tools: - name: Autopsy type: software description: >- Die führende Open-Source-Alternative zu kommerziellen Forensik-Suiten mit intuitiver grafischer Oberfläche. Besonders stark in der Timeline-Analyse, Keyword-Suche und dem Carving gelöschter Dateien. Die modulare Plugin-Architektur erlaubt Erweiterungen für spezielle Untersuchungsszenarien. Zwar komplexer als kommerzielle Lösungen, aber dafür vollständig transparent und kostenfrei. domains: - incident-response - law-enforcement - malware-analysis - mobile-forensics - cloud-forensics phases: - examination - analysis platforms: - Windows - Linux domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://www.autopsy.com/ projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - gui - filesystem - timeline-analysis - carving - artifact-extraction - keyword-search - name: Volatility 3 type: software description: >- Das Schweizer Taschenmesser der Memory-Forensik, unverzichtbar für die Analyse von RAM-Dumps. Mit über 100 Plugins extrahiert es Prozesse, Netzwerkverbindungen, Registry-Keys und versteckte Malware aus dem Arbeitsspeicher. Die Python-basierte Architektur macht es flexibel erweiterbar, erfordert aber solide Kommandozeilen-Kenntnisse. Version 3 bringt deutliche Performance-Verbesserungen und bessere Formatunterstützung. domains: - incident-response - law-enforcement - malware-analysis - network-forensics phases: - examination - analysis platforms: - Windows - Linux - macOS domain-agnostic-software: null skillLevel: advanced accessType: download url: https://www.volatilityfoundation.org/ projectUrl: '' license: VSL knowledgebase: false tags: - commandline - memory - malware-analysis - artifact-extraction - scripting - process-analysis - name: TheHive 5 type: software description: >- Moderne Security-Orchestrierungs-Plattform für die koordinierte Incident-Response im Team. Integriert nahtlos mit MISP, Cortex und anderen Security-Tools für automatisierte Workflows. Die kostenlose Community Edition wurde 2021 eingestellt, was die Langzeitperspektive fraglich macht. Für professionelle SOCs dennoch eine der besten Kollaborations-Lösungen am Markt. domains: - incident-response - law-enforcement - malware-analysis - network-forensics phases: - analysis - reporting platforms: - Web domain-agnostic-software: - collaboration-general skillLevel: intermediate accessType: server-based url: https://github.com/TheHive-Project/TheHive projectUrl: '' license: Community Edition (Free) / Commercial knowledgebase: false tags: - web-based - case-management - collaboration - api - workflow-automation - incident-tracking statusUrl: https://uptime.example.lab/api/badge/1/status - name: MISP type: software description: >- Das Rückgrat des modernen Threat-Intelligence-Sharings mit über 40.000 aktiven Instanzen weltweit. Ermöglicht den strukturierten Austausch von IoCs zwischen Organisationen und automatisierte Bedrohungsanalyse. Die föderierte Architektur und umfangreiche Taxonomie machen es zum De-facto-Standard für CTI. Besonders wertvoll durch die Integration in SIEMs, Firewalls und andere Sicherheitssysteme. domains: - incident-response - law-enforcement - malware-analysis - network-forensics - cloud-forensics phases: - examination - analysis platforms: - Web skillLevel: intermediate accessType: server-based url: https://misp-project.org/ projectUrl: https://misp.cc24.dev license: AGPL-3.0 knowledgebase: true tags: - web-based - threat-intelligence - api - correlation - ioc-sharing - automation statusUrl: https://status.mikoshi.de/api/badge/34/status - name: Timesketch type: software description: >- Google's Open-Source-Lösung für kollaborative Timeline-Analyse großer Datensätze. Visualisiert und korreliert Ereignisse aus verschiedenen Quellen in einer interaktiven Zeitachse. Die Plaso-Integration ermöglicht automatisches Parsing hunderter Log-Formate. Ideal für komplexe Fälle mit mehreren Analysten und Millionen von Zeitstempeln. domains: - incident-response - law-enforcement - network-forensics - cloud-forensics phases: - analysis - reporting platforms: - Web domain-agnostic-software: null skillLevel: intermediate accessType: server-based url: https://timesketch.org/ projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - web-based - timeline-analysis - visualization - collaboration - logs - correlation statusUrl: https://uptime.example.lab/api/badge/3/status - name: Wireshark type: software description: >- Der unangefochtene König der Netzwerk-Protokoll-Analyse mit Support für über 3000 Protokolle. Unverzichtbar für die Untersuchung von Netzwerk-Anomalien, Malware-Kommunikation und Datenexfiltration. Die mächtigen Display-Filter und Follow-Stream-Funktionen machen komplexe Analysen zugänglich. Hauptnachteil: Benötigt vorhandene PCAP-Dateien, eignet sich weniger für historische Analysen. domains: - incident-response - malware-analysis - network-forensics - cloud-forensics - ics-forensics phases: - examination - analysis platforms: - Windows - Linux - macOS domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://www.wireshark.org/ projectUrl: '' license: GPL-2.0 knowledgebase: false tags: - gui - network-traffic - packet-capture - protocol-analysis - visualization - filtering - name: Magnet AXIOM type: software description: >- Die Rolls-Royce unter den kommerziellen Forensik-Suiten mit beeindruckender Automatisierung. Glänzt besonders bei Cloud-Forensik mit nativer Unterstützung für Google, Apple und Microsoft-Dienste. Die KI-gestützte Bilderkennung und Connection-Analyse spart Ermittlern wertvolle Zeit. Der Preis von mehreren zehntausend Euro macht es primär für Behörden und Großunternehmen interessant. domains: - incident-response - law-enforcement - mobile-forensics - cloud-forensics phases: - data-collection - examination - analysis - reporting platforms: - Windows domain-agnostic-software: null skillLevel: beginner accessType: commercial url: https://www.magnetforensics.com/products/magnet-axiom/ projectUrl: '' license: Proprietary knowledgebase: false tags: - gui - cloud-data - mobile-data - artifact-extraction - automated-analysis - reporting - name: Cellebrite UFED type: software description: >- Der Goldstandard der mobilen Forensik mit legendären Entsperrungsfähigkeiten für aktuelle Smartphones. Nutzt Zero-Day-Exploits und Hardware-Schwachstellen für den Zugriff auf verschlüsselte Geräte. Die Physical Analyzer Software macht die extrahierten Daten durch intelligente Visualisierung verständlich. Mit Preisen im sechsstelligen Bereich und ethischen Bedenken bezüglich der Käuferauswahl nicht unumstritten. domains: - law-enforcement - mobile-forensics phases: - data-collection - examination - analysis platforms: - Windows domain-agnostic-software: null skillLevel: beginner accessType: commercial url: https://cellebrite.com/en/ufed/ projectUrl: '' license: Proprietary knowledgebase: false tags: - gui - mobile-data - decryption - artifact-extraction - hardware-interface - automated-analysis - name: Cuckoo Sandbox 3 type: software description: >- Die führende Open-Source-Sandbox für automatisierte Malware-Analyse in isolierten Umgebungen. Zeichnet Systemaufrufe, Netzwerkverkehr und Verhaltensänderungen während der Malware-Ausführung auf. Version 3 vom CERT-EE bringt moderne Python-3-Unterstützung und verbesserte Erkennungsumgehung. Die Einrichtung erfordert fundierte Virtualisierungskenntnisse, belohnt aber mit detaillierten Reports. domains: - incident-response - malware-analysis phases: - examination - analysis platforms: - Linux - Web domain-agnostic-software: null skillLevel: advanced accessType: server-based url: https://github.com/cert-ee/cuckoo3 projectUrl: '' license: GPL-3.0 knowledgebase: false tags: - web-based - malware-analysis - behavioral-analysis - api - virtualization - automated-analysis - name: Ghidra type: software description: >- NSAs Geschenk an die Reverse-Engineering-Community als mächtige Alternative zu IDA Pro. Der Decompiler verwandelt Maschinencode zurück in lesbaren Pseudocode für tiefgehende Analyse. Unterstützt dutzende Prozessorarchitekturen von x86 bis zu obskuren Embedded-Systemen. Die steile Lernkurve wird durch die aktive Community und exzellente Dokumentation gemildert. domains: - malware-analysis - ics-forensics phases: - analysis platforms: - Windows - Linux - macOS domain-agnostic-software: null skillLevel: expert accessType: download url: https://github.com/NationalSecurityAgency/ghidra projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - gui - reverse-engineering - binary - decompilation - scripting - static-analysis - name: Plaso (log2timeline) type: software description: >- Der industrielle Staubsauger für Zeitstempel - extrahiert aus hunderten Quellen eine Super-Timeline. Parst Windows-Event-Logs, Browser-Historie, Registry und vieles mehr in ein einheitliches Format. Die Integration mit Timesketch ermöglicht die Visualisierung von Millionen Events. Performance kann bei großen Datenmengen leiden, aber die Vollständigkeit ist unübertroffen. domains: - incident-response - law-enforcement - network-forensics - cloud-forensics phases: - data-collection - examination platforms: - Windows - Linux - macOS domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://plaso.readthedocs.io/ projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - commandline - logs - timeline-analysis - parsing - artifact-extraction - scripting - name: CyberChef type: software description: >- Das digitale Schweizer Taschenmesser für Daten-Manipulation mit über 300 Operations. Von Base64-Dekodierung über Verschlüsselung bis zur Malware-Deobfuskation - alles im Browser. Die visuelle "Rezept"-Metapher macht komplexe Transformationsketten intuitiv verständlich. Unverzichtbar für CTF-Challenges und tägliche Forensik-Aufgaben gleichermaßen. domains: - incident-response - law-enforcement - malware-analysis - network-forensics phases: - examination - analysis platforms: - Web domain-agnostic-software: null skillLevel: beginner accessType: server-based url: https://gchq.github.io/CyberChef/ projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - web-based - decoding - encryption - data-transformation - visualization - parsing - name: Velociraptor type: software description: >- Die nächste Evolution der Endpoint-Forensik mit skalierbarer Remote-Collection-Architektur. Die mächtige VQL-Abfragesprache ermöglicht chirurgisch präzise Artefakt-Sammlung ohne Full-Disk-Images. Hunt-Funktionen durchsuchen tausende Endpoints gleichzeitig nach Kompromittierungs-Indikatoren. Die Lernkurve ist steil, aber die Effizienzgewinne bei großen Infrastrukturen sind enorm. domains: - incident-response - law-enforcement - malware-analysis - fraud-investigation - network-forensics - cloud-forensics phases: - data-collection - examination - analysis platforms: - Windows - Linux - macOS - Web domain-agnostic-software: null skillLevel: advanced accessType: server-based url: https://www.velociraptor.app/ projectUrl: https://raptor.cc24.dev license: Apache 2.0 knowledgebase: true tags: - web-based - endpoint-monitoring - artifact-extraction - scripting - live-forensics - hunting statusUrl: https://status.mikoshi.de/api/badge/33/status - name: GRR Rapid Response type: software description: >- Googles Antwort auf Enterprise-Scale-Forensik für die Untersuchung von Flotten mit tausenden Clients. Sammelt gezielt Artefakte und führt Memory-Analysen remote durch, ohne Systeme offline zu nehmen. Weniger Features als Velociraptor, dafür stabiler und einfacher in der Handhabung. Die Python-API ermöglicht die Automatisierung wiederkehrender Untersuchungen. domains: - incident-response - law-enforcement - malware-analysis - fraud-investigation phases: - data-collection - examination platforms: - Windows - Linux - macOS - Web domain-agnostic-software: null skillLevel: advanced accessType: server-based url: https://github.com/google/grr projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - web-based - endpoint-monitoring - artifact-extraction - api - live-forensics - fleet-management - name: Arkime type: software description: >- Das Heavy-Metal-Tool für Full-Packet-Capture mit der Fähigkeit, Petabytes an Netzwerkverkehr zu speichern. Indiziert in Echtzeit Metadaten für blitzschnelle Suchen über Monate historischer Daten. Die Integration mit Elasticsearch ermöglicht komplexe Queries über Sessions, IPs und Payloads. Ressourcenhungrig aber unverzichtbar für ernsthafte Network Security Monitoring Operations. domains: - incident-response - law-enforcement - network-forensics - cloud-forensics phases: - data-collection - examination - analysis platforms: - Linux domain-agnostic-software: null skillLevel: expert accessType: server-based url: https://arkime.com/ projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - web-based - network-traffic - packet-capture - indexing - api - big-data - name: NetworkMiner type: software description: >- Der benutzerfreundliche kleine Bruder von Wireshark mit Fokus auf Forensik statt Live-Analyse. Extrahiert automatisch übertragene Dateien, Bilder und Credentials aus PCAP-Dateien. Die intuitive GUI zeigt Hosts, Sessions und DNS-Queries übersichtlich ohne komplexe Filter. Perfekt für Einsteiger und schnelle Übersichten, an Grenzen bei verschlüsseltem Traffic. domains: - incident-response - law-enforcement - malware-analysis - network-forensics phases: - examination - analysis platforms: - Windows - Linux domain-agnostic-software: null skillLevel: beginner accessType: download url: https://www.netresec.com/?page=NetworkMiner projectUrl: '' license: GPL-2.0 / Commercial knowledgebase: false tags: - gui - network-traffic - file-extraction - visualization - parsing - session-reconstruction - name: ExifTool type: software description: >- Der Metadaten-Maestro, der aus über 1000 Dateiformaten verborgene Informationen extrahiert. Findet GPS-Koordinaten in Fotos, Autoren in Dokumenten und Bearbeitungshistorien in PDFs. Die Kommandozeile mag abschrecken, aber die Mächtigkeit ist unübertroffen. Ein Must-Have für jede Forensik-Toolbox, oft der erste Schritt bei Dokumenten-Untersuchungen. domains: - incident-response - law-enforcement - fraud-investigation - mobile-forensics phases: - examination - analysis platforms: - Windows - Linux - macOS domain-agnostic-software: null skillLevel: novice accessType: download url: https://exiftool.org/ projectUrl: '' license: Perl Artistic License knowledgebase: false tags: - commandline - metadata - parsing - artifact-extraction - scripting - batch-processing - name: Chainalysis type: software description: >- Der Platzhirsch der Blockchain-Forensik mit Zugriff auf die größte Krypto-Intelligence-Datenbank weltweit. Clustering-Algorithmen identifizieren Exchanges, Mixer und Darknet-Märkte mit beeindruckender Genauigkeit. Die Sanctions Screening und Compliance-Features machen es zur ersten Wahl für Behörden. Lizenzkosten im sechsstelligen Bereich limitieren den Zugang auf Großorganisationen. domains: - law-enforcement - fraud-investigation phases: - analysis - reporting platforms: - Web domain-agnostic-software: null skillLevel: intermediate accessType: commercial url: https://www.chainalysis.com/ projectUrl: '' license: Proprietary knowledgebase: false tags: - web-based - blockchain - visualization - correlation - api - reporting - name: Neo4j type: software description: >- Die führende Graph-Datenbank verwandelt komplexe Beziehungsgeflechte in verständliche Visualisierungen. Mit Cypher-Queries lassen sich Verbindungen zwischen Personen, Transaktionen und Events aufdecken. Besonders wertvoll für Social-Media-Analysen, Geldflüsse und Organisations-Strukturen. Die Community Edition limitiert auf einen Benutzer - für Teams ist die kommerzielle Version nötig. domains: - law-enforcement - malware-analysis - fraud-investigation - network-forensics - cloud-forensics phases: - analysis - reporting platforms: - Windows - Linux - macOS - Web domain-agnostic-software: null skillLevel: intermediate accessType: server-based url: https://neo4j.com/ projectUrl: https://graph.cc24.dev license: GPL-3.0 / Commercial knowledgebase: false tags: - web-based - visualization - graph-analysis - api - correlation - query-language statusUrl: https://status.mikoshi.de/api/badge/32/status - name: QGIS type: software description: >- Das Open-Source-GIS-Kraftpaket für die Visualisierung von Geodaten in forensischen Untersuchungen. Erstellt aus GPS-Logs von Smartphones beeindruckende Bewegungsprofile und Heatmaps. Die Python-Integration ermöglicht automatisierte Analysen großer Datensätze. Unverzichtbar wenn Fahrzeuge, Drohnen oder mobile Geräte mit Standortdaten involviert sind. domains: - law-enforcement - fraud-investigation - mobile-forensics phases: - analysis - reporting platforms: - Windows - Linux - macOS domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://qgis.org/ projectUrl: '' license: GPL-2.0 knowledgebase: false tags: - gui - geospatial - visualization - mapping - scripting - reporting - name: Nextcloud type: software description: >- Die Open-Source-Cloud-Suite als sichere Kollaborations-Zentrale für Forensik-Teams. Bietet verschlüsselte Dateifreigabe, Office-Integration und Videokonferenzen DSGVO-konform. Der eingebaute SSO-Provider vereinfacht das Identity Management für andere Forensik-Tools. Skaliert vom Raspberry Pi für kleine Teams bis zur High-Availability-Installation. domains: - incident-response - law-enforcement - malware-analysis - fraud-investigation - network-forensics - mobile-forensics - cloud-forensics - ics-forensics phases: - reporting platforms: - Web domain-agnostic-software: - collaboration-general skillLevel: novice accessType: server-based url: https://nextcloud.com/ projectUrl: https://cloud.cc24.dev license: AGPL-3.0 knowledgebase: true tags: - web-based - collaboration - file-sharing - api - encryption - document-management statusUrl: https://status.mikoshi.de/api/badge/11/status - name: Gitea type: software description: >- Das leichtgewichtige Git-Repository für die Versionierung von Forensik-Skripten und Dokumentation. Perfekt für die Verwaltung von YARA-Rules, Volatility-Plugins und Analysetools im Team. Die eingebaute CI/CD-Pipeline automatisiert Tool-Deployments und Qualitätschecks. Ressourcenschonend genug für den Betrieb auf einem NAS oder Mini-Server. domains: - incident-response - malware-analysis phases: - reporting platforms: - Web domain-agnostic-software: - collaboration-general skillLevel: beginner accessType: server-based url: https://gitea.io/ projectUrl: https://git.cc24.dev license: MIT knowledgebase: null tags: - web-based - version-control - collaboration - api - documentation - ci-cd statusUrl: https://status.mikoshi.de/api/badge/18/status - name: Binwalk type: software description: >- Der Firmware-Flüsterer, der aus IoT-Geräten und Routern ihre Geheimnisse extrahiert. Erkennt eingebettete Dateisysteme, komprimierte Archive und versteckte Partitionen automatisch. Besonders wertvoll für die Analyse von Embedded-Malware und Backdoors in Smart Devices. Die Magie liegt in den Signaturen - mit eigenen Rules erweiterbar für spezielle Formate. domains: - malware-analysis - ics-forensics phases: - examination - analysis platforms: - Linux - macOS domain-agnostic-software: null skillLevel: advanced accessType: download url: https://github.com/ReFirmLabs/binwalk projectUrl: '' license: MIT knowledgebase: false tags: - commandline - firmware - carving - binary - extraction - scripting - name: LibreOffice type: software description: >- Die freie Office-Suite, die mehr kann als nur Berichte schreiben. Calc eignet sich hervorragend für die Analyse von CSV-Exporten und Log-Dateien. Die Makro-Funktionen ermöglichen die Automatisierung wiederkehrender Auswertungen. Als Standardformat für Abschlussberichte unverzichtbar und überall einsetzbar. domains: - incident-response - law-enforcement - malware-analysis - fraud-investigation - network-forensics - mobile-forensics - cloud-forensics - ics-forensics phases: - examination - analysis - reporting platforms: - Windows - Linux - macOS domain-agnostic-software: - collaboration-general skillLevel: novice accessType: download url: https://www.libreoffice.org/ projectUrl: '' license: Mozilla Public License Version 2.0 knowledgebase: false tags: - gui - document-creation - spreadsheet-analysis - reporting - data-processing - scripting - name: Microsoft Office 365 type: software description: >- Der Industriestandard für professionelle Dokumentation mit nahtloser Cloud-Integration. Excel's Power Query verwandelt komplexe Forensik-Datensätze in aussagekräftige Visualisierungen. Die Kollaborations-Features ermöglichen Echtzeit-Zusammenarbeit an Berichten. Datenschutzbedenken bei Cloud-Speicherung sensibler Forensik-Daten sollten bedacht werden. domains: - incident-response - law-enforcement - malware-analysis - fraud-investigation - network-forensics - mobile-forensics - cloud-forensics - ics-forensics phases: - examination - analysis - reporting platforms: - Windows - macOS - Web domain-agnostic-software: - collaboration-general skillLevel: novice accessType: commercial url: https://www.office.com/ projectUrl: '' license: Proprietary knowledgebase: false tags: - gui - document-creation - spreadsheet-analysis - collaboration - cloud-based - reporting - name: GraphSense type: software description: >- Die europäische Alternative zu Chainalysis mit Open-Source-Kern und Fokus auf Privatsphäre. Clustering-Qualität noch nicht auf Chainalysis-Niveau, dafür vollständige Kontrolle über die Daten. Die Cassandra-Backend-Anforderungen machen Self-Hosting zur Herausforderung für kleine Teams. Ideal für Organisationen, die Blockchain-Analysen ohne US-Cloud-Abhängigkeit benötigen. domains: - law-enforcement - fraud-investigation phases: - analysis - reporting platforms: - Web domain-agnostic-software: null skillLevel: intermediate accessType: server-based url: https://graphsense.org/ projectUrl: '' license: MIT knowledgebase: false tags: - web-based - blockchain - visualization - graph-analysis - api - big-data - name: FTK Imager type: software description: >- Der Oldtimer unter den Imaging-Tools, aber immer noch zuverlässig wie ein Schweizer Uhrwerk. Erstellt bit-genaue Kopien von Festplatten mit integrierter Hash-Verifizierung für die Beweiskette. Die kostenlose Version reicht für die meisten Aufgaben, unterstützt alle gängigen Image-Formate. Etwas angestaubt in der Oberfläche, aber bewährt in tausenden Gerichtsverfahren. domains: - law-enforcement - incident-response phases: - data-collection platforms: - Windows domain-agnostic-software: null skillLevel: beginner accessType: download url: https://www.exterro.com/digital-forensics-software/ftk-imager projectUrl: '' license: Freeware knowledgebase: false tags: - gui - imaging - filesystem - hashing - verification - write-blocking - name: Guymager type: software description: >- Das schlanke Linux-Imaging-Tool mit Fokus auf Performance und Zuverlässigkeit. Multi-threaded Design nutzt moderne CPUs optimal für schnellstmögliche Akquisition. Unterstützt RAW, EWF und AFF Formate mit simultaner Hash-Berechnung. Die spartanische Oberfläche täuscht über die solide Technik unter der Haube hinweg. domains: - incident-response - law-enforcement phases: - data-collection platforms: - Linux domain-agnostic-software: null skillLevel: novice accessType: download url: https://guymager.sourceforge.io/ projectUrl: '' license: GPL-2.0 knowledgebase: false tags: - gui - imaging - filesystem - hashing - multi-threading - write-blocking - name: Fuji type: software description: >- Der Geheimtipp für macOS-Forensiker - Live-Imaging ohne Kernel-Modifikationen. Umgeht geschickt Apples Sicherheitsmechanismen für forensisch saubere Speicherabbilder. Besonders wertvoll da kommerzielle Mac-Forensik-Tools rar und teuer sind. Die aktive Community sorgt für Updates bei neuen macOS-Versionen. domains: - incident-response - law-enforcement phases: - data-collection platforms: - macOS domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/Lazza/Fuji projectUrl: '' license: GPL-3.0 knowledgebase: false tags: - commandline - imaging - memory - live-forensics - filesystem - macos-specific - name: ALEAPP type: software description: >- Android-Forensik leicht gemacht - parst dutzende Apps und System-Artefakte automatisch. Von WhatsApp-Chats über Standortdaten bis zu gelöschten SQLite-Einträgen wird alles extrahiert. Die HTML-Reports sind gerichtsfest aufbereitet mit Timeline und Kommunikationsanalyse. Teil der beliebten LEAPP-Familie, ständig aktualisiert für neue Android-Versionen. domains: - incident-response - law-enforcement - mobile-forensics phases: - examination - analysis platforms: - Windows - Linux - macOS domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/abrignoni/ALEAPP projectUrl: '' license: MIT knowledgebase: false tags: - gui - mobile-data - artifact-extraction - parsing - reporting - timeline-analysis - name: iLEAPP type: software description: >- Das iOS-Pendant zu ALEAPP mit Fokus auf Apple's geschlossenem Ökosystem. Extrahiert versteckte Schätze aus iPhone-Backups inklusive gelöschter Daten. Besonders stark bei der Analyse von iMessage, FaceTime und Apple-eigenen Apps. Die regelmäßigen Updates halten Schritt mit iOS-Änderungen und neuen Artefakten. domains: - incident-response - law-enforcement - mobile-forensics phases: - examination - analysis platforms: - Windows - Linux - macOS domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/abrignoni/iLEAPP projectUrl: '' license: MIT knowledgebase: false tags: - gui - mobile-data - artifact-extraction - parsing - reporting - ios-specific - name: VLEAPP type: software description: >- Die Zukunft der Fahrzeug-Forensik für vernetzte Autos und Infotainment-Systeme. Parst CAN-Bus-Daten, GPS-Tracks und Smartphone-Verbindungen aus modernen Fahrzeugen. Ein Nischen-Tool, aber unverzichtbar bei Unfallrekonstruktionen und Kriminalfällen. Die Unterstützung für verschiedene Hersteller wächst mit der Community. domains: - law-enforcement - ics-forensics phases: - examination - analysis platforms: - Windows - Linux - macOS domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/abrignoni/VLEAPP projectUrl: '' license: MIT knowledgebase: false tags: - gui - vehicle-data - artifact-extraction - parsing - gps-analysis - can-bus - name: Kali Linux type: software description: >- Die Schweizer Armee-Messer-Distribution mit über 600 vorinstallierten Security-Tools. Von Forensik über Penetration Testing bis Reverse Engineering ist alles an Bord. Die Live-Boot-Option ermöglicht forensische Untersuchungen ohne Installation. Regelmäßige Updates halten die Tool-Sammlung auf dem neuesten Stand. domains: - incident-response - law-enforcement - malware-analysis - fraud-investigation - network-forensics - mobile-forensics - cloud-forensics - ics-forensics phases: [] platforms: - OS domain-agnostic-software: - specific-os skillLevel: intermediate accessType: download url: https://kali.org/ projectUrl: null license: GPL-3.0 knowledgebase: true tags: - live-boot - tool-collection - penetration-testing - forensics-suite - virtualization - arm-support - name: dd type: software description: >- Das Unix-Urgestein für bit-genaues Kopieren von Datenträgern seit 1974. Minimalistisch aber mächtig - der Goldstandard für forensische Disk-Images unter Linux. Mit den richtigen Parametern (conv=noerror,sync) übersteht es auch defekte Sektoren. Keine Schnörkel, keine GUI, nur pure Zuverlässigkeit für Forensik-Puristen. domains: - incident-response - law-enforcement phases: - data-collection platforms: - Linux - macOS domain-agnostic-software: null skillLevel: intermediate accessType: built-in url: https://www.gnu.org/software/coreutils/dd projectUrl: '' license: GPL-3.0 knowledgebase: false tags: - commandline - imaging - raw-copy - block-device - unix-tool - scripting - name: dcfldd type: software description: >- Die forensische Weiterentwicklung von dd mit eingebauter Hash-Verifizierung. Zeigt Fortschrittsbalken, splittet große Images und berechnet mehrere Hashes gleichzeitig. Von der DoD Computer Forensics Lab entwickelt für professionelle Anforderungen. Die Status-Ausgabe während langer Imaging-Vorgänge rettet Nerven und Zeit. domains: - incident-response - law-enforcement phases: - data-collection platforms: - Linux domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/resurrecting-open-source-projects/dcfldd projectUrl: '' license: GPL-2.0 knowledgebase: false tags: - commandline - imaging - hashing - verification - progress-monitoring - split-output - name: ewfacquire type: software description: >- Das Kommandozeilen-Tool für Expert Witness Format (E01) Images mit Kompression. Teil der libewf-Suite, erstellt gerichtsfeste Images mit Metadaten und Chain of Custody. Besonders wertvoll für große Datenträger dank effizienter Kompression. Die E01-Kompatibilität ermöglicht nahtlosen Austausch mit kommerziellen Tools. domains: - incident-response - law-enforcement phases: - data-collection platforms: - Linux - macOS domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/libyal/libewf projectUrl: '' license: LGPL-3.0 knowledgebase: false tags: - commandline - imaging - compression - ewf-format - metadata - verification - name: PhotoRec type: software description: >- Der Datenretter in der Not - findet gelöschte Dateien ohne Dateisystem-Strukturen. Signature-basiertes Carving für über 300 Dateiformate von Fotos bis Office-Dokumenten. Arbeitet read-only und ist damit forensisch sauber für die Beweissicherung. Die Schwestersoftware TestDisk repariert zusätzlich beschädigte Partitionen. domains: - incident-response - law-enforcement - fraud-investigation phases: - examination platforms: - Windows - Linux - macOS domain-agnostic-software: null skillLevel: beginner accessType: download url: https://www.cgsecurity.org/wiki/PhotoRec projectUrl: '' license: GPL-2.0 knowledgebase: false tags: - commandline - carving - file-recovery - deleted-data - signature-based - cross-platform - name: Kismet type: software description: >- Der WLAN-Schnüffler der Extraklasse für Wireless-Forensik und Sicherheitsaudits. Passives Monitoring deckt versteckte Netzwerke, Rogue Access Points und Client-Geräte auf. Die GPS-Integration ermöglicht War-Driving mit präziser Standort-Zuordnung. Unterstützt moderne Standards wie 802.11ac und Bluetooth LE Sniffing. domains: - incident-response - network-forensics phases: - data-collection - examination platforms: - Linux domain-agnostic-software: null skillLevel: advanced accessType: download url: https://www.kismetwireless.net/ projectUrl: '' license: GPL-2.0 knowledgebase: false tags: - commandline - wireless-monitoring - packet-capture - gps-integration - passive-scanning - api - name: OSFMount type: software description: >- Mountet Disk-Images als virtuelle Laufwerke unter Windows für komfortable Analyse. Unterstützt alle gängigen Formate von RAW über E01 bis zu VM-Images. Der schreibgeschützte Modus garantiert forensische Integrität der Beweise. Besonders praktisch für schnelle Triage ohne vollständige Forensik-Suite. domains: - incident-response - law-enforcement phases: - examination platforms: - Windows domain-agnostic-software: null skillLevel: beginner accessType: download url: https://www.osforensics.com/tools/mount-disk-images.html projectUrl: '' license: Freeware knowledgebase: false tags: - gui - image-mounting - filesystem - read-only - virtual-drive - format-support - name: Thumbcache Viewer type: software description: >- Spezialist für Windows Thumbnail-Caches mit Zugriff auf gelöschte Bildvorschauen. Extrahiert Thumbnails aus thumbcache_*.db Dateien inklusive EXIF-Zeitstempel. Unbezahlbar für den Nachweis, dass Bilder auf einem System vorhanden waren. Die einfache GUI macht es auch für weniger technische Ermittler zugänglich. domains: - law-enforcement - fraud-investigation phases: - examination - analysis platforms: - Windows domain-agnostic-software: null skillLevel: beginner accessType: download url: https://thumbcacheviewer.github.io/ projectUrl: '' license: GPL-3.0 knowledgebase: false tags: - gui - windows-artifacts - image-analysis - cache-analysis - thumbnail-extraction - deleted-data - name: RegRipper type: software description: >- Der Windows-Registry-Experte mit hunderten Plugins für automatisierte Analyse. Extrahiert USB-Historie, installierte Software, Benutzeraktivitäten und Malware-Spuren. Die Plugin-Architektur erlaubt maßgeschneiderte Untersuchungen für spezielle Fälle. Spart Stunden manueller Registry-Analyse und findet oft übersehene Artefakte. domains: - incident-response - law-enforcement - malware-analysis phases: - examination - analysis platforms: - Windows - Linux domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/keydet89/RegRipper3.0 projectUrl: '' license: MIT knowledgebase: false tags: - commandline - registry - windows-artifacts - parsing - plugin-system - artifact-extraction - name: YARA type: software description: >- Die Pattern-Matching-Engine für Malware-Jäger und Threat Hunter. Regelbasierte Suche nach Strings, Byte-Sequenzen und regulären Ausdrücken. De-facto Standard für Malware-Signaturen mit riesiger Community-Rule-Sammlung. Integration in viele Forensik-Tools macht es zum universellen Schweizer Messer. domains: - incident-response - malware-analysis phases: - examination - analysis platforms: - Windows - Linux - macOS domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://virustotal.github.io/yara/ projectUrl: '' license: BSD-3-Clause knowledgebase: false tags: - commandline - pattern-matching - malware-detection - rule-engine - library - signature-based - name: Strings type: software description: >- Das simple Tool mit großer Wirkung - extrahiert lesbare Texte aus Binärdateien. Findet URLs, Passwörter, Pfade und andere ASCII/Unicode-Strings in Malware. Die Ausgabe gibt oft erste Hinweise auf Funktionalität und Herkunft. In Kombination mit grep ein mächtiges Werkzeug für schnelle Triage. domains: - incident-response - malware-analysis phases: - examination platforms: - Windows - Linux - macOS domain-agnostic-software: null skillLevel: novice accessType: built-in url: https://docs.microsoft.com/en-us/sysinternals/downloads/strings projectUrl: '' license: Proprietary/GPL knowledgebase: false tags: - commandline - string-extraction - binary - quick-analysis - text-search - cross-platform - name: MaxMind GeoIP type: software description: >- Die Geolocation-Datenbank für IP-Adressen-Zuordnung zu Ländern und Städten. Unverzichtbar für die Analyse von Netzwerk-Logs und Angriffsherkunft. Die kostenlose GeoLite2-Version reicht für die meisten forensischen Zwecke. API-Integration ermöglicht automatisierte Anreicherung großer Datensätze. domains: - incident-response - network-forensics - fraud-investigation phases: - analysis platforms: - Windows - Linux - macOS domain-agnostic-software: null skillLevel: beginner accessType: download url: https://www.maxmind.com/ projectUrl: '' license: GeoLite2 EULA / Commercial knowledgebase: false tags: - api - geolocation - ip-analysis - database - enrichment - library - name: SIFT Workstation type: software description: >- SANS' kuratierte Ubuntu-Distribution vollgepackt mit Forensik-Tools und Skripten. Über 500 Tools vorinstalliert, vorkonfiguriert und dokumentiert für sofortigen Einsatz. Die begleitenden Trainingsmaterialien machen es zur idealen Lernumgebung. Regelmäßige Updates vom SANS-Team halten die Tool-Sammlung aktuell. domains: - incident-response - law-enforcement - malware-analysis - network-forensics - mobile-forensics phases: [] platforms: - OS domain-agnostic-software: - specific-os skillLevel: intermediate accessType: download url: https://www.sans.org/tools/sift-workstation/ projectUrl: '' license: Free / Mixed knowledgebase: false tags: - virtual-machine - tool-collection - forensics-suite - training-focused - documentation - ubuntu-based - name: Tsurugi Linux type: software description: >- Die von Forensikern entwickelte Forensik-Distribution mit Fokus auf Benutzerfreundlichkeit. Besonders stark bei Mobile- und Malware-Forensik mit vielen spezialisierten Tools. Die DFIR-Menüstruktur gruppiert Tools logisch nach Untersuchungsphasen. Läuft performant auch auf älterer Hardware dank optimiertem Kernel. Hat einen integrierten Write-Blocker und existiert in einer reduzierten "Acquire"-Version, die Imaging als Live-System-Umgebung ermöglicht. domains: - incident-response - law-enforcement - malware-analysis - mobile-forensics platforms: - OS domain-agnostic-software: - specific-os skillLevel: intermediate accessType: download url: https://tsurugi-linux.org/ license: GPL / Mixed knowledgebase: false tags: - live-boot - tool-collection - forensics-suite - mobile-focus - lightweight - name: Parrot Security OS type: software description: >- Die Datenschutz-fokussierte Alternative zu Kali mit Forensik-Werkzeugen. AnonSurf für anonymisierte Ermittlungen und verschlüsselte Kommunikation eingebaut. Ressourcenschonender als Kali, läuft flüssig auch in VMs mit wenig RAM. Die rolling-release Natur hält Tools aktuell ohne Neuinstallation. domains: - incident-response - law-enforcement - malware-analysis - network-forensics phases: [] platforms: - OS domain-agnostic-software: - specific-os skillLevel: intermediate accessType: download url: https://parrotsec.org/ projectUrl: '' license: GPL-3.0 knowledgebase: false tags: - live-boot - privacy-focused - tool-collection - rolling-release - lightweight - anonymization - name: Eric Zimmerman Tools type: software description: >- Die Tool-Sammlung des Windows-Forensik-Gurus für Artefakt-Analyse. Von ShellBags über Prefetch bis zu Amcache - jedes Tool ein Spezialist. Die Timeline Explorer GUI vereint alle Ausgaben in einer durchsuchbaren Ansicht. Ständige Updates für neue Windows-Versionen und Cloud-Artefakte. domains: - incident-response - law-enforcement phases: - examination - analysis platforms: - Windows domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://ericzimmerman.github.io/ projectUrl: '' license: MIT knowledgebase: false tags: - commandline - windows-artifacts - parsing - timeline-analysis - tool-collection - artifact-extraction - name: Impacket type: software description: >- Python-Bibliothek für Netzwerk-Protokoll-Manipulation und Windows-Forensik. Ermöglicht Remote-Zugriff auf Windows-Systeme für Live-Forensik und IR. Die Skript-Sammlung deckt von SMB-Enumeration bis Kerberos-Attacks alles ab. Unverzichtbar für die Untersuchung von Lateral Movement und Persistence. domains: - incident-response - network-forensics - malware-analysis phases: - data-collection - examination platforms: - Linux - Windows - macOS domain-agnostic-software: null skillLevel: advanced accessType: download url: https://github.com/SecureAuthCorp/impacket projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - library - network-protocols - windows-forensics - remote-access - scripting - api - name: RSA NetWitness type: software description: >- Enterprise-Grade SIEM und Forensik-Plattform für große Netzwerke. Korreliert Logs, Packets und Endpoints für 360-Grad-Sicht auf Incidents. Die Hunting-Funktionen nutzen ML für Anomalie-Erkennung in Petabytes von Daten. Lizenzkosten im siebenstelligen Bereich für vollständige Deployment. domains: - incident-response - network-forensics - malware-analysis phases: - data-collection - examination - analysis platforms: - Web domain-agnostic-software: null skillLevel: expert accessType: commercial url: https://www.netwitness.com/ projectUrl: '' license: Proprietary knowledgebase: false tags: - web-based - siem - big-data - correlation - machine-learning - enterprise - name: X-Ways Forensics type: software description: >- Der deutsche Präzisionsskalpell unter den Forensik-Tools mit unübertroffener Effizienz. Besonders geschätzt für blitzschnelle Searches in Multi-Terabyte-Images. Die spartanische Oberfläche schreckt Einsteiger ab, Profis schwören darauf. Deutlich günstiger als US-Konkurrenz bei vergleichbarer Funktionalität. domains: - law-enforcement - incident-response phases: - examination - analysis platforms: - Windows domain-agnostic-software: null skillLevel: expert accessType: commercial url: https://www.x-ways.net/forensics/ projectUrl: '' license: Proprietary knowledgebase: false tags: - gui - filesystem - carving - high-performance - german-made - hex-editor - name: EnCase type: software description: >- Der Veteran der kommerziellen Forensik-Tools mit 25 Jahren Gerichtserfahrung. EnScript-Programmierung ermöglicht maßgeschneiderte Automatisierung. Die Zertifizierung (EnCE) ist in vielen Behörden Einstellungsvoraussetzung. domains: - law-enforcement - incident-response phases: - data-collection - examination - analysis - reporting platforms: - Windows domain-agnostic-software: null skillLevel: intermediate accessType: commercial url: https://www.opentext.com/products/encase-forensic projectUrl: '' license: Proprietary knowledgebase: false tags: - gui - filesystem - enterprise - court-proven - certification - scripting - name: FRED type: software description: >- Forensic Recovery of Evidence Device - spezialisierte Hardware für Imaging. Kombiniert Write-Blocker, Imager und Analyse-Workstation in einem System. Die Ultrabay-Technologie ermöglicht Hot-Swap mehrerer Drives gleichzeitig. Für High-Volume-Labs die Investition wert, für Gelegenheitsnutzer Overkill. domains: - law-enforcement - incident-response phases: - data-collection platforms: - Hardware domain-agnostic-software: null skillLevel: intermediate accessType: commercial url: https://www.digitalintelligence.com/products/fred/ projectUrl: '' license: Proprietary knowledgebase: false tags: - hardware - imaging - write-blocking - multiple-drives - professional-lab - integrated-system - name: ICSpector type: software description: >- Ein von Microsoft entwickeltes Open-Source-Framework, das eine besondere Nische bedient: Die Datensammlung bei Industriekontrollsystemen und PLC-Metadaten. domains: - ics-forensics phases: - data-collection - examination - analysis platforms: - Windows - Linux - macOS skillLevel: advanced accessType: download url: https://github.com/microsoft/ics-forensics-tools license: MIT knowledgebase: false tags: - python - binary - scripting - name: "Live Memory Acquisition Procedure" type: method description: >- Standardisiertes Verfahren zur forensisch korrekten Akquisition des Arbeitsspeichers laufender Systeme. Umfasst Bewertung der Systemkritikalität, Auswahl geeigneter Tools, Minimierung der System-Kontamination und Dokumentation der Chain of Custody. Essentiell für die Sicherung flüchtiger Beweise wie Prozess-Informationen, Netzwerkverbindungen und Verschlüsselungsschlüssel. domains: - incident-response - law-enforcement - malware-analysis phases: - data-collection platforms: [] domain-agnostic-software: null skillLevel: advanced accessType: null url: https://www.nist.gov/publications/guide-integrating-forensic-techniques-incident-response projectUrl: license: null knowledgebase: false tags: - memory-acquisition - volatile-evidence - live-forensics - ram-dump - evidence-preservation - procedure - name: "Rapid Incident Response Triage on macOS" type: method description: >- Spezialisierte Methodik für die schnelle Incident Response auf macOS-Systemen mit Fokus auf die Sammlung kritischer forensischer Artefakte in unter einer Stunde. Adressiert die Lücke zwischen Windows-zentrierten IR-Prozessen und macOS-spezifischen Sicherheitsarchitekturen. Nutzt Tools wie Aftermath für effiziente Datensammlung ohne zeitaufwändige Full-Disk-Images. Besonders wertvoll für Unternehmensumgebungen mit gemischten Betriebssystem-Landschaften. domains: - incident-response - law-enforcement - malware-analysis phases: - data-collection - examination platforms: [] domain-agnostic-software: null skillLevel: intermediate accessType: null url: https://www.sans.org/white-papers/rapid-incident-response-on-macos-actionable-insights-under-hour/ projectUrl: license: null knowledgebase: tags: - macos - rapid-response - triage - incident-response - aftermath - enterprise - methodology - apple - name: "Aftermath" type: software description: >- Jamf's Open-Source-Tool für die schnelle Sammlung forensischer Artefakte auf macOS-Systemen. Sammelt kritische Daten wie Prozessinformationen, Netzwerkverbindungen, Dateisystem-Metadaten und Systemkonfigurationen ohne Full-Disk-Imaging. Speziell entwickelt für die Rapid-Response-Triage in Enterprise-Umgebungen mit macOS-Geräten. Normalisiert Zeitstempel und erstellt durchsuchbare Ausgabeformate für effiziente Analyse. domains: - incident-response - law-enforcement - malware-analysis phases: - data-collection - examination platforms: - macOS domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/jamf/aftermath/ projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - macos - incident-response - triage - artifact-collection - rapid-response - jamf - enterprise - commandline domains: - id: incident-response name: Incident Response & Breach-Untersuchung - id: law-enforcement name: Strafverfolgung & Kriminalermittlung - id: malware-analysis name: Malware-Analyse & Reverse Engineering - id: fraud-investigation name: Betrugs- & Finanzkriminalität - id: network-forensics name: Netzwerk-Forensik & Traffic-Analyse - id: mobile-forensics name: Mobile Geräte & App-Forensik - id: cloud-forensics name: Cloud & Virtuelle Umgebungen - id: ics-forensics name: Industrielle Kontrollsysteme (ICS/SCADA) phases: - id: data-collection name: Datensammlung description: Imaging, Acquisition, Remote Collection Tools - id: examination name: Auswertung description: Parsing, Extraction, Initial Analysis Tools - id: analysis name: Analyse description: Deep Analysis, Correlation, Visualization Tools - id: reporting name: Bericht & Präsentation description: >- Documentation, Visualization, Presentation Tools (z.B. QGIS für Geodaten, Timeline-Tools) domain-agnostic-software: - id: collaboration-general name: Übergreifend & Kollaboration description: Cross-cutting tools and collaboration platforms - id: specific-os name: Betriebssysteme description: Operating Systems which focus on forensics