Behörden und - Konzerne attraktiv. Gerichtsfeste Reports mit Hash-Verifizierung. + Die umfassende Digital-Investigation-Plattform kombiniert Akquisition, + Analyse und Reporting in einer integrierten Suite für End-to-End-Forensik. + AXIOM Process sammelt Artefakte von über 300 Datenquellen: Computers, + Mobile Devices, Cloud Services, IoT-Geräte. Die KI-gestützte Artifact- + Categorization klassifiziert automatisch verdächtige Inhalte und reduziert + manuelle Review-Zeit drastisch. Besonders wertvoll: Internet Evidence + Finder (IEF) Engine extrahiert Web-Artefakte aus allen Major-Browsern, + Magnet.AI beschleunigt CSAM-Detection, Connections-View visualisiert + Kommunikations-Patterns zwischen Personen. Cloud-Forensics-Module greifen + auf Google, Microsoft, Apple-Accounts zu. Die Parallel-Processing-Engine + analysiert Terabytes in Stunden statt Tagen. Advanced-Carving rekonstruiert + gelöschte Multimedia-Dateien. Timeline-Engine korreliert Events über alle + Evidenzen. Report-Templates generieren gerichtsfeste Dokumentation. + Integration mit AXIOM Cyber für Endpoint-Response. Eine etablierte Software + für High-Volume-Ermittlungen mit Budget für Enterprise-Lizenzen. domains: - incident-response - static-investigations @@ -404,13 +396,14 @@ tools: related_concepts: - Digital Evidence Chain of Custody - Hash Functions & Digital Signatures + - name: Cellebrite UFED icon: 📱 type: software description: >- - Der Goldstandard der mobilen Forensik knackt selbst aktuelle iPhones und + Der de-facto-Behördenstandard der mobilen Forensik greift aktuelle iPhones und Android-Flaggschiffe durch Zero-Day-Exploits und proprietäre - Bypass-Methoden. Physical Extraction umgeht Verschlüsselung für + Bypass-Methoden an, ist aber auch sehr teuer. Physical Extraction umgeht Verschlüsselung für vollständigen Dateisystem-Zugriff. Logical Plus erweitert Standard-Backups um gelöschte Daten. Advanced Services greifen auf Cellebrites Exploit-Labor für besonders resistente Geräte zurück. Physical Analyzer @@ -419,9 +412,7 @@ tools: Project-VIC Integration für CSAM-Erkennung. Chain-of-Custody-Dokumentation erfüllt höchste forensische Standards. Die Cloud-Analyzer-Lizenz ermöglicht Zugriff auf über 50 Cloud-Services. Updates alle 3 Monate für - neue Geräte und Apps. Die ethischen Bedenken wegen Verkauf an autoritäre - Regime und Preise ab 15.000€ (plus jährliche Lizenzen) limitieren auf - Strafverfolgung und Großunternehmen. + neue Geräte und Apps. domains: - static-investigations - mobile-forensics @@ -577,7 +568,7 @@ tools: Artefakt-Typen für lückenlose Aktivitäts-Rekonstruktion. Parsers für Windows Event Logs, Registry, Prefetch, Browser-History, Mobile Apps, Cloud-Services und Linux-Logs. Die Storage-Architektur verarbeitet - Terabytes von Daten effizient. Output in standardisierten Formaten für + Massendaten effizient. Output in standardisierten Formaten für Elasticsearch, Timesketch oder CSV. Besonders wertvoll: Normalisierung verschiedener Zeitstempel-Formate und Zeitzonen in UTC. Filterung nach Zeitraum, Artefakt-Typ oder Keywords. Die modulare Parser-Architektur @@ -684,7 +675,7 @@ tools: type: software description: >- Die nächste Evolution der Endpoint-Forensik skaliert digitale Ermittlungen - auf zehntausende Systeme. VQL (Velociraptor Query Language) ermöglicht + auf zahlreiche Systeme. VQL (Velociraptor Query Language) ermöglicht chirurgisch präzise Artefakt-Sammlung ohne Full-Disk-Images: "SELECT * FROM glob('/Users/*/Downloads/*.exe')". Hunt-Kampagnen durchsuchen die gesamte Infrastruktur parallel nach IOCs. Der Agent läuft mit minimalem @@ -800,9 +791,9 @@ tools: type: software description: >- Das Full-Packet-Capture-Monster (früher Moloch) speichert und indiziert - Petabytes von Netzwerkverkehr für historische Forensik. Erfasst Traffic + große Aufkommen von Netzwerkverkehr für historische Forensik. Erfasst Traffic mit 10Gbit/s+ und speichert PCAP mit intelligenter Kompression. Die - Elasticsearch-Integration ermöglicht Millisekunden-schnelle Suchen über + Elasticsearch-Integration ermöglicht schnelle Suchen über Monate von Daten: IPs, Ports, Protokolle, HTTP-Header, SSL-Zertifikate. Session-Page visualisiert Verbindungen mit Protokoll-Dekodierung. SPI-Graph zeigt Traffic-Patterns. WISE (With Intelligence See Everything) @@ -958,8 +949,8 @@ tools: icon: ₿ type: software description: >- - Die Blockchain-Intelligence-Plattform ist Marktführer in Krypto-Forensik - mit der größten Attribution-Datenbank weltweit. Clustering-Algorithmen + Die Blockchain-Intelligence-Plattform ist wohlbekannt in Krypto-Forensik + mit einer der größten Attribution-Datenbank weltweit. Clustering-Algorithmen identifizieren Millionen von Services: Exchanges, Darknet-Märkte, Mixer, Ransomware-Wallets, Scams. Reactor visualisiert Transaktionsflüsse mit automatischer Risikobewertung. KYT (Know Your Transaction) für Echtzeit- @@ -970,7 +961,7 @@ tools: Management-Systeme. Unterstützt Bitcoin, Ethereum, und 100+ andere Blockchains. Trainings und Zertifizierungen für Ermittler. Die Lizenzkosten (sechsstellig) und US-Zentrierung limitieren auf - Großorganisationen, aber die Intelligence-Qualität ist unübertroffen. + Großorganisationen. domains: - static-investigations - fraud-investigation @@ -1008,7 +999,7 @@ tools: icon: 🕸️ type: software description: >- - Die führende Graph-Datenbank transformiert komplexe Beziehungsgeflechte in + Die Graph-Datenbank transformiert komplexe Beziehungsgeflechte in verständliche Visualisierungen. Cypher-Query-Language ermöglicht intuitive Abfragen: "MATCH (person)-[:TRANSFERRED_TO]->(account) RETURN *". Perfekt für Fraud-Rings, Social-Networks, Geldwäsche-Netzwerke und @@ -1019,7 +1010,7 @@ tools: visualisiert für nicht-technische Stakeholder. Integration mit Elasticsearch für Volltext-Suche. Multi-Datenbank für Case-Isolation. Die Community-Edition (kostenlos) limitiert auf 1 User und 4 CPU-Cores. - Skaliert auf Milliarden von Nodes und Relationships. Unverzichtbar für + Skaliert auf große Mengen von Nodes und Relationships. Unverzichtbar für moderne Financial-Crime-Investigations. domains: - static-investigations @@ -1375,62 +1366,6 @@ tools: - Volatility 3 - Cuckoo Sandbox 3 - Loki - - name: Ghidra - icon: 🔮 - type: software - description: >- - NSAs Reverse-Engineering-Suite demokratisiert Binary-Analyse auf - IDA-Pro-Niveau. Der Decompiler transformiert Assembly in lesbaren C-Code - für intuitiveres Verständnis von Programm-Logik. Unterstützt über 30 - Prozessor-Architekturen von x86/x64 über ARM bis zu obskuren - Embedded-CPUs. Das Software Reverse Engineering Framework ermöglicht - kollaborative Analyse durch Ghidra-Server. PCode als Intermediate Language - vereinheitlicht Cross-Architecture-Analysen. Der Function-Graph - visualisiert Control-Flow. Data-Type-Manager rekonstruiert Strukturen und - Klassen. Script-Manager automatisiert mit Python/Java wiederkehrende - Analysen. Version Tracking vergleicht Binaries über Versionen. - Cryptographic-Signature-Finder identifiziert Verschlüsselungs-Routinen. - Die Extension-Architektur erlaubt Custom-Analyzers. Perfekt für - Malware-Dekonstruktion, Vulnerability-Research und Firmware-Analyse. Die - steile Lernkurve wird durch exzellente Dokumentation und - NSA-Trainingsmaterial gemildert. - domains: - - malware-analysis - - ics-forensics - - static-investigations - phases: - - analysis - platforms: - - Windows - - Linux - - macOS - related_software: - - IDA Pro - - Radare2 - - x64dbg - - Binary Ninja - domain-agnostic-software: null - skillLevel: expert - accessType: download - url: https://ghidra-sre.org/ - projectUrl: '' - license: Apache 2.0 - knowledgebase: false - tags: - - gui - - binary-decode - - malware-unpacking - - cross-platform - - scripting - - opensource - - decompiler - - multi-architecture - - collaborative - - function-graph - - pattern-matching - - version-tracking - related_concepts: - - Regular Expressions (Regex) - name: X-Ways Forensics icon: 🔬 type: software @@ -1445,7 +1380,7 @@ tools: Hex-Editor zeigt Rohdaten parallel zur interpretierten Ansicht. Template-Support für proprietäre Dateiformate. Die spartanische GUI schreckt Einsteiger ab, aber Profis schätzen die Effizienz. Deutlich - günstiger als US-Konkurrenz (ab 2.500€) bei vergleichbarer Funktionalität. + günstiger als US-Konkurrenz bei vergleichbarer Funktionalität. Der legendäre Support durch Stefan Fleischmann persönlich. Made in Germany mit Fokus auf Gründlichkeit statt Marketing. domains: @@ -1498,8 +1433,7 @@ tools: Windows-Versionen und Cloud-Artefakte wie OneDrive. Die Kommandozeilen-Tools ermöglichen Batch-Processing. Kostenlos aber Spenden erwünscht. Die aktive Community im Discord teilt Erfahrungen. - Dokumentation durch Cheat-Sheets und Blog-Posts. Der Goldstandard für - Windows-Forensik-Artefakte. + Dokumentation durch Cheat-Sheets und Blog-Posts. domains: - incident-response - static-investigations @@ -1531,6 +1465,8 @@ tools: - cloud-artifacts - community-driven - free-tools + - scenario:windows-registry + - scenario:persistence related_concepts: - Digital Evidence Chain of Custody - name: Regular Expressions (Regex) @@ -1730,18 +1666,18 @@ tools: - name: MSAB XRY type: software description: >- - Die schwedische Alternative zu Cellebrite positioniert sich als ethischere - Wahl im Mobile-Forensik-Markt. Physical und Logical Extraction für iOS und - Android mit regelmäßigen Exploit-Updates. Besonders stark bei chinesischen - Smartphones (Huawei, Xiaomi) die Cellebrite vernachlässigt. Der - Drone-Module extrahiert Flugdaten von DJI und Parrot. XRY Camera - identifiziert Geräte aus Bildern. Die Analyze-Software visualisiert - Kommunikationsmuster und Bewegungs- profile. XAMN-Elements für - Link-Analyse zwischen mehreren Geräten. Cloud-Extraction für 30+ Services. - Die PIN-Code-Breaker-Hardware knackt 4-6 stellige Codes. Training und - Zertifizierung inklusive. Preislich mit Cellebrite vergleichbar (15.000€+) - aber mit transparenterer Verkaufspolitik. Die EU-Herkunft macht es für - europäische Behörden attraktiv. Updates alle 6-8 Wochen für neue Apps. + Die schwedische Mobile-Forensik-Suite bietet Physical und Logical + Extraction für iOS und Android mit regelmäßigen Exploit-Updates. + Besonders stark bei chinesischen Smartphones (Huawei, Xiaomi) und + speziellen Hardware-Typen. Der Drone-Module extrahiert Flugdaten von + DJI und Parrot. XRY Camera identifiziert Geräte aus Bildern. Die + Analyze-Software visualisiert Kommunikationsmuster und Bewegungs- + profile. XAMN-Elements für Link-Analyse zwischen mehreren Geräten. + Cloud-Extraction für 30+ Services. Die PIN-Code-Breaker-Hardware + knackt 4-6 stellige Codes. Training und Zertifizierung inklusive. + Preislich mit Cellebrite vergleichbar (15.000€+) aber mit + transparenterer Verkaufspolitik. Updates alle 6-8 Wochen für neue + Apps. EU-basierte Alternative zu US-amerikanischen Lösungen. skillLevel: beginner url: https://www.msab.com/product/xry-extract/ icon: 📱 @@ -2193,22 +2129,19 @@ tools: - Hash Functions & Digital Signatures - Digital Evidence Chain of Custody - name: ewfacquire - icon: 📀 + icon: 💾 type: software description: >- - Das Kommandozeilen-Tool der libewf-Suite erstellt Expert Witness Format - (E01) Images - der De-facto-Standard für forensische Beweissicherung. - Kompression reduziert Storage-Bedarf um 50-70% bei Beibehaltung der - forensischen Integrität. Eingebaute CRC-Prüfung erkennt - Übertragungsfehler. Case-Metadata (Ermittler, Fallnummer, Notizen) werden - im Image gespeichert. Multi-Threading beschleunigt Kompression auf - modernen CPUs. Segment-Files ermöglichen Speicherung auf FAT32. Die - Error-Granularity dokumentiert defekte Sektoren präzise. Resume-Feature - für unterbrochene Akquisitionen. Hash-Verifizierung (MD5/SHA1) integriert - für Chain-of-Custody. Die breite Tool-Unterstützung (EnCase, FTK, X-Ways) - macht E01 zur sicheren Wahl. Besonders wertvoll: Kompatibilität mit - Windows-Tools trotz Linux-Erstellung. Die Entwicklung durch Joachim Metz - garantiert Qualität. ewfmount für Read-Only-Zugriff ohne Extraktion. + Command-line Tool aus der libewf-Bibliothek zum Erstellen forensischer Images + im Expert Witness Format (E01/Ex01). Erstellt segmentierte Archive mit + MD5/SHA1-Hash-Verifizierung und optionaler Kompression. Besonders wertvoll + für Linux-basierte Imaging-Workflows ohne GUI-Overhead. Unterstützt + Case-Metadaten, Examiner-Notizen und Error-Granularity für defekte Sektoren. + Die Segment-Größe ist konfigurierbar für verschiedene Storage-Medien. + Integration in Autopsy und andere Tools über libewf. Alternative zu + proprietären Windows-Imaging-Tools für Open-Source-Forensik-Umgebungen. + Besonders geschätzt: Zuverlässigkeit, Cross-Platform-Kompatibilität und + Standards-Compliance für gerichtsfeste Images. domains: - incident-response - static-investigations @@ -2501,6 +2434,7 @@ tools: - batch-processing - profile-based - community-plugins + - scenario:persistence related_concepts: - Digital Evidence Chain of Custody - name: Strings @@ -2716,8 +2650,7 @@ tools: Dokumentation. REMnux-Integration für Malware-Analyse. Die VM kann als Appliance oder WSL2 laufen. Regelmäßige Updates durch SANS- Community. Die mitgelieferten Cheat-Sheets beschleunigen Einarbeitung. mount-image-pro - automatisiert Evidence-Mounting. SIFT-CLI verwaltet Updates. Der - Goldstandard für Forensik-Ausbildung weltweit. Die kostenlosen Workbooks + automatisiert Evidence-Mounting. SIFT-CLI verwaltet Updates. Die kostenlosen Workbooks führen durch typische Untersuchungen. Performance optimiert für Forensik-Workloads. Die Alternative wenn Budget für kommerzielle Tools fehlt. @@ -2974,7 +2907,7 @@ tools: type: software description: >- Der Veteran der digitalen Forensik seit 1997 - in vielen Behörden noch - immer der Gold-Standard. EnScript-Programmierung ermöglicht komplexe + immer verwendet. EnScript-Programmierung ermöglicht komplexe Automatisierungen die andere Tools nicht bieten. Die Gerichtserfahrung ist unübertroffen - tausende erfolgreiche Verfahren weltweit. Version 21 modernisiert die alternde Architektur mit Cloud-Forensik und @@ -3039,7 +2972,7 @@ tools: Unterstützung exotischer Formate. Die Touchscreen- Konsole steuert Imaging-Vorgänge. Field-Kit-Version für Vor-Ort-Einsätze. Integration mit FTK, EnCase, X-Ways. Die Workstation-Komponente analysiert während des - Imaging. Preis ab 15.000€ macht es zur Investition für High-Volume-Labs. + Imaging. Der hohe Preis macht es zur Investition für High-Volume-Labs. Der Support durch Digital Intelligence ist erstklassig. Die modulare Bauweise erlaubt Upgrades. Für kleine Teams Overkill, für Behörden-Labs oft Standard. Die Hardware-Zuverlässigkeit rechtfertigt den Premium-Preis. @@ -3285,6 +3218,7 @@ tools: - registry-access - wmi-forensics - python-library + - scenario:credential_theft related_concepts: - Digital Evidence Chain of Custody - name: Kismet @@ -3342,8 +3276,17 @@ tools: - name: ArcGIS type: software description: >- - Kommerzielles GIS von Esri zur geobasierten Korrelation forensischer - Artefakte und Tatortrekonstruktion. + Esris kommerzielle GIS-Plattform transformiert forensische Geodaten in + aussagekräftige räumliche Analysen für Ermittlungen. Besonders wertvoll für + komplexe Bewegungsprofile aus GPS-Logs, Cell-Tower-Triangulation und + Fahrzeug-Telematik. Die ArcMap-Desktop-Anwendung bietet erweiterte + Spatial-Queries: Buffer-Analysen identifizieren Verdächtige in Tatort-Nähe, + Hot-Spot-Detection findet Kriminalitätsschwerpunkte, Network-Analyst + berechnet optimale Fluchtrouten. Integration mit Datenbanken ermöglicht + Korrelation von Orten mit Personen, Fahrzeugen, Kommunikation. Die + 3D-Scene-Funktionen rekonstruieren Tatorte photorealistisch. Crime-Mapping- + Extensions speziell für Strafverfolgung. Der Enterprise-Fokus bedeutet + hohe Kosten (ab 7.000€) und Schulungsaufwand, aber bewährte Kompetenz für Geo-Intelligence. skillLevel: intermediate url: https://www.esri.com/arcgis icon: 🌍 @@ -3365,8 +3308,19 @@ tools: - name: Binary Ninja type: software description: >- - Kommerzielle Reverse‑Engineering‑Suite mit decompiler, Skript‑API und - intuitiver GUI für Malware‑Analysen. + Vector 35s moderne Reverse-Engineering-Plattform kombiniert traditionelle + Disassembly mit fortschrittlicher Program-Analysis. Die Multi-Level-IR + (Intermediate Representation) ermöglicht Cross-Architecture-Analysen durch + einheitliche Abstraktion. Besonders innovativ: Der Decompiler erzeugt + lesbaren High-Level-Code, Type-Recovery rekonstruiert Datenstrukturen + automatisch, die Plugin-API (Python/C++) erlaubt tiefe Customization. + Cloud-Integration synchronisiert Analysen zwischen Teams. Die moderne GUI + mit Multiple-Workspaces übertrifft IDA in Usability. Debugger-Integration + für Dynamic-Analysis. Scripting-Console für Ad-hoc-Automation. Die + Personal-License (399€) macht professionelle Binary-Analysis erschwinglich. + Commercial-Lizenzen bieten Team-Features und Cloud-Sync. Besonders stark + bei modernen Architekturen (ARM64, RISC-V) die IDA vernachlässigt. + Die Zukunft des Reverse Engineering für eine neue Generation von Analysten. skillLevel: advanced url: https://binary.ninja icon: 🛠️ @@ -3389,8 +3343,18 @@ tools: - name: CapLoader type: software description: >- - Windows‑Tool zum schnellen Indexieren, Filtern und Rekonstruieren von - Flows in großen PCAP/PcapNG‑Sammlungen. + Das Windows-Tool revolutioniert die Analyse großer PCAP-Sammlungen durch + intelligente Indexierung und Flow-Rekonstruktion. Lädt Multi-GB-Captures + in Sekunden und ermöglicht blitzschnelle Filterung nach Protokollen, + Timeframes oder Keyword-Patterns. Besonders wertvoll: Automatische + Flow-Reassembly rekonstruiert komplette TCP-Sessions, HTTP-Objects- + Extraktion speichert übertragene Dateien, Credential-Harvesting findet + Klartext-Passwörter in Streams. Die Timeline-Ansicht visualisiert + Traffic-Patterns über Zeit. Batch-Export zu NetworkMiner oder Wireshark + für Detailanalyse. Performance-optimiert für Forensiker die täglich + mit großen Packet-Captures arbeiten. Integration mit NetWitness und + anderen Enterprise-NSM-Lösungen. Der Workflow beschleunigt Incident- + Response erheblich durch Vorsortierung relevanter Flows. skillLevel: intermediate url: https://www.netresec.com/?page=CapLoader icon: 📡 @@ -3400,8 +3364,12 @@ tools: - examination - analysis tags: - - pcap + - pcap-analysis - flow-extraction + - timeline-view + - credential-extraction + - file-reconstruction + - batch-processing related_concepts: null platforms: - Windows @@ -3432,8 +3400,20 @@ tools: - name: Cortex type: software description: >- - Open‑Source‑Analyzer‑Engine, führt hunderte Observable‑Analysen aus und - kann aktive Response auslösen. + TheHives Analyzer-Engine automatisiert Observable-Intelligence durch über + 100 integrierte Services von VirusTotal bis Shodan. Ein File-Hash triggert + parallel: AV-Scans, Sandbox-Detonation, YARA-Matching, Reputation-Checks + in Sekunden statt manueller Stunden-Arbeit. Die Plugin-Architektur erweitert + für Custom-APIs und interne Threat-Intelligence. Besonders wertvoll: + Responder-Actions ermöglichen automatische Incident-Response (Block-IP, + Quarantine-Host), Taxonomy-Integration kategorisiert Threats nach MISP- + Standards, Job-History dokumentiert alle Analysen für Audit-Trails. + Docker-Deployment skaliert Workers je nach Load. Rate-Limiting verhindert + API-Quota-Erschöpfung. Die RESTful-API integriert in SOAR-Playbooks. + JSON-Templates definieren Analyzer-Konfigurationen. Community-Analyzer + erweitern für spezielle Use-Cases. Nach TheHive-Übernahme durch StrangeBee + wird Cortex 3.x als Open-Source weiterentwickelt. Standard-Component + moderner SOC-Automatisierung. skillLevel: intermediate url: https://strangebee.com/cortex icon: 🧩 @@ -3453,8 +3433,20 @@ tools: - name: Elasticsearch type: software description: >- - Schnelle verteilte Such‑ & Analytics‑Engine, Kern der - Elastic‑Stack‑Forensik­plattformen. + Die verteilte Such- und Analytics-Engine bildet das Herzstück moderner + Forensik-Infrastrukturen durch Near-Real-Time-Indexierung von Petabytes. + Lucene-basierte Volltext-Suche findet IOCs in Sekunden über Millionen Logs. + Die JSON-native Architektur verarbeitet strukturierte und unstrukturierte + Daten gleichermäßen. Besonders wertvoll: Aggregations-Framework erstellt + komplexe Timeline-Analysen, Geo-Queries korrelieren Events geografisch, + Machine-Learning-Features erkennen Anomalien automatisch. Horizontal- + Skalierung von Single-Node bis Multi-Datacenter-Clusters. Die RESTful-API + integriert mit allen Forensik-Tools. Ingest-Pipelines normalisieren + verschiedene Log-Formate. Security-Features (X-Pack) bieten Encryption und + RBAC für sensitive Ermittlungen. Snapshot-Funktionen sichern forensische + Integrität. Die Index-Lifecycle-Management rotiert alte Daten automatisch. + Basis für ELK-Stack (Logstash, Kibana) und SIEM-Systeme. Unverzichtbar für + moderne SOCs und Incident-Response-Teams. skillLevel: intermediate url: https://www.elastic.co/elasticsearch icon: 🔍 @@ -3475,8 +3467,20 @@ tools: - name: Elliptic type: software description: >- - Kommerzielle Blockchain‑Analytics‑Plattform für Risiko‑ und - Geldwäsche­ermittlungen in Kryptowährungen. + Die kommerzielle Blockchain-Analytics-Plattform konkurriert mit Chainalysis + durch erweiterte Compliance-Features und RegTech-Integration. Clustering- + Algorithmen identifizieren Services durch Transaction-Pattern-Analysis: + Exchanges, Darknet-Markets, Mixers, Ransomware-Wallets. Die Compliance- + Suite bietet Real-Time-Screening gegen OFAC/EU-Sanctions-Listen. + Besonders stark: DeFi-Protocol-Analysis dekodiert Smart-Contract- + Interactions, Cross-Chain-Tracking folgt Funds über Bridges, + Investigation-Tools für Complex-Money-Laundering-Schemes. API-Integration + ermöglicht Automated-AML-Workflows. Die Typology-Library kategorisiert + Verdachtsmuster nach FATF-Standards. Court-Ready-Reports mit Blockchain- + Evidence-Chain. Training-Programme zertifizieren Investigators. + Unterstützt Bitcoin, Ethereum, und 15+ andere Blockchains. Enterprise- + Deployment für Banken, Exchanges und Strafverfolgung. Der europäische + Fokus macht es zur Alternative für EU-basierte Organisationen. skillLevel: intermediate url: https://www.elliptic.co icon: ₿ @@ -3485,8 +3489,13 @@ tools: phases: - analysis tags: - - blockchain - - aml + - blockchain-analysis + - compliance-screening + - sanctions-checking + - defi-analysis + - cross-chain-tracking + - aml-workflows + - court-reporting platforms: - Web accessType: cloud @@ -3495,8 +3504,20 @@ tools: - name: FACT type: software description: >- - Open‑Source‑Framework zur automatisierten Firmware‑Analyse und Vergleich - großer IoT‑Images. + Das Firmware Analysis and Comparison Tool des BSI revolutioniert IoT-Security + durch automatisierte Bulk-Analysis von Embedded-Firmware. Web-Interface + ermöglicht Upload ganzer Firmware-Sammlungen für parallele Verarbeitung. + Über 50 Analyzer dekomprimieren Archive, extrahieren Dateisysteme, + identifizieren Crypto-Keys, finden Backdoors. Besonders mächtig: + Diff-Analysis vergleicht Firmware-Versionen und identifiziert Security- + Patches, CVE-Matching findet bekannte Vulnerabilities in embedded Libraries, + Entropy-Analysis lokalisiert verschlüsselte Bereiche. Die Plugin-Architektur + ermöglicht Custom-Analyzer für proprietäre Formate. YARA-Integration für + Malware-Detection. Collaboration-Features für Team-Analysis. REST-API + automatisiert Bulk-Submissions. Die PostgreSQL-Backend speichert Metadaten + durchsuchbar. Perfekt für Router-Hersteller, Security-Researcher und + Incident-Response-Teams die IoT-Compromises untersuchen. Open-Source + aber Enterprise-Ready für kritische Infrastruktur-Assessments. skillLevel: advanced url: https://github.com/fkie-cad/FACT_core icon: 🔧 @@ -3516,8 +3537,21 @@ tools: - name: FOCA type: software description: >- - Werkzeug zum Sammeln und Auswerten von Metadaten in Dokumenten für OSINT‑ - und Infrastruktur­aufklärung. + Elevenpaths (Telefonica) entwickelte dieses OSINT-Kraftpaket zur Extraktion + von Metadaten aus öffentlich verfügbaren Dokumenten für Infrastructure- + Reconnaissance. Crawlt systematisch Websites nach PDFs, Office-Docs, + Bildern und extrahiert: Autor-Namen (potentielle Mitarbeiter), Software- + Versionen (Attack-Surface), interne Pfade (Network-Topology), Drucker- + Namen (Physical-Access-Points). Die DNS-Analysis korreliert Domains mit + gefundenen Infrastrukturdaten. Geolocation-Features mappen IP-Ranges. + Besonders wertvoll für Social-Engineering-Vorbereitung: Email-Pattern- + Recognition generiert Username-Listen, Organization-Chart-Reconstruction + aus Metadaten. Plugin-System erweitert für Custom-Document-Types. + Shodan-Integration enrichert IP-Intelligence. Die GUI macht komplexe + OSINT-Workflows auch für Non-Technical-Investigators zugänglich. + Export-Funktionen für weitere Analysis-Tools. Unverzichtbar für + Penetration-Tester und Financial-Crime-Investigators die Target- + Organizations verstehen müssen. skillLevel: beginner url: https://github.com/ElevenPaths/FOCA icon: 🗂️ @@ -3537,8 +3571,21 @@ tools: - name: Firmware Analysis Toolkit type: software description: >- - Skript‑Sammlung zur automatisierten Firmware‑Emulation auf Basis von - Firmadyne für Schwachstellenforschung. + Attifys Python-Framework automatisiert die komplexe Firmware-Emulation + für Dynamic-Analysis von IoT-Geräten. Basiert auf Firmadyne-Research + aber erweitert um praktische Exploitation-Tools. Automatischer Workflow: + Binwalk-Extraction → Filesystem-Reconstruction → QEMU-Emulation → + Network-Service-Discovery → Vulnerability-Scanning. Besonders wertvoll: + Web-Interface-Crawler findet Admin-Panels automatisch, + Default-Credential-Testing, SQL-Injection-Fuzzing der Management- + Interfaces. Die ARM/MIPS-Emulation ermöglicht Interactive-Debugging + mit GDB. Network-Simulation stellt Internet-Connectivity bereit. + Metasploit-Integration für Automated-Exploitation. Vulnerability- + Database korreliert Findings mit CVEs. Docker-Setup vereinfacht + komplexe Dependencies. Die Academic-Herkunft garantiert + Research-Quality aber User-Experience ist basic. Perfekt für + Security-Researcher die IoT-Firmware auf Scale analysieren müssen. + Ergänzt statische Tools um Dynamic-Analysis-Capabilities. skillLevel: advanced url: https://github.com/attify/firmware-analysis-toolkit icon: 📦 @@ -3579,8 +3626,21 @@ tools: - name: Gephi type: software description: >- - Open‑Source‑Plattform zur Visualisierung und Exploration großer - Graph‑Netzwerke. + Die Open-Source-Netzwerkanalyseplattform visualisiert komplexe + Beziehungsgeflechte durch mächtige Graph-Algorithmen und interaktive + Darstellung. Force-Atlas-Layout organisiert tausende Nodes automatisch, + Modularity-Clustering identifiziert Communities, Betweenness-Centrality + findet Schlüsselfiguren in Netzwerken. Besonders wertvoll für Fraud- + Investigations: Import von CSV/GEXF-Daten aus Transaktions-Logs, + Timeline-Animation zeigt Netzwerk-Evolution, Size/Color-Mapping + nach Attributen (Geldbeträge, Risikolevels). Die Statistics-Panel + berechnet Graph-Metriken automatisch. Filter isolieren verdächtige + Subgraphen. Export zu PDF/SVG für Reports. Plugin-Ecosystem erweitert + für spezielle Analysis-Methoden. Besonders stark bei großen Datensätzen + (100k+ Nodes) wo andere Tools versagen. Die Java-Basis macht es + Cross-Platform verfügbar. Steile Lernkurve aber unübertroffene + Visualisierungs-Power für Social-Network-Analysis und + Money-Laundering-Detection. skillLevel: intermediate url: https://gephi.org icon: 🕸️ @@ -3602,8 +3662,20 @@ tools: - name: Google Earth Pro type: software description: >- - Desktop‑3D‑Globus mit historischem Satelliten‑Archiv, hilfreich zur - OSINT‑Verifikation von Schauplätzen. + Googles professionelle Geo-Intelligence-Plattform bietet forensische + Capabilities weit jenseits der Consumer-Version. Historische Satellitenbilder + ab 1984 ermöglichen Timeline-Analysis von Tatorten, Gebäude-Entwicklungen, + Umwelt-Veränderungen. High-Resolution-Imagery (bis 60cm/Pixel) zeigt + Details für Crime-Scene-Reconstruction. Besonders wertvoll: KML/KMZ-Import + von GPS-Tracks für Movement-Analysis, Measurement-Tools für genaue + Distanzen, 3D-Buildings für Sichtlinien-Analysen. Movie-Maker erstellt + Flyover-Animations für Jury-Präsentationen. The Street-View-Integration + zeigt Ground-Truth-Perspective. Polygon-Tools markieren Search-Areas. + Koordinaten-Anzeige in verschiedenen Formaten (Lat/Long, UTM, MGRS). + Offline-Caching für Field-Operations. Die kostenlose Professional-Lizenz + (seit 2015) demokratisiert Geo-Intelligence. GPS-Data-Import von + Smartphones, Fitness-Trackern, Fahrzeug-Systemen. Standard-Tool für + OSINT-Verification und Court-Room-Presentations weltweit. skillLevel: beginner url: https://www.google.com/earth/versions/#earth-pro icon: 🌐 @@ -3623,8 +3695,20 @@ tools: - name: GrayKey type: software description: >- - Kommerzielle iOS‑Entsperrplattform für Strafverfolgung mit Brute‑Force‑ - und Hardware‑Exploits. + Grayshift Technologies entwickelt die kontroverse iOS-Forensik-Lösung + für Strafverfolgung - eine dedizierte Hardware-Box die iPhones durch + Zero-Day-Exploits entsperrt. Die Lightning-Kabel-Verbindung umgeht + Apples USB-Restricted-Mode und Secure-Enclave-Schutz. Zwei Varianten: + GrayKey-On-Premises für lokale Nutzung, GrayKey-Connected mit Cloud- + Updates für neueste Exploits. Unterstützt iOS 7-17 mit wechselnder + Geräte-Coverage je nach verfügbaren Exploits. Die Brute-Force-Engine + knackt 4-6 stellige PINs in Stunden bis Tagen. Besonders wertvoll: + Partial-Extraction auch bei verschlüsselten Geräten, AFU/BFU-State- + Analysis, Keychain-Decryption. Der Preis (30.000€+) und ethische + Bedenken limitieren auf Strafverfolgung. Regelmäßige Exploits werden + durch iOS-Updates zunichte gemacht - ein Katz-und-Maus-Spiel zwischen + Apple und Grayshift. Standard-Tool in US-Polizei-Departments trotz + rechtlicher und ethischer Kontroversen um Überwachungstechnologie. skillLevel: advanced url: https://grayshift.com/graykey icon: 🔑 @@ -3633,8 +3717,12 @@ tools: phases: - data-collection tags: - - ios - - unlocking + - ios-unlocking + - zero-day-exploits + - hardware-solution + - brute-force + - keychain-extraction + - law-enforcement platforms: - iOS accessType: hardware @@ -3643,8 +3731,17 @@ tools: - name: IDA Pro type: software description: >- - Branchen­standard‑Disassembler und Decompiler‑Framework für tiefgehendes - Reverse‑Engineering. + Vertreten im Bereich des Reverse Engineering seit über 30 Jahren - + HexRays IDA Pro definierte die statische Binary-Analyse. Der + Disassembler unterstützt über 50 Prozessor-Architekturen von x86 + über ARM bis zu exotischen DSPs. Der Decompiler wandelt + Assembly in lesbaren C-Pseudocode um, interaktive Cross-References + visualisieren Code-Beziehungen, der Graph-View zeigt Control-Flow intuitiv. + IDAPython ermöglicht Automatisierung komplexer Analysen. Die Signature- + Datenbank (FLIRT) identifiziert Standard-Bibliotheken automatisch. + Collaborative-Features für Teamanalysen. Besonders stark bei Malware- + Dekonstruktion, Vulnerability-Research und Firmware-Analyse. Der Preis + schreckt Hobbyisten ab. skillLevel: advanced url: https://hex-rays.com/ida-pro icon: 🖥️ @@ -3666,8 +3763,19 @@ tools: - name: KAPE type: software description: >- - Frei verfügbares Sammelscript von Kroll, das gezielt Artefakte erfasst und - Module für gängige Parser automatisiert ausführt. + Kroll Artifact Parser and Extractor revolutioniert Windows-Forensik durch + intelligente Ziel-basierte Sammlung. Statt Full-Disk-Images extrahiert KAPE + gezielt kritische Artefakte: Registry-Hives, Event-Logs, Prefetch, Browser- + Daten, Scheduled-Tasks in Minuten statt Stunden. Die Target-Files definieren + was gesammelt wird, Module-Files wie es verarbeitet wird. Besonders clever: + Compound-Targets gruppieren zusammengehörige Artefakte (z.B. "Browser" sammelt + Chrome+Firefox+Edge), die gKAPE-GUI macht es auch für Nicht-Techniker + zugänglich. Batch-Mode verarbeitet mehrere Images parallel. Output direkt + kompatibel zu Timeline-Tools wie Plaso. Die ständigen Community-Updates + halten mit Windows-Entwicklungen Schritt. VSS-Processing analysiert Shadow- + Copies automatisch. Der Remote-Collection-Mode sammelt über Netzwerk. + Kostenlos aber Enterprise-Support verfügbar. Der neue Standard für effiziente + Windows-Forensik-Triage. skillLevel: intermediate url: https://www.kroll.com/kape icon: 🧰 @@ -3687,8 +3795,20 @@ tools: - name: Kibana type: software description: >- - Visualisierungs‑Frontend des Elastic‑Stacks für Dashboards, Zeitreihen und - Threat‑Hunting‑Queries. + Das Visualisierungs-Frontend des Elastic-Stacks verwandelt rohe Forensik-Daten + in aussagekräftige Dashboards und Echtzeit-Analysen. Drag-and-Drop-Interface + erstellt komplexe Queries ohne Programmierkenntnisse. Besonders wertvoll für + Incident-Response: Timeline-Visualisierungen korrelieren Events über + verschiedene Systeme, Geo-Maps zeigen Angriffs-Ursprünge, Heat-Maps + identifizieren Aktivitätsmuster. Die Discover-Funktion ermöglicht explorative + Datenanalyse mit Drill-Down-Capabilities. Canvas erstellt Infografiken für + Management-Reports. Machine-Learning-Integration erkennt Anomalien automatisch. + Alerting-Framework triggert bei verdächtigen Mustern. Dashboard-Sharing für + SOC-Teams. Der Dev-Tools-Bereich bietet direkten Elasticsearch-Zugriff für + Power-User. Spaces isolieren verschiedene Ermittlungen. Die Integration mit + Wazuh, Suricata und anderen SIEM-Komponenten macht es zum Standard-Dashboard + moderner Security-Operations. Kostenlos bis zu Basic-Features, + X-Pack-Lizenzierung für Enterprise-Funktionen. skillLevel: beginner url: https://www.elastic.co/kibana icon: 📊 @@ -3709,8 +3829,19 @@ tools: - name: LiME type: software description: >- - Kernel‑Modul für Linux/Android, das RAM‑Dumps forensisch sauber zu Datei - oder Netz streamt. + Linux Memory Extractor ermöglicht forensisch saubere RAM-Akquisition auf + Linux-Systemen durch dynamisch ladbares Kernel-Modul. Besonders wertvoll: + Zero-Contamination durch minimalen Footprint, Network-Streaming überträgt + RAM direkt an Remote-Analyst ohne lokale Storage, Format-Options (Raw, + Padded, ELF) für verschiedene Analysis-Tools. Die Cross-Compilation + unterstützt embedded Systems und IoT-Geräte. Android-Portierung ermöglicht + Mobile-Memory-Forensics. Automatische Kernel-Symbol-Resolution für + Volatility-Profile-Generation. Die Installation erfordert Kernel-Headers + aber der Build-Prozess ist gut dokumentiert. TCP-Dump-Integration für + simultane Netzwerk-Capture. Besonders wichtig für Container-Forensik und + Cloud-Incidents wo traditionelle Tools versagen. Der Standard für + Linux-Memory-Acquisition in professionellen DFIR-Teams. Ergänzt + Windows-Tools wie WinPmem für heterogene Umgebungen. skillLevel: advanced url: https://github.com/504ensicsLabs/LiME icon: 🧠 @@ -3722,6 +3853,7 @@ tools: tags: - memory - acquisition + - scenario:memory_dump platforms: - Linux - Android @@ -3731,8 +3863,21 @@ tools: - name: Loki type: software description: >- - Portabler IOC‑ und YARA‑Scanner für schnelle Incident‑Response ohne - Installation. + Florian Roths Portable-IOC-Scanner bringt Enterprise-Level-Threat-Hunting + auf jeden Windows-Endpoint ohne Agent-Installation. Die Python-basierte + Engine scannt File-Hashes gegen NSRL-Whitelist und Custom-IOC-Sets, + YARA-Rules gegen Memory und Dateisystem, Registry-Keys nach Malware- + Persistence, Running-Processes nach bekannten Threats. Besonders wertvoll: + Network-Share-Scanning durchsucht ganze Domänen, False-Positive-Reduction + durch Whitelist-Management, Detailed-Logging für Compliance-Audits. + Configuration-Files steuern Scan-Intensität vs. Performance. + Integration mit MISP für IOC-Updates. Die Executable-Version läuft + ohne Python-Installation. Härtungs-Checks validieren Sicherheits- + Konfigurationen. Sigma-Rule-Support für Log-Analysis. Community- + IOCs halten Threat-Database aktuell. Perfekt für Rapid-Response + wenn vollständige EDR-Lösungen fehlen. Standard-Tool in vielen + CERT-Incident-Response-Kits. Der Einstieg in professionelles + Threat-Hunting ohne Budget-Hürden. skillLevel: intermediate url: https://github.com/Neo23x0/Loki icon: 🔎 @@ -3752,8 +3897,19 @@ tools: - name: Maltego type: software description: >- - Graph‑basierte Link‑Analysis‑Suite für OSINT, Fraud‑ und - Infrastrukturuntersuchungen. + Die Link-Analysis-Suite transformiert OSINT-Recherchen in visuelle Netzwerke + für Fraud-Ermittlungen und Threat-Intelligence. Graph-basierte Darstellung + zeigt Verbindungen zwischen Personen, Domains, IP-Adressen, Social-Media- + Accounts intuitiv. Transform-Engine automatisiert Datensammlung aus hunderten + Quellen: DNS-Records, Whois-Daten, Social-Networks, Darkweb-Mentions. + Besonders mächtig für BEC-Fraud: Email-to-Domain-to-Infrastructure-Mapping + enthüllt Scammer-Netzwerke. Die Maltego-Teeth-Integration bringt kommerzielle + Datenquellen. Machine-Learning-Algorithmen finden versteckte Cluster. + Collaboration-Features für Team-Ermittlungen. Case-Management dokumentiert + Recherche-Pfade. Export zu verschiedenen Formaten für Reports. Die + Community-Edition (kostenlos) limitiert auf 12 Entities, aber ausreichend + für kleinere Fälle. Professional-Versionen (ab 999€) entfernen Limits. + Standard-Tool für Financial-Crime-Units und OSINT-Analysten weltweit. skillLevel: intermediate url: https://www.maltego.com icon: 🌐 @@ -3775,8 +3931,22 @@ tools: - name: OnlyOffice type: software description: >- - Open‑Source‑Office‑Suite mit Echtzeit‑Kollaboration und guter - MS‑Office‑Kompatibilität. + Die kollaborationsfokussierte Office-Suite kombiniert Microsoft-Office- + Kompatibilität mit Open-Source-Flexibilität für forensische Team-Arbeit. + Real-Time-Co-Editing ermöglicht simultane Report-Erstellung durch mehrere + Ermittler. Besonders wertvoll: Version-History dokumentiert alle Änderungen + für Audit-Trails, Comment-System koordiniert Review-Prozesse, + PDF-Forms für strukturierte Evidence-Collection. Die Plugin-Architecture + integriert mit Nextcloud, ownCloud für sichere File-Sharing. + Macro-Support (mit Sicherheits-Sandboxing) automatisiert repetitive + Analysen. Advanced-Mail-Merge für Bulk-Correspondence. Mathematical- + Formulas in Spreadsheets für Statistical-Analysis. Die Self-Hosted- + Deployment-Option hält sensitive Ermittlungsdaten in-house. + Enterprise-Features: SSO-Integration, LDAP-Authentication, Custom- + Branding für behördliche Anforderungen. Mobile-Apps ermöglichen + Field-Documentation. Deutlich günstiger als Microsoft-Lizenzen bei + vergleichbarer Funktionalität. Perfekte Balance zwischen Features + und Datenschutz für professionelle Forensik-Teams. skillLevel: beginner url: https://www.onlyoffice.com icon: 📄 @@ -3797,8 +3967,21 @@ tools: - name: OpenCTI type: software description: >- - AGPL‑Plattform zur Aggregation, Analyse und Verteilung von - Cyber‑Threat‑Intelligence. + Filigrans Cyber-Threat-Intelligence-Plattform orchestriert moderne + Threat-Research durch Knowledge-Graph-basierte Datenmodellierung nach + STIX-Standards. Import von IOCs, TTPs, Malware-Analysen aus hunderten + Quellen: MISP-Feeds, Commercial-Intel, Custom-Research. Die Graph-Engine + korreliert scheinbar unabhängige Indicators zu Attack-Campaigns. + Besonders mächtig: Automated-Enrichment durch Connector-Ecosystem, + Confidence-Scoring gewichtet Intel-Quality, Observable-Pivoting findet + Related-Indicators automatisch. Playbook-Integration ermöglicht + Automated-Response. Team-Collaboration durch Workspaces und + Knowledge-Sharing. Export zu SIEM-Systemen in Real-Time. The + Modern-React-UI macht komplexe Intelligence-Workflows intuitiv. + Docker-Compose-Deployment für schnelle Installation. Enterprise- + Features: Multi-Tenancy, RBAC, Audit-Logging. Open-Source aber + Commercial-Support verfügbar. Standard-Platform für moderne + CTI-Teams die structured Intelligence-Sharing benötigen. skillLevel: intermediate url: https://filigran.io/platforms/opencti icon: 🗂️ @@ -3817,8 +4000,19 @@ tools: - name: Oxygen Forensic Suite type: software description: >- - Umfassende Mobile‑Forensic‑Lösung zum Extrahieren, Entschlüsseln und - Analysieren von App‑ und Cloud‑Daten. + Die umfassende Mobile-Forensik-Suite positioniert sich als Alternative + zu westlichen Lösungen mit Fokus auf Android-Geräte und Cloud-Services. + Besonders stark: Deep-Extraction chinesischer Smartphones (Xiaomi, Huawei, + OnePlus), Telegram-Forensics inklusive Secret-Chats, Signal-Database- + Decryption bei Root-Access. Die Cloud-Explorer-Module greifen auf 50+ + Services zu: Google-Takeout, iCloud-Backups, Microsoft-Accounts ohne + Premium-Pricing. Physical-Analyzer visualisiert Timeline und Geo-Locations. + Die SQLite-Viewer parst App-Databases direkt. Besonders innovativ: + UFED-Image-Import ermöglicht Cross-Platform-Analysis, Live-Memory-Dumps + von Android-Geräten, Malware-Detection in APKs. Der Preis (ab 8.000€) + unterbietet Marktführer deutlich. Technisch solide Lösung mit + umfangreichem Cloud-Support und regelmäßigen Updates für neue + Smartphone-Modelle und Apps. skillLevel: advanced url: https://www.oxygenforensics.com icon: 📱 @@ -3838,8 +4032,19 @@ tools: - name: Radare2 type: software description: >- - Mächtiges CLI‑Reverse‑Engineering‑Framework mit Skript‑Hooks, Debugger und - Binary‑Patching. + Das modulare Reverse-Engineering-Framework vereint Disassembler, Debugger, + Hex-Editor und Scripter in einer mächtigen CLI-Suite. Die Unix-Philosophie + "do one thing well" ermöglicht granulare Kontrolle über jeden Analyse-Schritt. + Besonders innovativ: r2pipe-Integration bindet das Framework in Python, + Node.js, Go-Scripts ein, Visual-Mode bietet Pseudo-GUI im Terminal, + Project-Files speichern komplexe Analysen persistent. Über 20 Architekturen + unterstützt von x86 bis WebAssembly. Die aktive Community entwickelt ständig + neue Features: r2ghidra-Decompiler, r2dec für Pseudocode, cutter als GUI- + Frontend. Besonders stark bei Firmware-Analyse und CTF-Challenges. Die + steep-Learning-Curve wird durch unübertroffene Flexibilität belohnt. + Docker-Images vereinfachen Deployment. Die LGPL-Lizenz ermöglicht + kommerzielle Integration. Perfekt für Sicherheitsforscher die maximale + Kontrolle über ihre Analyse-Umgebung benötigen. skillLevel: advanced url: https://rada.re/n/radare2.html icon: 🗡️ @@ -3860,8 +4065,21 @@ tools: - name: Rekall type: software description: >- - Python‑basiertes Framework zur Speicher­erfassung und -analyse, Nachfolger - von Volatility mit schneller AFF4‑Unterstützung. + Googles Memory-Analysis-Framework erweiterte Volatility um Cloud-Scale- + Capabilities und moderne Storage-Formate. AFF4-Integration ermöglicht + Streaming-Analysis von Multi-Terabyte-Memory-Images ohne lokale Storage. + Besonders innovativ: Live-Memory-Analysis über HTTP-Endpoints, + Rekall-Agent für Remote-Collection, Timeline-Integration für + Memory-Events. Python-3-Native-Architecture mit Jupyter-Notebook- + Integration für Interactive-Analysis. Web-UI demokratisiert Memory- + Forensics für Non-CLI-Users. Machine-Learning-Plugins für Anomaly- + Detection. Enterprise-Features: Distributed-Analysis, + Multi-Investigator-Collaboration, Case-Management. Die Development + wurde 2018 eingestellt zugunsten anderer Google-Projekte, aber + Community-Forks setzen Entwicklung fort. Legacy-Code läuft noch + stable für viele Use-Cases. Historical-Significance als Volatility- + Herausforderer und Cloud-Memory-Forensics-Pioneer. Lessons-Learned + fließen in moderne Tools wie Velociraptor ein. skillLevel: advanced url: https://github.com/google/rekall icon: 🧬 @@ -3882,8 +4100,20 @@ tools: - name: Suricata type: software description: >- - Hochperformanter Open‑Source‑IDS/IPS/NSM‑Sensor mit Multi‑Threading und - Lua‑Scripting. + Die Open-Source-IDS/IPS-Engine der OISF revolutioniert Netzwerk-Security- + Monitoring durch Multi-Threading und moderne Protokoll-Decoder. Lua-Scripts + ermöglichen Custom-Detection-Logic jenseits einfacher Pattern-Matching. + Besonders mächtig: HTTP-Keyword-Matching in Request-Bodies, TLS-Certificate- + Fingerprinting, DNS-Tunneling-Detection, File-Extraction aus Netzwerk- + Streams. Die JSON-Ausgabe integriert nahtlos in ELK-Stack oder Splunk. + Rule-Updates von Proofpoint, Emerging-Threats halten Signaturen aktuell. + Bypass-Funktionen reduzieren False-Positives bei bekanntem Traffic. + Hardware-Acceleration durch DPDK/PF_RING steigert Performance auf 100Gbit+. + Cluster-Mode verteilt Load über mehrere Instanzen. Die Engine bildet das + Herzstück kommerzieller SIEM-Systeme von Elastic Security bis Wazuh. + Python-Output-Plugins ermöglichen Custom-Integrations. Unverzichtbar für + moderne SOCs die leistungsstarke Threat-Detection ohne Vendor-Lock-in + benötigen. Der De-facto-Standard für Open-Source-NSM. skillLevel: intermediate url: https://suricata.io icon: 🛡️ @@ -3903,8 +4133,19 @@ tools: - name: VirusTotal type: software description: >- - Online‑Sandbox und Multi‑AV‑Scanner zum schnellen Prüfen von Dateien, - Domains und URLs. + Googles Malware-Intelligence-Plattform aggregiert Erkennungen von 70+ + Antivirus-Engines und Sandboxes für sofortige Threat-Assessment. Upload + verdächtiger Dateien, URLs oder Domains liefert umfassende Reports: + AV-Detections, Behavioral-Analysis, YARA-Matches, Community-Comments. + Besonders wertvoll: Retro-Hunt findet ähnliche Samples in der + Milliarden-Sample-Datenbank, Graph-View visualisiert Malware-Familien- + Beziehungen, Crowdsourced-IOCs von Security-Forschern weltweit. Die + Premium-API ermöglicht Bulk-Searches und private Scans. Integration in + alle Major-Security-Tools durch offene APIs. Livehunt-Service alertiert + bei neuen Samples matching custom YARA-Rules. Vorsicht: Public-Uploads + sind für alle sichtbar - keine vertraulichen Samples! Die kostenlose + Nutzung macht es zum Standard-Tool für initiale Malware-Triage. + Unverzichtbar für Threat-Intelligence und SOC-Analysten. skillLevel: beginner url: https://www.virustotal.com icon: 🦠 @@ -3923,8 +4164,19 @@ tools: - name: WinHex type: software description: >- - Universeller Hex‑, Disk‑ und RAM‑Editor für forensische Tiefenanalysen und - Datenrettung. + X-Ways Software entwickelt seit 1995 den vielseitigsten Hex-Editor mit + forensischen Superkräften. Über die reine Hex-Bearbeitung hinaus bietet + WinHex: Disk-Cloning mit defekten Sektoren, RAM-Editor für Live-System- + Analyse, File-Recovery durch Signature-Scanning, Template-Engine für + Datenstruktur-Parsing. Die Scripting-Engine automatisiert wiederkehrende + Aufgaben. Besonders wertvoll: NTFS-Alternate-Data-Streams-Support, + MFT-Browser zeigt Dateisystem-Metadaten, die Registry-Viewer parst Hives + direkt. Integration mit forensischen Workstations über API. Der + Specialist-License (499€) bietet erweiterte Forensik-Features, während + die Standard-Version (38€) bereits beeindruckende Capabilities liefert. + Die kompakte Exe-Datei (2MB) läuft ohne Installation. Besonders geschätzt: + die präzise Byte-Level-Kontrolle die bei komplexen Datenrettungen + entscheidend ist. Der Geheimtipp vieler Forensiker für Spezialfälle. skillLevel: intermediate url: https://x-ways.net/winhex icon: 🗜️ @@ -3943,8 +4195,20 @@ tools: - name: WinPmem type: software description: >- - Open‑Source‑Tool für physikalische Speicherabbilder unter Windows mit - mehreren Zugriffsmethoden. + Velociraptors Windows-Memory-Imager revolutioniert RAM-Akquisition durch + flexibles Driver-System und moderne WinAPI-Integration. Drei Acquisition- + Modi: Kernel-Driver für Maximum-Access, WinAPI für Modern-Windows, + Live-Service für Remote-Collection. Die ELF64-Ausgabe enthält Metadaten + für Volatility-Auto-Detection. Besonders clever: Pagefile-Integration + erweitert verfügbaren Memory-Space, Registry-Acquisition parallel zum + RAM-Dump, Hash-Verification für forensische Integrität. Driver-Signing + für Secure-Boot-Kompatibilität. Die Portable-Version läuft ohne Installation + von USB-Stick. JSON-Metadata dokumentiert System-Configuration zum + Akquisitionszeitpunkt. Performance-Optimierung für SSD-Storage. + Integration in KAPE-Workflows für automatisierte Collection. Der + Open-Source-Ansatz ermöglicht Anpassungen für spezielle Anforderungen. + Standard-Tool für Windows-Memory-Forensics wenn kommerzielle Alternativen + nicht verfügbar oder zu teuer sind. skillLevel: advanced url: https://winpmem.velocidex.com icon: 💾 @@ -3955,6 +4219,7 @@ tools: tags: - memory - acquisition + - scenario:memory_dump platforms: - Windows accessType: download @@ -3963,8 +4228,20 @@ tools: - name: Zeek type: software description: >- - Netzwerk‑Security‑Monitor (ehemals Bro) für detaillierte - Protokoll­Transkripte und Skript‑basierte Threat‑Hunting‑Logik. + Das programmierbare Netzwerk-Analysis-Framework (vormals Bro) geht weit + über traditionelle Packet-Inspection hinaus - es interpretiert Protokolle + und extrahiert strukturierte Logs für forensische Analyse. Die eingebaute + Scripting-Sprache ermöglicht Custom-Protocol-Decoder und Anomalie-Detection- + Logic. Besonders wertvoll: Connection-Logs zeigen alle Netzwerk-Sessions, + HTTP/DNS/TLS-Logs extrahieren Metadaten, File-Analysis erkennt übertragene + Malware automatisch. Integration mit Intelligence-Frameworks für IOC- + Matching. Cluster-Deployment skaliert auf Enterprise-Netzwerke. Die + Script-Community teilt Detectors für moderne Threats: Cobalt-Strike- + Beacons, DNS-Tunneling, Lateral-Movement-Patterns. Real-Time-Streaming + zu SIEMs oder Offline-Analysis für Incident-Response. Die Lernkurve ist + steil aber die Analysemächtigkeit unübertroffen. Basis für kommerzielle + NSM-Lösungen und akademische Forschung. Standard in Security-Teams die + Netzwerk-Forensik ernst nehmen. skillLevel: advanced url: https://zeek.org icon: 📈 @@ -3984,8 +4261,19 @@ tools: - name: osquery type: software description: >- - SQL‑basiertes Endpoint‑Telemetry‑Framework, ideal für - Incident‑Response‑Fragen über große Flotten hinweg. + Facebooks revolutionäre Endpoint-Telemetry-Engine transformiert Betriebssystem- + Zustand in SQL-Queries für forensische Untersuchungen. Das "Operating System + as Database"-Konzept ermöglicht Abfragen wie "SELECT * FROM processes WHERE + name LIKE '%malware%'". Über 200 Tables exposieren System-Internals: Prozesse, + Netzwerkverbindungen, Dateien, Registry, Scheduled-Tasks. Besonders mächtig + für Fleet-Wide-Hunting: eine Query durchsucht tausende Endpoints parallel. + Die Event-Framework publiziert Changes in Real-Time. Extensions erweitern + für Cloud-APIs, YARA-Scanning, Custom-Tables. JSON-Output integriert nahtlos + in SIEMs. Distributed-Queries über TLS-verschlüsselte Channels. Der + Lightweight-Agent (< 50MB RAM) minimiert Performance-Impact. Configuration- + Management via JSON/YAML. Die Active-Community entwickelt ständig neue + Tables. Basis für zahlreiche kommerzielle Endpoint-Security-Produkte. + Unverzichtbar für moderne Threat-Hunting und Incident-Response at Scale. skillLevel: intermediate url: https://osquery.io icon: 🗄️ @@ -4006,8 +4294,20 @@ tools: - name: tcpdump type: software description: >- - Klassischer CLI‑Packet‑Sniffer unter BSD‑Lizenz, Basis vieler - Netzwerk‑Forensik‑Workflows. + Der 1987 entwickelte Packet-Sniffer bleibt nach fast 40 Jahren das + fundamentale Tool für Netzwerk-Troubleshooting und Traffic-Analysis. + Die BPF-Filter-Syntax (Berkeley Packet Filter) ermöglicht chirurgisch + präzise Packet-Selektion: "host 192.168.1.1 and port 80". Besonders + wertvoll: Memory-effiziente Capture auch bei High-Speed-Interfaces, + ASCII/Hex-Output für Quick-Analysis, Timestamp-Precision für + Timeline-Correlation. Ring-Buffer-Mode rotiert Captures automatisch. + Die libpcap-Basis macht Captures kompatibel zu allen Major-Analysis-Tools. + Remote-Capture via SSH-Tunneling für Network-Forensics. Integration in + Scripts für automatisierte Collection. Besonders geschätzt: die Stabilität + auch bei defekten Frames, minimaler CPU-Overhead, verfügbar auf jedem + Unix-System ohne Installation. Der Syntax mag archaisch wirken, aber die + Effizienz ist unübertroffen. Basis-Skill für jeden Netzwerk-Forensiker + und oft einziges Tool in restricted Environments. skillLevel: intermediate url: https://www.tcpdump.org icon: 🐙 @@ -4028,8 +4328,22 @@ tools: - name: x64dbg type: software description: >- - GPL‑Debugger für Windows‑Binärdateien mit Plugin‑System, beliebt bei - Malware‑Analyst:innen. + Der kostenlose Windows-Debugger revolutioniert Malware-Analysis durch + intuitive GUI und Plugin-Ecosystem. Ersetzt den veralteten OllyDbg + mit moderner 64-Bit-Architektur und Active-Development. Besonders + stark: Anti-Anti-Debug-Plugins umgehen Evasion-Techniken, + Script-Engine automatisiert repetitive Tasks, Memory-Map-Viewer + zeigt Process-Layout übersichtlich. Die Plugin-Community entwickelt + ständig neue Extensions: Unpacker für gepackte Malware, Crypto- + Finder identifiziert Verschlüsselungsroutinen, API-Logger trackt + System-Calls. Integrated-Disassembler mit Syntax-Highlighting. + Conditional-Breakpoints für Complex-Debugging-Scenarios. + Multi-Threading-Support für moderne Malware. Export-Funktionen + für weitere Analysis. Die portable Version läuft von USB-Stick. + Besonders wertvoll: Zero-Cost für Hobbyisten und kleine Teams + bei Professional-Level-Features. Active-Community in Discord/GitHub + hilft bei Problemen. Der De-facto-Standard für Windows-Malware- + Dynamic-Analysis ohne Budget-Constraints. skillLevel: advanced url: https://x64dbg.com icon: 🐛 @@ -4190,6 +4504,7 @@ tools: - password-recovery - gpu-acceleration - cracking + - scenario:credential_theft related_concepts: null platforms: - Linux @@ -4334,6 +4649,7 @@ tools: - disk-imaging - map-file - cli + - scenario:disk_imaging related_concepts: null platforms: - Linux @@ -4378,8 +4694,6 @@ tools: phases: - examination - analysis - scenarios: - - scenario:file_recovery tags: - commandline - backup @@ -4410,8 +4724,6 @@ tools: - data-collection - examination - analysis - scenarios: - - scenario:disk_imaging tags: - live-distro - imaging @@ -4427,7 +4739,22 @@ tools: knowledgebase: false - name: Aircrack-ng type: software - description: "Umfangreiche CLI‑Suite zur Beurteilung der WLAN‑Sicherheit: airodump‑ng sammelt Frames und GPS‑Koordinaten, aireplay‑ng injiziert Pakete für Replay‑ oder Deauth‑Attacken und aircrack‑ng selbst bricht WEP‑Keys sowie WPA/WPA2‑PSKs in Rekordzeit\_– alles scriptbar und plattformübergreifend. :contentReference[oaicite:4]{index=4}" + description: >- + Die legendäre WLAN-Security-Suite vereint seit 2006 alle Tools für + 802.11-Penetration-Testing und Forensic-WLAN-Analysis. Airodump-ng + sammelt Packets und zeigt Hidden-Networks, Aireplay-ng injiziert + Deauth-Frames für Handshake-Capture, Aircrack-ng selbst bricht + WEP-Keys in Minuten und WPA2-PSKs mit Dictionary-Attacks. Besonders + wertvoll für Forensik: Packet-Capture-Analysis identifiziert + Rogue-APs, Client-Probing-Behavior enthüllt Bewegungsprofile, + WPS-PIN-Recovery bei Legacy-Routern. Die GPU-Acceleration + (via pyrit/hashcat) beschleunigt PSK-Cracking dramatisch. + Support für moderne Standards: WPA3-Transition-Mode, 802.11ac/ax. + Scripting-Interface automatisiert Mass-Assessments. + Cross-Platform-Verfügbarkeit mit Hardware-Treiber-Support. + Forensic-Mode bewahrt Evidence-Integrity. Integration in + Penetration-Testing-Frameworks. Der Klassiker für WLAN-Forensik + wenn moderne Enterprise-WLANs kompromittiert wurden. skillLevel: advanced url: https://www.aircrack-ng.org/ icon: 📦 @@ -4437,8 +4764,6 @@ tools: phases: - data-collection - analysis - scenarios: - - scenario:credential_theft tags: - commandline - wireless @@ -4467,8 +4792,6 @@ tools: phases: - data-collection - analysis - scenarios: - - scenario:remote_access tags: - rogue-ap - wireless diff --git a/src/pages/api/ai/query.ts b/src/pages/api/ai/query.ts index bf8efcf..a02eca0 100644 --- a/src/pages/api/ai/query.ts +++ b/src/pages/api/ai/query.ts @@ -287,16 +287,22 @@ export const POST: APIRoute = async ({ request }) => { const body = await request.json(); const { query, mode = 'workflow', taskId: clientTaskId } = body; + // ADD THIS DEBUG LOGGING + console.log(`[AI API] Received request - TaskId: ${clientTaskId}, Mode: ${mode}, Query length: ${query?.length || 0}`); + if (!query || typeof query !== 'string') { + console.log(`[AI API] Invalid query for task ${clientTaskId}`); return apiError.badRequest('Query required'); } if (!['workflow', 'tool'].includes(mode)) { + console.log(`[AI API] Invalid mode for task ${clientTaskId}: ${mode}`); return apiError.badRequest('Invalid mode. Must be "workflow" or "tool"'); } const sanitizedQuery = sanitizeInput(query); if (sanitizedQuery.includes('[FILTERED]')) { + console.log(`[AI API] Filtered input detected for task ${clientTaskId}`); return apiError.badRequest('Invalid input detected'); } @@ -308,6 +314,9 @@ export const POST: APIRoute = async ({ request }) => { const taskId = clientTaskId || `ai_${userId}_${Date.now()}_${Math.random().toString(36).substr(2, 6)}`; + console.log(`[AI API] About to enqueue task ${taskId}`); + + const aiResponse = await enqueueApiCall(() => fetch(process.env.AI_API_ENDPOINT + '/v1/chat/completions', { method: 'POST', diff --git a/src/pages/api/ai/queue-debug.ts b/src/pages/api/ai/queue-debug.ts new file mode 100644 index 0000000..d470e06 --- /dev/null +++ b/src/pages/api/ai/queue-debug.ts @@ -0,0 +1,31 @@ +// src/pages/api/ai/queue-debug.ts - Enhanced debug endpoint +import type { APIRoute } from 'astro'; +import { getQueueDebugState, getAllTaskStatuses } from '../../../utils/rateLimitedQueue.js'; +import { apiResponse, apiServerError } from '../../../utils/api.js'; + +export const prerender = false; + +export const GET: APIRoute = async ({ request }) => { + try { + // Only allow in development or with special header + const isDev = process.env.NODE_ENV === 'development'; + const debugHeader = request.headers.get('X-Debug-Queue'); + + if (!isDev && debugHeader !== 'true') { + return apiServerError.internal('Debug endpoint not available'); + } + + const debugState = getQueueDebugState(); + const allTaskStatuses = getAllTaskStatuses(); + + return apiResponse.success({ + ...debugState, + allTaskStatuses, + timestamp: Date.now(), + message: 'Enhanced queue debug state snapshot' + }); + } catch (error) { + console.error('Queue debug error:', error); + return apiServerError.internal('Failed to get queue debug state'); + } +}; \ No newline at end of file diff --git a/src/utils/rateLimitedQueue.ts b/src/utils/rateLimitedQueue.ts index 197143c..e858b25 100644 --- a/src/utils/rateLimitedQueue.ts +++ b/src/utils/rateLimitedQueue.ts @@ -12,51 +12,67 @@ interface QueuedTask { id: string; task: Task; addedAt: number; + status: 'queued' | 'processing' | 'completed' | 'failed'; + startedAt?: number; + completedAt?: number; } export interface QueueStatus { queueLength: number; isProcessing: boolean; - estimatedWaitTime: number; // in milliseconds - currentPosition?: number; + estimatedWaitTime: number; + currentPosition?: number; + taskStatus?: string; } class RateLimitedQueue { - private queue: QueuedTask[] = []; - private processing = false; + private tasks: QueuedTask[] = []; + private isProcessing = false; private delayMs = RATE_LIMIT_DELAY_MS; private lastProcessedAt = 0; + private currentlyProcessingTaskId: string | null = null; add(task: Task, taskId?: string): Promise { const id = taskId || this.generateTaskId(); - + return new Promise((resolve, reject) => { - this.queue.push({ + const queuedTask: QueuedTask = { id, task: async () => { try { const result = await task(); resolve(result); + return result; } catch (err) { reject(err); + throw err; } }, - addedAt: Date.now() - }); - this.process(); + addedAt: Date.now(), + status: 'queued' + }; + + this.tasks.push(queuedTask); + + setTimeout(() => { + this.processQueue(); + }, 100); }); } getStatus(taskId?: string): QueueStatus { - const queueLength = this.queue.length; + const queuedTasks = this.tasks.filter(t => t.status === 'queued'); + const processingTasks = this.tasks.filter(t => t.status === 'processing'); + const queueLength = queuedTasks.length + processingTasks.length; + const now = Date.now(); let estimatedWaitTime = 0; if (queueLength > 0) { - if (this.processing) { + if (this.isProcessing && this.lastProcessedAt > 0) { const timeSinceLastRequest = now - this.lastProcessedAt; - const remainingDelay = Math.max(0, this.delayMs - timeSinceLastRequest); - estimatedWaitTime = remainingDelay + (queueLength - 1) * this.delayMs; + const remainingDelay = Math.max(0, this.delayMs * 2 - timeSinceLastRequest); + estimatedWaitTime = remainingDelay + queuedTasks.length * this.delayMs; } else { estimatedWaitTime = queueLength * this.delayMs; } @@ -64,14 +80,41 @@ class RateLimitedQueue { const status: QueueStatus = { queueLength, - isProcessing: this.processing, + isProcessing: this.isProcessing, estimatedWaitTime }; if (taskId) { - const position = this.queue.findIndex(item => item.id === taskId); - if (position >= 0) { - status.currentPosition = position + 1; + const task = this.tasks.find(t => t.id === taskId); + + if (task) { + status.taskStatus = task.status; + + if (task.status === 'processing') { + status.currentPosition = 1; + } else if (task.status === 'queued') { + const queuedTasksInOrder = this.tasks + .filter(t => t.status === 'queued') + .sort((a, b) => a.addedAt - b.addedAt); + + const positionInQueue = queuedTasksInOrder.findIndex(t => t.id === taskId); + + if (positionInQueue >= 0) { + const processingOffset = processingTasks.length > 0 ? 1 : 0; + status.currentPosition = processingOffset + positionInQueue + 1; + } + } else if (task.status === 'completed' || task.status === 'failed') { + } + } else { + const taskTimestamp = taskId.match(/ai_(\d+)_/)?.[1]; + if (taskTimestamp) { + const taskAge = now - parseInt(taskTimestamp); + if (taskAge < 30000) { + status.taskStatus = 'starting'; + } else { + status.taskStatus = 'unknown'; + } + } } } @@ -87,23 +130,60 @@ class RateLimitedQueue { return this.delayMs; } - private async process(): Promise { - if (this.processing) return; - this.processing = true; - - while (this.queue.length > 0) { - const next = this.queue.shift(); - if (!next) continue; - - this.lastProcessedAt = Date.now(); - await next.task(); - - if (this.queue.length > 0) { - await new Promise((r) => setTimeout(r, this.delayMs)); - } + private async processQueue(): Promise { + if (this.isProcessing) { + return; } - this.processing = false; + this.isProcessing = true; + + try { + while (true) { + const nextTask = this.tasks + .filter(t => t.status === 'queued') + .sort((a, b) => a.addedAt - b.addedAt)[0]; + + if (!nextTask) { + break; + } + + nextTask.status = 'processing'; + nextTask.startedAt = Date.now(); + this.currentlyProcessingTaskId = nextTask.id; + this.lastProcessedAt = Date.now(); + + + try { + await nextTask.task(); + nextTask.status = 'completed'; + nextTask.completedAt = Date.now(); + console.log(`[QUEUE] Task ${nextTask.id} completed`); + } catch (error) { + nextTask.status = 'failed'; + nextTask.completedAt = Date.now(); + console.error(`[QUEUE] Task ${nextTask.id} failed:`, error); + } + + this.currentlyProcessingTaskId = null; + + setTimeout(() => { + const index = this.tasks.findIndex(t => t.id === nextTask.id); + if (index >= 0) { + console.log(`[QUEUE] Removing completed task ${nextTask.id}`); + this.tasks.splice(index, 1); + } + }, 10000); + + const hasMoreQueued = this.tasks.some(t => t.status === 'queued'); + if (hasMoreQueued) { + console.log(`[QUEUE] Waiting ${this.delayMs}ms before next task`); + await new Promise((r) => setTimeout(r, this.delayMs)); + } + } + } finally { + this.isProcessing = false; + console.log(`[QUEUE] Queue processing finished`); + } } private generateTaskId(): string {