tools: - name: Autopsy type: software description: >- Die bekannte Open-Source-Forensik-Suite vereint hunderte Analyse-Module unter einer intuitiven Oberfläche. Exzellent für Timeline-Rekonstruktion durch automatische Korrelation von Dateisystem-Artefakten, Registry-Einträgen und Log-Dateien. Das integrierte Keyword-Search-Modul findet Beweise in gelöschten Dateien, Slack-Space und unallokierten Bereichen. Die TSK-basierte Engine unterstützt alle gängigen Dateisysteme von NTFS über ext4 bis APFS. Besonders wertvoll: Die PhotoRec-Integration für signaturbasiertes Carving und die automatische Hash-Analyse gegen NSRL und eigene Datenbanken. Plugins erweitern die Funktionalität für Spezialfälle wie Smartphone-Forensik oder Cloud-Artefakte. skillLevel: intermediate url: https://www.autopsy.com/ icon: 🔍 domains: - incident-response - static-investigations - malware-analysis - mobile-forensics - cloud-forensics - fraud-investigation phases: - examination - analysis - reporting tags: - gui - timeline - file-carving - keyword-search - plugin-support - opensource - hash-analysis - deleted-data - artifact-extraction - multi-user - case-management - report-generation - tsk-framework - scenario:disk_imaging - scenario:file_recovery - scenario:browser_history related_concepts: - SQL - Hash Functions & Digital Signatures - Digital Evidence Chain of Custody related_software: - Plaso (log2timeline) - PhotoRec - RegRipper platforms: - Windows - Linux accessType: download license: Apache 2.0 knowledgebase: false - name: Volatility 3 type: software description: >- Der Standard für Memory-Forensik - komplett neu entwickelt für moderne Ermittlungen. Version 3 (Feature-Parity Mai 2025) eliminiert das lästige --profile durch automatische OS-Erkennung. Revolutionäre Performance durch symbolbasierte Analyse verarbeitet Multi-GB-Dumps in Sekunden statt Minuten. Über 100 Plugins dekodieren Prozesse, DLL-Injections, Netzwerkverbindungen, Registry-Hives und versteckte Rootkits. Native Python-3-Architektur mit Timeline-Integration und Cloud-Storage-Support (S3, GCS). Neue Plugins: windows.hollowprocesses für Process-Ghosting, linux.ebpf für Kernel-Hooks, windows.shimcachemem für Persistence. YARA-Integration und Sigma-Rules direkt im Framework. Die intuitivere API beschleunigt Plugin-Entwicklung drastisch. Unterstützt aktuelle Windows 11, Linux 6.x und macOS Sonoma. Der Umstieg von V2 lohnt sich allein wegen der Performance - Analysen die früher Stunden dauerten sind jetzt in Minuten erledigt. skillLevel: advanced url: https://www.volatilityfoundation.org/ icon: 🧠 domains: - incident-response - static-investigations - malware-analysis - network-forensics phases: - examination - analysis tags: - command-line - plugin-support - scripting - memory-timeline - process-analysis - network-artifacts - rootkit-detection - code-injection - yara-integration - python-api - scenario:memory_dump - opensource related_concepts: - Hash Functions & Digital Signatures - Regular Expressions (Regex) related_software: - YARA - Rekall - WinPmem - LiME platforms: - Windows - Linux - macOS accessType: download license: VSL knowledgebase: false - name: MISP icon: 🌐 type: software description: >- Die Threat-Intelligence-Sharing-Plattform vernetzt viele Organisationen weltweit im Kampf gegen Cyberkriminalität. Strukturiertes Teilen von IOCs durch standardisierte Attribute: IP-Adressen, Domains, Hashes, YARA-Rules, Malware-Samples. Die Galaxies und Taxonomien klassifizieren Bedrohungen nach ATT&CK, Kill-Chain oder eigenen Schemata. Föderierte Architektur ermöglicht selektives Sharing zwischen vertrauenswürdigen Partnern. Correlation-Engine findet Zusammenhänge zwischen scheinbar unabhängigen Incidents. Warninglists reduzieren False-Positives durch Whitelisting bekannter Good-Entities. ZeroMQ-Feed pusht IOCs in Echtzeit an Firewalls und SIEMs. Die ausgereiften APIs (REST, PyMISP) automatisieren Threat-Intelligence-Workflows. Export in STIX, OpenIOC und Dutzende andere Formate. Essenziell für proaktive Verteidigung. domains: - incident-response - static-investigations - malware-analysis - network-forensics - cloud-forensics - fraud-investigation phases: - data-collection - examination - analysis platforms: - Web skillLevel: intermediate accessType: server-based url: https://misp-project.org/ projectUrl: https://misp.cc24.dev license: AGPL-3.0 knowledgebase: true statusUrl: https://status.mikoshi.de/api/badge/34/status tags: - web-interface - IOC-matching - taxonomies - api - threat-scoring - collaboration - correlation-engine - galaxy-clusters - warninglists - zeromq-feed - stix-export - federation related_concepts: - Hash Functions & Digital Signatures related_software: - Cortex - OpenCTI - name: DFIR-IRIS icon: 🌺 type: software description: >- Collaborative Incident Response Management Platform für strukturierte DFIR-Case-Organisation. Zentralisiert alle Aspekte einer Untersuchung: Assets, IOCs, Tasks, Timeline, Evidence-Tracking. Multi-User-Environment mit granularen Permissions für verschiedene Analysten-Rollen. Besonders wertvoll: Case-Templates standardisieren Workflows, automatische IOC- Enrichment via MISP/OpenCTI, integrierte Timeline-Visualisierung, Evidence-Chain-of-Custody-Tracking. Plugin-System erweitert für Custom- Integrations. RESTful API für Tool-Orchestrierung. Dashboard zeigt Case- Status und Team-Workload. Notes-System dokumentiert Findings strukturiert. Reporting-Engine generiert Executive-Summaries. Die Web-basierte Architektur skaliert von kleinen Teams bis Enterprise-SOCs. Docker- Deployment vereinfacht Installation. Besonders stark bei komplexen, langwierigen Ermittlungen mit mehreren Beteiligten. Open-Source Alternative zu kommerziellen Case-Management-Systemen. domains: - incident-response - static-investigations - malware-analysis - fraud-investigation - network-forensics - mobile-forensics - cloud-forensics phases: - data-collection - examination - analysis - reporting platforms: - Web related_software: - MISP - OpenCTI domain-agnostic-software: - collaboration-general skillLevel: intermediate accessType: server-based url: https://dfir-iris.org/ projectUrl: '' license: LGPL-3.0 knowledgebase: false tags: - web-interface - case-management - collaboration - multi-user-support - api - workflow - timeline-view - ioc-tracking - evidence-management - reporting - plugin-support - docker-ready related_concepts: - Digital Evidence Chain of Custody - name: Timesketch icon: ⏱️ type: software description: >- Googles Timeline-Analyse-Platform meistert die Herausforderung, Millionen von Zeitstempeln aus heterogenen Quellen zu korrelieren. Die Elasticsearch-Backend-Architektur ermöglicht Suchen über Mengen forensischer Daten in verhältnismäßig kurzer Zeit. Plaso/Log2timeline-Integration parst automatisch über 300 Log-Formate in eine einheitliche Super-Timeline. Collaborative Investigation durch geteilte Sketches, Kommentare und Saved Searches. Die Timeline-Explorer visualisiert Ereignisse interaktiv mit Heatmaps und Aktivitätsgraphen. Analyzers erkennen Anomalien wie Login-Brute-Force oder Data-Exfiltration-Muster. Sigma-Rules werden direkt auf Timelines angewendet. Stories dokumentieren Findings narrativ für Management-Reports. Die Python-API ermöglicht automatisierte Analysen. Unverzichtbar für Incidents mit komplexen zeitlichen Abläufen über multiple Systeme. domains: - incident-response - static-investigations - network-forensics - cloud-forensics - fraud-investigation phases: - analysis - reporting platforms: - Web related_software: - Plaso (log2timeline) - Elasticsearch - Kibana domain-agnostic-software: null skillLevel: intermediate accessType: server-based url: https://timesketch.org/ projectUrl: https://timesketch.cc24.dev license: Apache 2.0 knowledgebase: false statusUrl: https://uptime.example.lab/api/badge/3/status tags: - web-interface - timeline - collaboration - visualization - timeline-correlation - timeline-view - elasticsearch-backend - plaso-integration - sigma-rules - heatmaps - anomaly-detection - narrative-documentation related_concepts: - Regular Expressions (Regex) - name: Wireshark icon: 🦈 type: software description: >- Der unangefochtene König der Netzwerk-Protokoll-Analyse dekodiert die meisten Netzwerkprotokolle von Ethernet bis zu exotischen ICS-Protokollen. Display-Filter mit mächtiger Syntax ermöglichen chirurgisch präzise Paket-Selektion. Follow-Stream rekonstruiert komplette TCP-Sessions, HTTP-Uploads oder FTP-Transfers. Expert-Info identifiziert Anomalien wie Retransmissions, Malformed Packets oder Protokoll-Violations. Die Statistik-Funktionen visualisieren Conversations, IO-Graphs und Protocol-Hierarchien. Export-Objekte extrahiert übertragene Dateien aus HTTP, SMB oder TFTP. Coloring-Rules heben verdächtige Pakete hervor. GeoIP-Integration zeigt geografische Verbindungsdaten. TLS-Decryption mit Private Keys oder SSLKEYLOGFILE. Die Lua- und C-Plugin-API erlaubt Custom-Dissectors. Unverzichtbar für Malware-C2-Analyse, Data-Exfiltration-Erkennung und Netzwerk-Troubleshooting. domains: - incident-response - malware-analysis - network-forensics - cloud-forensics - ics-forensics - fraud-investigation phases: - examination - analysis platforms: - Windows - Linux - macOS related_software: - NetworkMiner - tcpdump - Arkime domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://www.wireshark.org/ projectUrl: '' license: GPL-2.0 knowledgebase: false tags: - gui - protocol-decode - packet-filtering - pcap-capture - cross-platform - session-reconstruction - display-filters - follow-stream - expert-info - statistics - coloring-rules - tls-decryption related_concepts: - Regular Expressions (Regex) - name: Magnet AXIOM icon: 🧲 type: software description: >- Die umfassende Digital-Investigation-Plattform kombiniert Akquisition, Analyse und Reporting in einer integrierten Suite für End-to-End-Forensik. AXIOM Process sammelt Artefakte von über 300 Datenquellen: Computers, Mobile Devices, Cloud Services, IoT-Geräte. Die KI-gestützte Artifact- Categorization klassifiziert automatisch verdächtige Inhalte und reduziert manuelle Review-Zeit drastisch. Besonders wertvoll: Internet Evidence Finder (IEF) Engine extrahiert Web-Artefakte aus allen Major-Browsern, Magnet.AI beschleunigt CSAM-Detection, Connections-View visualisiert Kommunikations-Patterns zwischen Personen. Cloud-Forensics-Module greifen auf Google, Microsoft, Apple-Accounts zu. Die Parallel-Processing-Engine analysiert Terabytes in Stunden statt Tagen. Advanced-Carving rekonstruiert gelöschte Multimedia-Dateien. Timeline-Engine korreliert Events über alle Evidenzen. Report-Templates generieren gerichtsfeste Dokumentation. Integration mit AXIOM Cyber für Endpoint-Response. Eine etablierte Software für High-Volume-Ermittlungen mit Budget für Enterprise-Lizenzen. domains: - incident-response - static-investigations - mobile-forensics - cloud-forensics - fraud-investigation phases: - data-collection - examination - analysis - reporting platforms: - Windows related_software: - GrayKey - Cellebrite UFED domain-agnostic-software: null skillLevel: beginner accessType: commercial url: https://www.magnetforensics.com/products/magnet-axiom/ projectUrl: '' license: Proprietary knowledgebase: false tags: - gui - commercial - cloud-artifacts - mobile-app-data - automation-ready - court-admissible - ai-categorization - ief-engine - connections-view - timeline-analysis - csam-detection - parallel-processing related_concepts: - Digital Evidence Chain of Custody - Hash Functions & Digital Signatures - name: Cellebrite UFED icon: 📱 type: software description: >- Der de-facto-Behördenstandard der mobilen Forensik greift aktuelle iPhones und Android-Flaggschiffe durch Zero-Day-Exploits und proprietäre Bypass-Methoden an, ist aber auch sehr teuer. Physical Extraction umgeht Verschlüsselung für vollständigen Dateisystem-Zugriff. Logical Plus erweitert Standard-Backups um gelöschte Daten. Advanced Services greifen auf Cellebrites Exploit-Labor für besonders resistente Geräte zurück. Physical Analyzer visualisiert extrahierte Daten intelligent: Timeline-Ansicht, Geo-Location-Maps, Social-Network-Graphen, Kommunikations-Muster. Project-VIC Integration für CSAM-Erkennung. Chain-of-Custody-Dokumentation erfüllt höchste forensische Standards. Die Cloud-Analyzer-Lizenz ermöglicht Zugriff auf über 50 Cloud-Services. Updates alle 3 Monate für neue Geräte und Apps. domains: - static-investigations - mobile-forensics - fraud-investigation phases: - data-collection - examination - analysis platforms: - Windows related_software: - Magnet AXIOM - Oxygen Forensic Suite - MSAB XRY domain-agnostic-software: null skillLevel: beginner accessType: commercial url: https://cellebrite.com/en/ufed/ projectUrl: '' license: Proprietary knowledgebase: false tags: - gui - commercial - mobile-app-data - decryption - physical-copy - dongle-license - zero-day-exploits - cloud-analyzer - project-vic - timeline-view - geo-mapping - advanced-services related_concepts: - SQL - Digital Evidence Chain of Custody - name: Cuckoo Sandbox 3 icon: 🥚 type: software description: >- Die automatisierte Malware-Analyse-Umgebung führt Schadsoftware kontrolliert in isolierten VMs aus und dokumentiert jede Aktion. Version 3 vom CERT-EE modernisiert die Architektur mit Python 3, verbesserter Evasion-Resistenz und Cloud-Scale-Fähigkeiten. Behavioral Analysis trackt API-Calls, Registry-Änderungen, Datei-Operationen und Netzwerk-Kommunikation. PCAP-Recording für vollständige Traffic-Analyse. Memory-Dumps werden automatisch mit Volatility analysiert. Simulated Services täuschen Internet-Konnektivität vor. Anti-Anti-VM umgeht moderne Sandbox-Erkennung. Distributed-Mode analysiert hunderte Samples parallel. Die Reporting-Engine generiert detaillierte JSON/HTML-Reports mit MITRE ATT&CK Mapping. YARA-Integration für Signatur-Matching. REST-API für Integration in CI/CD-Pipelines. Die komplexe Installation erfordert Virtualisierungs-Expertise, belohnt aber mit industrieller Malware-Analyse-Kapazität. domains: - incident-response - malware-analysis phases: - examination - analysis platforms: - Linux - Web related_software: - YARA - Volatility 3 - MISP - VirusTotal domain-agnostic-software: null skillLevel: advanced accessType: server-based url: https://github.com/cert-ee/cuckoo3 projectUrl: '' license: GPL-3.0 knowledgebase: false tags: - web-interface - sandboxing - behavioral-analysis - malware-unpacking - virtual-analysis - sandbox-reports - api-monitoring - network-capture - memory-analysis - mitre-attack - distributed-analysis - anti-evasion related_concepts: - Regular Expressions (Regex) - name: Ghidra icon: 🔮 type: software description: >- NSAs Reverse-Engineering-Suite demokratisiert Binary-Analyse auf IDA-Pro-Niveau. Der Decompiler transformiert Assembly in lesbaren C-Code für intuitiveres Verständnis von Programm-Logik. Unterstützt über 30 Prozessor-Architekturen von x86/x64 über ARM bis zu obskuren Embedded-CPUs. Das Software Reverse Engineering Framework ermöglicht kollaborative Analyse durch Ghidra-Server. PCode als Intermediate Language vereinheitlicht Cross-Architecture-Analysen. Der Function-Graph visualisiert Control-Flow. Data-Type-Manager rekonstruiert Strukturen und Klassen. Script-Manager automatisiert mit Python/Java wiederkehrende Analysen. Version Tracking vergleicht Binaries über Versionen. Cryptographic-Signature-Finder identifiziert Verschlüsselungs-Routinen. Die Extension-Architektur erlaubt Custom-Analyzers. Perfekt für Malware-Dekonstruktion, Vulnerability-Research und Firmware-Analyse. Die steile Lernkurve wird durch exzellente Dokumentation und NSA-Trainingsmaterial gemildert. domains: - malware-analysis - ics-forensics - static-investigations phases: - analysis platforms: - Windows - Linux - macOS related_software: - IDA Pro - Radare2 - x64dbg - Binary Ninja domain-agnostic-software: null skillLevel: expert accessType: download url: https://ghidra-sre.org/ projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - gui - binary-decode - malware-unpacking - cross-platform - scripting - opensource - decompiler - multi-architecture - collaborative - function-graph - pattern-matching - version-tracking related_concepts: - Regular Expressions (Regex) - name: Plaso (log2timeline) icon: ⏰ type: software description: >- Der industrielle Timeline-Generator extrahiert Zeitstempel aus hunderten Artefakt-Typen für lückenlose Aktivitäts-Rekonstruktion. Parsers für Windows Event Logs, Registry, Prefetch, Browser-History, Mobile Apps, Cloud-Services und Linux-Logs. Die Storage-Architektur verarbeitet Massendaten effizient. Output in standardisierten Formaten für Elasticsearch, Timesketch oder CSV. Besonders wertvoll: Normalisierung verschiedener Zeitstempel-Formate und Zeitzonen in UTC. Filterung nach Zeitraum, Artefakt-Typ oder Keywords. Die modulare Parser-Architektur erlaubt einfache Erweiterung für neue Formate. Psort sortiert und dedupliziert Events. Analysis-Plugins erkennen Anomalien wie Timestomping. Docker-Support vereinfacht Deployment. Die Performance bei sehr großen Datensätzen kann leiden, aber die Vollständigkeit der Timeline ist unübertroffen. Integration mit Timesketch für kollaborative Analyse macht es zum Forensik-Kraftpaket. domains: - incident-response - static-investigations - network-forensics - cloud-forensics - mobile-forensics phases: - data-collection - examination platforms: - Windows - Linux - macOS related_software: - Timesketch - Autopsy - Plaso (log2timeline) domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://plaso.readthedocs.io/ projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - command-line - timeline - log-parser - cross-platform - timeline-merge - time-normalization - artifact-parser - elasticsearch-export - docker-support - timestomping-detection - modular-parsers - batch-processing related_concepts: - Regular Expressions (Regex) - name: CyberChef icon: 👨‍🍳 type: software description: >- Das "Schweizer Taschenmesser" der Daten-Manipulation vereint über 400 Operations für Encoding, Verschlüsselung, Analyse und Transformation. Die visuelle "Rezept"-Metapher macht komplexe Operationsketten intuitiv: Base64 dekodieren → XOR entschlüsseln → Strings extrahieren → Hashes berechnen. Besonders wertvoll für Malware-Deobfuskation, CTF-Challenges und forensische Datenanalyse. Magic-Mode erkennt automatisch Encodings. Regex-Support für Pattern-Extraktion. Entropy-Visualisierung identifiziert verschlüsselte Bereiche. Die Offline-Fähigkeit (läuft komplett im Browser) macht es DSGVO-konform für sensible Daten. Import/Export von Rezepten für Wiederverwendung. Unterstützt Dateien bis 2GB. Code-Beautifier für JavaScript, JSON, XML. Image-Forensik mit EXIF-Extraktion. Die GitHub-Version kann selbst gehostet werden. Unverzichtbar für jeden digitalen Ermittler. domains: - incident-response - static-investigations - malware-analysis - network-forensics - fraud-investigation phases: - examination - analysis platforms: - Web related_software: - GCHQ Tools domain-agnostic-software: null skillLevel: beginner accessType: server-based url: https://gchq.github.io/CyberChef/ projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - web-interface - binary-decode - decryption - malware-unpacking - string-search - triage - regex-operations - magic-detection - entropy-analysis - recipe-based - offline-capable - data-transformation related_concepts: - Regular Expressions (Regex) - Hash Functions & Digital Signatures - name: Velociraptor icon: 🦖 type: software description: >- Die nächste Evolution der Endpoint-Forensik skaliert digitale Ermittlungen auf zahlreiche Systeme. VQL (Velociraptor Query Language) ermöglicht chirurgisch präzise Artefakt-Sammlung ohne Full-Disk-Images: "SELECT * FROM glob('/Users/*/Downloads/*.exe')". Hunt-Kampagnen durchsuchen die gesamte Infrastruktur parallel nach IOCs. Der Agent läuft mit minimalem Footprint und sammelt Artefakte verschlüsselt. Notebooks für gespeicherte Queries und Analysen. Die Timeline-Funktion korreliert Events über alle Endpoints. Offline-Collector für Air-Gapped-Systeme. Server-Event-Monitoring für Real-Time-Detection. Automatische Triage mit Artifact-Packs. Die eingebaute Quarantäne isoliert kompromittierte Systeme. Cloud-Native-Architektur mit Multi-Tenancy. GUI und CLI für verschiedene Nutzergruppen. Die Lernkurve für VQL ist steil, aber die Effizienz-Gewinne sind enorm. Perfekt für Enterprise-IR und Threat-Hunting. domains: - incident-response - static-investigations - malware-analysis - fraud-investigation - network-forensics - cloud-forensics phases: - data-collection - examination - analysis platforms: - Windows - Linux - macOS - Web related_software: - GRR Rapid Response - osquery - KAPE domain-agnostic-software: null skillLevel: advanced accessType: server-based url: https://www.velociraptor.app/ projectUrl: https://raptor.cc24.dev license: Apache 2.0 knowledgebase: true statusUrl: https://status.mikoshi.de/api/badge/33/status tags: - web-interface - remote-collection - distributed - scripting - cross-platform - triage - vql-queries - hunt-campaigns - real-time-monitoring - offline-collector - artifact-packs - multi-tenancy related_concepts: - SQL - name: GRR Rapid Response icon: 🚨 type: software description: >- Googles Remote-Live-Forensik-Framework wurde für die Untersuchung ihrer globalen Infrastruktur entwickelt. Skaliert auf hunderttausende Clients mit minimalem Server-Overhead. Der Python-Agent sammelt Artefakte, führt YARA-Scans durch und erstellt Timeline-Daten. Flow-basierte Architektur für asynchrone Operationen. Rekall-Integration für Remote-Memory-Analyse. Hunt-Feature für unternehmensweite IOC-Suche. Approval-Workflows für datenschutzkonforme Ermittlungen. Die Admin-UI visualisiert Client-Status und Collection-Progress. Export zu BigQuery für Big-Data-Analysen. Der Output-Plugin-System integriert mit SIEMs und Ticketing. Besonders stark bei Linux-Flotten. Die API ermöglicht Automatisierung wiederkehrender Ermittlungen. Weniger Features als Velociraptor, dafür ausgereifter und stabiler. Ideal für Organisationen mit großen, homogenen Infrastrukturen. domains: - incident-response - static-investigations - malware-analysis - fraud-investigation phases: - data-collection - examination platforms: - Windows - Linux - macOS - Web related_software: - Velociraptor - osquery - Rekall domain-agnostic-software: null skillLevel: advanced accessType: server-based url: https://github.com/google/grr projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - web-interface - remote-collection - distributed - api - cross-platform - triage - flow-architecture - hunt-feature - approval-workflow - bigquery-export - yara-scanning - timeline-generation related_concepts: - Regular Expressions (Regex) - name: Arkime icon: 🦈 type: software description: >- Das Full-Packet-Capture-Monster (früher Moloch) speichert und indiziert große Aufkommen von Netzwerkverkehr für historische Forensik. Erfasst Traffic mit 10Gbit/s+ und speichert PCAP mit intelligenter Kompression. Die Elasticsearch-Integration ermöglicht schnelle Suchen über Monate von Daten: IPs, Ports, Protokolle, HTTP-Header, SSL-Zertifikate. Session-Page visualisiert Verbindungen mit Protokoll-Dekodierung. SPI-Graph zeigt Traffic-Patterns. WISE (With Intelligence See Everything) reichert Daten mit Threat-Intel an. Arkime-Capture skaliert horizontal für Multiple 10G-Links. Die Viewer-Permissions ermöglichen granulare Zugriffskontrolle. Hunt-Jobs durchsuchen historische Daten nach neuen IOCs. API für Integration mit SOC-Tools. Die Hardware-Anforderungen sind massiv (TB RAM, PB Storage), aber für ernsthafte NSM unverzichtbar. Perfekt für APT-Jagd und Incident-Rekonstruktion. domains: - incident-response - static-investigations - network-forensics - cloud-forensics - malware-analysis phases: - data-collection - examination - analysis platforms: - Linux related_software: - Wireshark - Elasticsearch - Suricata - Zeek domain-agnostic-software: null skillLevel: expert accessType: server-based url: https://arkime.com/ projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - web-interface - pcap-capture - elasticsearch-integration - historical-analysis - packet-filtering - distributed - full-packet-capture - threat-intel-enrichment - horizontal-scaling - api-driven - hunt-jobs - spi-graph related_concepts: null - name: NetworkMiner icon: ⛏️ type: software description: >- Der forensische Netzwerk-Analyzer extrahiert Artefakte aus PCAP-Dateien mit Fokus auf Inhalts-Rekonstruktion statt Paket-Details. Automatische Extraktion von Dateien (Bilder, Dokumente, Executables) aus HTTP, FTP, TFTP und SMB-Traffic. Credentials-Harvesting findet Passwörter in Klartext- Protokollen. Host-Inventar mit OS-Fingerprinting, offenen Ports und Services. DNS-Resolution-Timeline zeigt Domain-Lookups. Keyword-Search über alle extrahierten Inhalte. Die Professional-Version bietet Geo-IP-Lokalisierung, VoIP-Rekonstruktion und Kommandozeilen-Scripting. Besonders wertvoll: Frame-Reassembly auch bei Packet-Loss. Export zu CSV/XML für weitere Analyse. Die intuitive GUI macht es zugänglich für Nicht-Netzwerk-Spezialisten. Limitiert bei verschlüsseltem Traffic, glänzt bei Klartext-Protokollen und Malware-C2-Analyse. domains: - incident-response - static-investigations - malware-analysis - network-forensics phases: - examination - analysis platforms: - Windows - Linux related_software: - Wireshark - tcpdump - CapLoader domain-agnostic-software: null skillLevel: beginner accessType: download url: https://www.netresec.com/?page=NetworkMiner projectUrl: '' license: GPL-2.0 / Commercial knowledgebase: false tags: - gui - file-reconstruction - pcap-capture - session-reconstruction - dns-resolution - triage - credential-extraction - os-fingerprinting - keyword-search - artifact-extraction - cleartext-protocols - frame-reassembly related_concepts: null - name: ExifTool icon: 📷 type: software description: >- Der universelle Metadaten-Extraktor liest und schreibt Informationen in über 1200 Dateiformaten - von JPEG-EXIF über PDF-Metadata bis zu proprietären RAW-Formaten. Findet versteckte Schätze: GPS-Koordinaten in Smartphone-Fotos, Autoren-Informationen in Office-Dokumenten, Änderungshistorien in PDFs, Kamera-Seriennummern in Bildern. Besonders wertvoll für OSINT und Dokumenten-Forensik. Batch-Processing für tausende Dateien. Timeline-Erstellung aus Datei-Zeitstempeln. Die -k Option behält Original-Zeitstempel bei Analyse. JSON/XML-Export für programmatische Weiterverarbeitung. Unterstützt verschachtelte Archive und eingebettete Dokumente. Die Kommandozeile mag abschrecken, aber die Mächtigkeit ist unübertroffen. GUI-Wrapper wie ExifToolGUI erleichtern Einsteigern den Zugang. Unverzichtbar für jede digitale Ermittlung mit Multimedia-Bezug. domains: - incident-response - static-investigations - fraud-investigation - mobile-forensics phases: - examination - analysis platforms: - Windows - Linux - macOS related_software: - ExifTool - FOCA domain-agnostic-software: null skillLevel: novice accessType: download url: https://exiftool.org/ projectUrl: '' license: Perl Artistic License knowledgebase: false tags: - command-line - metadata-parser - geolocation - cross-platform - triage - system-metadata - batch-processing - timeline-creation - json-export - osint-tool - document-forensics - multimedia-analysis related_concepts: null - name: Chainalysis icon: ₿ type: software description: >- Die Blockchain-Intelligence-Plattform ist wohlbekannt in Krypto-Forensik mit einer der größten Attribution-Datenbank weltweit. Clustering-Algorithmen identifizieren Millionen von Services: Exchanges, Darknet-Märkte, Mixer, Ransomware-Wallets, Scams. Reactor visualisiert Transaktionsflüsse mit automatischer Risikobewertung. KYT (Know Your Transaction) für Echtzeit- Compliance. Sanctions Screening gegen OFAC und internationale Listen. Der Investigation-Workflow traced Funds durch Mixer und Tumblers. Intelligente Alerts bei verdächtigen Bewegungen. Court-Ready Reports mit Blockchain-Beweiskette. Die API integriert in bestehende Case- Management-Systeme. Unterstützt Bitcoin, Ethereum, und 100+ andere Blockchains. Trainings und Zertifizierungen für Ermittler. Die Lizenzkosten (sechsstellig) und US-Zentrierung limitieren auf Großorganisationen. domains: - static-investigations - fraud-investigation - incident-response phases: - analysis - reporting platforms: - Web related_software: - GraphSense - Elliptic domain-agnostic-software: null skillLevel: intermediate accessType: commercial url: https://www.chainalysis.com/ projectUrl: '' license: Proprietary knowledgebase: false tags: - web-interface - blockchain-analysis - commercial - visualization - anomaly-detection - threat-scoring - clustering-analysis - compliance-screening - transaction-tracing - risk-assessment - multi-blockchain - api-integration related_concepts: null - name: Neo4j icon: 🕸️ type: software description: >- Die Graph-Datenbank transformiert komplexe Beziehungsgeflechte in verständliche Visualisierungen. Cypher-Query-Language ermöglicht intuitive Abfragen: "MATCH (person)-[:TRANSFERRED_TO]->(account) RETURN *". Perfekt für Fraud-Rings, Social-Networks, Geldwäsche-Netzwerke und Kommunikations-Analysen. Graph-Algorithmen finden kürzeste Pfade, Communities und Influencer. Der Visual-Graph-Explorer macht verborgene Verbindungen sichtbar. Import aus CSV, JSON und relationalen Datenbanken. Die APOC-Bibliothek bietet 450+ Prozeduren für erweiterte Analysen. Bloom visualisiert für nicht-technische Stakeholder. Integration mit Elasticsearch für Volltext-Suche. Multi-Datenbank für Case-Isolation. Die Community-Edition (kostenlos) limitiert auf 1 User und 4 CPU-Cores. Skaliert auf große Mengen von Nodes und Relationships. Unverzichtbar für moderne Financial-Crime-Investigations. domains: - static-investigations - malware-analysis - fraud-investigation - network-forensics - cloud-forensics phases: - analysis - reporting platforms: - Windows - Linux - macOS - Web related_software: - Maltego - Gephi - Linkurious domain-agnostic-software: null skillLevel: intermediate accessType: server-based url: https://neo4j.com/ projectUrl: https://graph.cc24.dev license: GPL-3.0 / Commercial knowledgebase: false statusUrl: https://status.mikoshi.de/api/badge/32/status tags: - web-interface - graph-view - visualization - correlation-engine - cross-platform - api - cypher-queries - community-detection - path-finding - bloom-visualization - apoc-procedures - import-tools related_concepts: - SQL - name: QGIS icon: 🗺️ type: software description: >- Das Open-Source Geographic Information System verwandelt Forensik-Daten mit Geobezug in aussagekräftige Karten und Analysen. Visualisiert Bewegungsprofile aus Smartphone-GPS, Fahrzeug-Telematik oder Fitness-Trackern. Heatmaps zeigen Aufenthaltsschwerpunkte. Buffer-Analysen identifizieren mögliche Treffpunkte. Die Python-Integration (PyQGIS) automatisiert Massen-Datenverarbeitung. Import aus GPX, KML, CSV mit Koordinaten. Temporal Controller animiert Bewegungen über Zeit. Spatial Queries finden Überschneidungen: "Wer war wann am selben Ort?". OpenStreetMap- Integration für Kontext. 3D-Visualisierung für Drohnen-Flugpfade. Print Composer erstellt gerichtsfeste Karten. Die steile Lernkurve wird durch exzellente Tutorials gemildert. Plugins erweitern für Spezialfälle wie Cell-Tower-Analyse. Unverzichtbar wenn Wo-und-Wann zur Schlüsselfrage wird. domains: - static-investigations - fraud-investigation - mobile-forensics - incident-response phases: - analysis - reporting platforms: - Windows - Linux - macOS related_software: - Google Earth Pro - ArcGIS domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://qgis.org/ projectUrl: '' license: GPL-2.0 knowledgebase: false tags: - gui - geolocation - visualization - heatmap - scripting - cross-platform - movement-analysis - temporal-animation - spatial-queries - 3d-visualization - print-composer - plugin-ecosystem related_concepts: null - name: Binwalk icon: 🔬 type: software description: >- Der Firmware-Forensiker extrahiert versteckte Schätze aus IoT-Geräten, Routern und Embedded Systems. Signature-Scanning identifiziert eingebettete Dateisysteme (SquashFS, JFFS2, CramFS), komprimierte Archive und verschlüsselte Bereiche. Automatische Extraktion mit -e Flag. Entropy- Analyse visualisiert Zufälligkeit für Crypto-Erkennung. Die Rules-Engine erlaubt Custom-Signaturen für proprietäre Formate. Besonders wertvoll für IoT-Malware-Analyse, Router-Backdoor-Suche und IP-Kameras-Forensik. 3D-Entropy-Plots mit -E. Hexdump-Integration für manuelle Inspektion. Die Plugin-Architektur ermöglicht Erweiterungen. Oft der erste Schritt bei Hardware-Forensik. Kombiniert mit QEMU für Firmware-Emulation. Die False-Positive-Rate kann hoch sein, aber die Alternative ist manuelles Hex-Editing. Essential für jeden, der mit Embedded Devices arbeitet. domains: - malware-analysis - ics-forensics - static-investigations phases: - examination - analysis platforms: - Linux - macOS related_software: - Firmware Analysis Toolkit - FACT - Ghidra domain-agnostic-software: null skillLevel: advanced accessType: download url: https://github.com/ReFirmLabs/binwalk projectUrl: '' license: MIT knowledgebase: false tags: - command-line - firmware-extraction - signature-analysis - file-carving - entropy-check - binary-decode - iot-forensics - embedded-analysis - custom-signatures - hexdump-view - plugin-support - 3d-entropy related_concepts: null - name: Nextcloud icon: ☁️ type: software description: >- Die DSGVO-konforme Cloud-Collaboration-Suite für sichere Forensik-Team- Zusammenarbeit. End-to-End-Verschlüsselung schützt sensitive Ermittlungs- daten. File-Sharing mit granularen Berechtigungen und Ablaufdaten. Versionierung dokumentiert alle Änderungen. Collabora/OnlyOffice-Integration für gemeinsame Berichterstellung. Talk ermöglicht verschlüsselte Video- konferenzen für Remote-Teams. Der Kalender koordiniert Ermittlungen. Flow automatisiert Workflows: "Wenn Report fertig → Benachrichtige Team". Audit-Logs für Compliance. External Storage bindet bestehende Shares ein. Die Federation vernetzt mehrere Behörden-Instanzen. Two-Factor-Auth und SSO für Enterprise-Security. Apps erweitern für Passwort-Management, Projekt-Boards und Notizen. Skaliert vom Raspberry Pi für kleine Teams bis zur High-Availability-Cluster. Die Kontrolle über die eigenen Daten macht es zur ersten Wahl für Behörden und Consultants. domains: - incident-response - static-investigations - malware-analysis - fraud-investigation - network-forensics - mobile-forensics - cloud-forensics - ics-forensics phases: - reporting platforms: - Web related_software: - Collabora Online - OnlyOffice domain-agnostic-software: - collaboration-general skillLevel: novice accessType: server-based url: https://nextcloud.com/ projectUrl: https://cloud.cc24.dev license: AGPL-3.0 knowledgebase: true statusUrl: https://status.mikoshi.de/api/badge/11/status tags: - web-interface - collaboration - secure-sharing - multi-user-support - encrypted-reports - rbac - end-to-end-encryption - audit-logging - workflow-automation - video-conferencing - version-control - federation related_concepts: - Digital Evidence Chain of Custody - name: Kali Linux type: software description: >- Die legendäre Penetration-Testing-Distribution dient Forensikern als Schweizer Taschenmesser mit 600+ vorinstallierten Security-Tools. Live-Boot ermöglicht forensische Untersuchungen ohne Host-Kontamination. Forensics-Mode deaktiviert Auto-Mount und Netzwerk für saubere Akquisition. Die Tool-Kategorien decken alle Phasen ab: Imaging (dc3dd), Carving (Foremost), Memory-Analyse (Volatility), Netzwerk (Wireshark), Mobile (ADB), Krypto (hashcat). Metapackages installieren Tool-Gruppen gezielt. Die Rolling-Release-Natur hält alles aktuell. ARM-Images für Raspberry Pi und Mobile-Forensik. NetHunter bringt Kali aufs Smartphone. Anpassbare ISO-Builds für spezialisierte Teams. Die Dokumentation und Community sind exzellent. Vorsicht: Viele Tools sind offensiv - klare Policies nötig! Der Standard für Incident-Response-Teams weltweit. domains: - incident-response - static-investigations - malware-analysis - fraud-investigation - network-forensics - mobile-forensics - cloud-forensics - ics-forensics skillLevel: intermediate url: https://kali.org/ icon: 🐉 platforms: - OS accessType: download license: GPL-3.0 knowledgebase: true related_software: - Parrot Security OS - SIFT Workstation domain-agnostic-software: - specific-os tags: - gui - command-line - cross-platform - live-acquisition - write-blocker - opensource - forensics-mode - tool-collection - arm-support - nethunter - custom-builds - rolling-release related_concepts: null - name: FTK Imager icon: 💾 type: software description: >- Der Klassiker für Windows-basierte Disk-Akquisition erstellt gerichtsfeste Images mit bewährter Zuverlässigkeit. Unterstützt RAW, SMART, E01 und AFF Formate mit Kompression und Verschlüsselung. Die GUI führt durch den Imaging-Prozess mit Hash-Verifizierung (MD5/SHA1). Preview-Mode ermöglicht Triage ohne Full-Image. Memory-Capture für Live-RAM-Akquisition. Mount als Read-Only für sichere Analyse. Die kostenlose Version deckt Standard-Aufgaben ab, limitiert aber bei erweiterten Features. Besonders geschätzt: Zuverlässigkeit bei defekten Sektoren, detaillierte Logs und breite Gerichtsakzeptanz. Protected-Folder-Viewing für Systemdateien. CLI-Version für Automatisierung. Die proprietäre Natur und Windows-Only sind Nachteile, aber in vielen Labors der De-facto-Standard. Perfekt für Einsteiger und Routine-Akquisitionen. domains: - static-investigations - incident-response phases: - data-collection platforms: - Windows related_software: - EnCase - X-Ways Forensics domain-agnostic-software: null skillLevel: beginner accessType: download url: https://www.exterro.com/digital-forensics-software/ftk-imager projectUrl: '' license: Proprietary knowledgebase: false tags: - gui - physical-copy - hashing - court-admissible - scenario:disk_imaging - ewf-support - memory-capture - preview-mode - bad-sector-handling - protected-folders - cli-available - triage related_concepts: - Hash Functions & Digital Signatures - Digital Evidence Chain of Custody - name: YARA type: software description: >- Die Pattern-Matching-Engine ist der De-facto-Standard für Malware- Identifikation und Threat-Hunting. Rule-Syntax ermöglicht komplexe Signaturen: Strings, Hex-Patterns, Regular Expressions, Bedingungen. Die Community pflegt tausende Rules für bekannte Malware-Familien. Integration in Forensik-Tools macht es allgegenwärtig: Volatility für Memory-Scans, Cuckoo für Behavior-Matching, VirusTotal für Sample-Klassifikation. Modules erweitern für PE-Analyse, Krypto- Erkennung und Macho-Parsing. Die Condition-Syntax ermöglicht komplexe Logik: "any of ($a*) and filesize < 200KB". Performance-Optimierung durch Aho-Corasick-Algorithmus. Python-Bindings für Automatisierung. YARA-Editor erleichtert Rule-Entwicklung. Die False-Positive-Rate erfordert sorgfältiges Tuning. Unverzichtbar für proaktive Threat-Detection und Incident-Response. domains: - incident-response - malware-analysis phases: - examination - analysis skillLevel: intermediate url: https://virustotal.github.io/yara/ icon: 🎯 platforms: - Windows - Linux - macOS accessType: download license: BSD-3-Clause knowledgebase: false tags: - command-line - yara-scan - signature-analysis - regex-search - cross-platform - memory-signatures - pattern-matching - rule-based - module-support - python-bindings - community-rules - performance-optimized related_concepts: - Regular Expressions (Regex) - Hash Functions & Digital Signatures related_software: - Volatility 3 - Cuckoo Sandbox 3 - Loki - name: X-Ways Forensics icon: 🔬 type: software description: >- Das deutsche Präzisionswerkzeug maximiert Effizienz durch überlegene Performance und durchdachte Workflows. Blitzschnelle Searches in Multi-Terabyte-Images durch optimierte Algorithmen. Simultane Analyse mehrerer Evidenzen spart Zeit. Die Gallery-View mit Skin-Tone-Detection beschleunigt CSAM-Ermittlungen. X-Tensions automatisieren wiederkehrende Aufgaben. Besonders stark: Physical-Search über Sektorgrenzen hinweg, Registry-Report-Generator, Timeline mit Millisekunden-Präzision. Der Hex-Editor zeigt Rohdaten parallel zur interpretierten Ansicht. Template-Support für proprietäre Dateiformate. Die spartanische GUI schreckt Einsteiger ab, aber Profis schätzen die Effizienz. Deutlich günstiger als US-Konkurrenz bei vergleichbarer Funktionalität. Der legendäre Support durch Stefan Fleischmann persönlich. Made in Germany mit Fokus auf Gründlichkeit statt Marketing. domains: - static-investigations - incident-response - fraud-investigation phases: - examination - analysis platforms: - Windows related_software: - WinHex - EnCase - FTK Imager domain-agnostic-software: null skillLevel: expert accessType: commercial url: https://www.x-ways.net/forensics/ projectUrl: '' license: Proprietary knowledgebase: false tags: - gui - commercial - keyword-search - fast-scan - court-admissible - dongle-license - hex-editor - gallery-view - x-tensions - physical-search - registry-analysis - template-support related_concepts: - Digital Evidence Chain of Custody - name: Eric Zimmerman Tools icon: 🧰 type: software description: >- Die Tool-Suite des Windows-Forensik-Gurus Eric Zimmerman dekodiert Windows-Artefakte mit unübertroffener Präzision. Jedes Tool ein Spezialist: ShellBags Explorer zeigt Ordner-Zugriffe, PECmd parst Prefetch für Programm-Ausführungen, AmcacheParser findet Programm- installationen, JumpListExplorer enthüllt Recent Documents. Registry Explorer mit Bookmarks und Plugins. MFTECmd extrahiert NTFS-Metadaten. Timeline Explorer visualisiert CSV-Output aller Tools gemeinsam. KAPE orchestriert die Tool-Collection. Besonders wertvoll: ständige Updates für neue Windows-Versionen und Cloud-Artefakte wie OneDrive. Die Kommandozeilen-Tools ermöglichen Batch-Processing. Kostenlos aber Spenden erwünscht. Die aktive Community im Discord teilt Erfahrungen. Dokumentation durch Cheat-Sheets und Blog-Posts. domains: - incident-response - static-investigations - malware-analysis phases: - examination - analysis platforms: - Windows related_software: - KAPE domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://ericzimmerman.github.io/ projectUrl: '' license: MIT knowledgebase: false tags: - gui - artifact-parser - shellbags - prefetch-viewer - timeline - jumplist - registry-analysis - mft-parser - batch-processing - cloud-artifacts - community-driven - free-tools - scenario:windows-registry - scenario:persistence related_concepts: - Digital Evidence Chain of Custody - name: Regular Expressions (Regex) type: concept description: >- Die universelle Mustererkennungssprache ermöglicht komplexe Textsuchen und Datenextraktion in der digitalen Forensik. Von einfachen Wildcards bis zu komplexen Capture-Groups: IP-Adressen (\d{1,3}\.){3}\d{1,3}, E-Mail-Adressen, Kreditkarten, Bitcoin-Adressen. Essentiell für Log-Analyse, YARA-Rules, Grep-Searches und Data-Carving. Die Syntax variiert zwischen Tools (PCRE, Python, grep), aber Grundkonzepte sind universal. Quantifizierer (*, +, ?, {n,m}), Zeichenklassen ([a-z], \d, \w), Anchors (^, $), Lookarounds für kontextuelle Matches. Online-Tester wie regex101.com beschleunigen Entwicklung. Performance-Fallen bei komplexen Patterns beachten. Integration in alle Major-Forensik-Tools macht Regex-Kenntnisse unverzichtbar. Der Unterschied zwischen einem guten und großartigen Forensiker liegt oft in der Regex-Beherrschung. skillLevel: intermediate url: https://regexr.com/ icon: 🔤 domains: - incident-response - static-investigations - malware-analysis - fraud-investigation - network-forensics phases: - examination - analysis tags: - regex-search - string-search - log-parser - automation-ready - pattern-matching - data-extraction - text-processing - capture-groups - lookarounds - performance-critical knowledgebase: true - name: SQL type: concept description: >- Die Structured Query Language ist das Rückgrat moderner Datenanalyse in der digitalen Forensik. SQLite-Datenbanken dominieren mobile Forensik: WhatsApp-Chats, Browser-History, App-Daten. Grundlegende Queries (SELECT, JOIN, WHERE) bis zu komplexen Analysen mit Window-Functions und CTEs. Forensik-spezifische Patterns: Timeline-Reconstruction mit ORDER BY timestamp, Kommunikations-Analyse mit SELF-JOINs, Anomalie- Erkennung mit GROUP BY/HAVING. Tools wie DB Browser for SQLite visualisieren Strukturen. Vorsicht bei WAL-Mode und gelöschten Records. Python-Integration (sqlite3) für Automatisierung. NoSQL- Grundlagen werden wichtiger (MongoDB in Malware). Die Fähigkeit, aus Rohdaten Erkenntnisse zu extrahieren, macht SQL zur Kernkompetenz. Unterschätzt aber unverzichtbar für moderne Ermittlungen. skillLevel: intermediate url: https://www.w3schools.com/sql/ icon: 🗃️ domains: - incident-response - static-investigations - fraud-investigation - mobile-forensics - cloud-forensics phases: - examination - analysis tags: - sqlite-viewer - correlation-engine - mobile-app-data - browser-history - data-extraction - timeline-queries - join-operations - aggregate-analysis - wal-analysis - python-integration knowledgebase: true - name: Hash Functions & Digital Signatures type: concept description: >- Kryptographische Hash-Funktionen und digitale Signaturen bilden das Fundament der digitalen Beweissicherung. MD5 (veraltet aber verbreitet), SHA-1, SHA-256/512 für Integritätsprüfung. Kollisionsresistenz gewährleistet Eindeutigkeit. Forensische Anwendungen: Datenträger- Verifizierung vor/nach Imaging, Deduplizierung mit Hash-Sets (NSRL), Known-Bad-Identifikation (Malware, CSAM). Rainbow-Tables für Passwort-Cracking. Fuzzy-Hashing (ssdeep) für Ähnlichkeitsanalyse. Digitale Signaturen authentifizieren Software und Dokumente. Certificate-Chain-Analyse bei APT-Investigations. Timestamping für Chain-of-Custody. Die Mathematik dahinter ist komplex, aber Anwendung ist essentiell. Tools berechnen automatisch, aber Verständnis der Prinzipien unterscheidet Profis von Amateuren. Blockchain als verteilte Hash-Kette revolutioniert Evidence-Management. skillLevel: advanced url: https://en.wikipedia.org/wiki/Cryptographic_hash_function icon: 🔐 domains: - incident-response - static-investigations - malware-analysis - mobile-forensics - cloud-forensics phases: - data-collection - examination tags: - hashing - integrity-check - chain-of-custody - standards-compliant - deduplication - known-bad-detection - fuzzy-hashing - digital-signatures - timestamping - blockchain-evidence knowledgebase: true - name: Digital Evidence Chain of Custody type: concept description: >- Die lückenlose Dokumentation digitaler Beweise von der Sicherstellung bis zur Gerichtsverhandlung. Kernprinzipien: Authentizität, Integrität, Nachvollziehbarkeit, Nicht-Abstreitbarkeit. Praktische Umsetzung durch Hash-Verifizierung, Write-Blocker, detaillierte Dokumentation aller Schritte. Formulare dokumentieren Wer/Was/Wann/Wo/Warum. Fotografische Dokumentation der Hardware. Versiegelte Beweismitteltaschen mit Tamper-Evidence. Digitale CoC durch Blockchain-Timestamping. ISO/IEC 27037 als internationaler Standard. Gerichtliche Anforderungen variieren nach Jurisdiktion. Fehler in der CoC können zur Beweisverwerfung führen. Automatisierung durch LIMS (Laboratory Information Management Systems). Die CoC ist kein technisches sondern ein prozedurales Thema - oft unterschätzt aber entscheidend für erfolgreiche Verfahren. skillLevel: advanced url: >- https://www.unodc.org/e4j/en/cybercrime/module-6/key-issues/handling-of-digital-evidence.html icon: ⛓️ domains: - incident-response - static-investigations - fraud-investigation - mobile-forensics - cloud-forensics phases: - data-collection - examination - analysis - reporting tags: - chain-of-custody - standards-compliant - court-admissible - audit-trail - documentation - hash-verification - tamper-evidence - iso-27037 - legal-compliance - process-management knowledgebase: true - name: MSAB XRY type: software description: >- Die schwedische Mobile-Forensik-Suite bietet Physical und Logical Extraction für iOS und Android mit regelmäßigen Exploit-Updates. Besonders stark bei chinesischen Smartphones (Huawei, Xiaomi) und speziellen Hardware-Typen. Der Drone-Module extrahiert Flugdaten von DJI und Parrot. XRY Camera identifiziert Geräte aus Bildern. Die Analyze-Software visualisiert Kommunikationsmuster und Bewegungs- profile. XAMN-Elements für Link-Analyse zwischen mehreren Geräten. Cloud-Extraction für 30+ Services. Die PIN-Code-Breaker-Hardware knackt 4-6 stellige Codes. Training und Zertifizierung inklusive. Preislich mit Cellebrite vergleichbar (15.000€+) aber mit transparenterer Verkaufspolitik. Updates alle 6-8 Wochen für neue Apps. EU-basierte Alternative zu US-amerikanischen Lösungen. skillLevel: beginner url: https://www.msab.com/product/xry-extract/ icon: 📱 domains: - mobile-forensics - static-investigations - fraud-investigation phases: - data-collection - examination - analysis platforms: - Windows accessType: download license: Proprietary knowledgebase: false tags: - gui - commercial - mobile-app-data - physical-copy - decryption - court-admissible - drone-forensics - chinese-phones - pin-cracking - cloud-extraction - link-analysis - eu-based related_concepts: - SQL - Digital Evidence Chain of Custody related_software: - Cellebrite UFED - Oxygen Forensic Suite - Magnet AXIOM - name: OSFMount icon: 💿 type: software description: >- Das kostenlose Windows-Tool mountet Forensik-Images als virtuelle Laufwerke für komfortable Analyse ohne Vollinstallation einer Forensik-Suite. Unterstützt RAW (dd), E01 (EnCase), AFF, VHD, VMDK und weitere Formate. Write-Cache-Modus schützt Original-Images vor Veränderung. RAM-Disk-Feature für Performance bei kleinen Images. Die Plugin-Architektur erweitert für exotische Formate. Besonders praktisch: Partition-Selection bei Multi-Partition-Images, automatische Offset-Erkennung, Unterstützung für Disk- und Memory-Images. Der Image-Conversion-Wizard wandelt zwischen Formaten. Integration mit Windows Explorer für gewohnte Navigation. Mounting von Volume Shadow Copies. Die Freeware-Lizenz macht es zur ersten Wahl für Budget- bewusste Teams. Limitiert bei verschlüsselten Images, glänzt bei Standard-Aufgaben. Perfekt für schnelle Triage oder wenn kommerzielle Tools nicht verfügbar sind. domains: - incident-response - static-investigations phases: - examination platforms: - Windows related_software: - FTK Imager domain-agnostic-software: null skillLevel: beginner accessType: download url: https://www.osforensics.com/tools/mount-disk-images.html projectUrl: '' license: Proprietary knowledgebase: false tags: - gui - virtual-machine - ewf-support - raw-image-support - write-blocker - triage - format-conversion - vss-support - partition-selection - ram-disk - explorer-integration - free-tool related_concepts: - Digital Evidence Chain of Custody - name: Live Memory Acquisition Procedure icon: 🧠 type: method description: >- Die forensisch korrekte Sicherung des Arbeitsspeichers laufender Systeme erfordert systematisches Vorgehen zur Minimierung der Artefakt-Kontamination. Kritische Entscheidung: Priorisierung flüchtiger Beweise vs. System-Stabilität. Tool-Auswahl nach OS: WinPmem (Windows), LiME (Linux), osxpmem (macOS). Vorbereitung: Tool auf externem Medium, Admin-Rechte sichern, Ziel-Storage mit ausreichend Platz. Durchführung: Dokumentation des System-Zustands, Tool-Ausführung mit minimalen Befehlen, Hash-Generierung sofort. Besondere Herausforderungen: Kernel-Schutz-Mechanismen (PatchGuard, Secure Boot), Anti-Forensik-Malware, Virtualisierte Umgebungen. Die ersten Sekunden kontaminieren unweigerlich - Transparenz in der Dokumentation essentiell. Post-Akquisition: Volatility-Profil erstellen, Timeline der Sammlung, Vergleich mit Disk-Artefakten. Der Unterschied zwischen verwertbaren und wertlosen Memory-Dumps liegt oft in der Methodik. domains: - incident-response - static-investigations - malware-analysis phases: - data-collection platforms: [] related_software: - WinPmem - LiME - Volatility 3 domain-agnostic-software: null skillLevel: advanced accessType: null url: >- https://www.nist.gov/publications/guide-integrating-forensic-techniques-incident-response projectUrl: null license: null knowledgebase: false tags: - live-acquisition - scenario:memory_dump - chain-of-custody - standards-compliant - contamination-aware - tool-selection - kernel-protection - anti-forensics - documentation-critical - volatility-compatible related_concepts: - Digital Evidence Chain of Custody - name: Android Logical Imaging icon: 📱 type: method description: >- Die forensische Datenextraktion von Android-Geräten ohne Rooting oder Exploits - ideal für Legacy-Geräte und BYOD-Szenarien. Nutzt ADB (Android Debug Bridge) für autorisierten Zugriff. Vorbereitung: USB-Debugging aktivieren, ADB-Autorisierung, OEM-spezifische Tricks (Samsung Smart Switch, LG Mobile Switch). Extraktion: ADB backup für App-Daten, Pull-Befehle für zugängliche Bereiche (/sdcard, /data/media), Content Provider Queries für Kontakte/SMS. Parsing: Android Backup Extractor für .ab-Files, SQLite-Analyse der Datenbanken, XML-Auswertung der Preferences. Limitierungen: Keine System-Apps, verschlüsselte Bereiche unzugänglich, neuere Android-Versionen (12+) stark eingeschränkt. Spezial-Techniken: Downgrade-Attacks, Sideloading forensischer Apps, Screen-Recording für UI-basierte Extraktion. Der Sweet-Spot: Android 4-8 Geräte mit schwachen Sicherheitsmechanismen. Dokumentation der Berechtigungen und Nutzer-Autorisierung für Gerichtsverwertbarkeit essentiell. domains: - mobile-forensics - static-investigations phases: - data-collection platforms: [] related_software: - Android Studio - ADB - ALEAPP - Android Backup Extractor domain-agnostic-software: null skillLevel: advanced accessType: null url: https://developer.android.com/studio/command-line/adb projectUrl: null license: null knowledgebase: true tags: - command-line - logical-copy - mobile-app-data - triage - adb-based - legacy-devices - content-providers - backup-extraction - permission-based - court-considerations related_concepts: - SQL - Digital Evidence Chain of Custody - name: ALEAPP icon: 📱 type: software description: >- Android Logs Events And Protobuf Parser automatisiert die Extraktion forensischer Artefakte aus Android-Geräten. Parst über 200 App-Datenbanken und System-Logs in übersichtliche HTML-Reports. Von WhatsApp-Chats über Google-Maps-Timeline bis zu gelöschten SQLite-Records - ALEAPP findet versteckte Beweise. Die Timeline-Funktion korreliert Aktivitäten über alle Apps. Besonders wertvoll: Protobuf-Dekodierung für moderne Apps, Analyse von Well-Being-Daten, Batteriestatistiken für Aktivitätsmuster. Unterstützt physische Dumps, logische Extractions und sogar Teilbackups. Die Plugin-Architektur erlaubt Erweiterungen für neue Apps. Ständige Updates durch die aktive Community halten mit Android-Entwicklungen Schritt. Der generierte Report ist gerichtsfest strukturiert mit Quellenangaben zu jedem Artefakt. Integration mit iLEAPP und VLEAPP für Cross-Device-Analysen. domains: - incident-response - static-investigations - mobile-forensics - fraud-investigation phases: - examination - analysis platforms: - Windows - Linux - macOS related_software: - iLEAPP - VLEAPP - Autopsy domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/abrignoni/ALEAPP projectUrl: '' license: MIT knowledgebase: false tags: - command-line - mobile-app-data - artifact-parser - timeline - html-export - sqlite-viewer - protobuf-parser - whatsapp-analysis - google-artifacts - battery-stats - well-being-data - cross-platform related_concepts: - SQL - name: iLEAPP icon: 🍎 type: software description: >- iOS Logs, Events, And Plists Parser extrahiert forensische Schätze aus iPhone-Backups und physischen Dumps. Über 350 Artefakt-Parser dekodieren iOS-Geheimnisse: gelöschte iMessages, Safari-History, Screen-Time-Daten, AirDrop-Transfers. Die KnowledgeC-Analyse rekonstruiert App-Nutzungsmuster minutengenau. Besonders mächtig: Parsing von Unified Logs für System-Events, Health-Daten-Extraktion, Significant-Locations mit Karten-Visualisierung. Die HTML-Reports sind durchsuchbar und gerichtsfest aufbereitet. Neue Features: iOS 17 Support, Live-Photos-Metadaten, Apple-Pay-Transaktionen. Die ständigen Updates halten mit Apples Verschleierungstaktiken Schritt. PowerLog-Parser zeigt Batterie-Events für Aktivitätsanalyse. Die modulare Architektur erlaubt Custom-Parser für proprietäre Apps. Cross-Referenzierung mit macOS-Artefakten über Continuity. Ein Muss für jeden iOS-Forensiker. domains: - incident-response - static-investigations - mobile-forensics - fraud-investigation phases: - examination - analysis platforms: - Windows - Linux - macOS related_software: - ALEAPP - VLEAPP - Cellebrite UFED domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/abrignoni/iLEAPP projectUrl: '' license: MIT knowledgebase: false tags: - command-line - mobile-app-data - artifact-parser - timeline - html-export - deleted-file-recovery - knowledgec-parser - unified-logs - health-data - screen-time - imessage-recovery - ios-forensics related_concepts: - SQL - name: VLEAPP icon: 🚗 type: software description: >- Vehicle Logs, Events, And Properties Parser erschließt die digitale Blackbox moderner Fahrzeuge. Extrahiert Daten aus Infotainment-Systemen, Telematik- Modulen und verbundenen Smartphones. CAN-Bus-Logs enthüllen Geschwindigkeit, Bremsverhalten, Airbag-Events für Unfallrekonstruktion. Die GPS-Timeline zeigt Routen mit Stopps und Fahrtzeiten. Besonders wertvoll: Bluetooth- Verbindungsprotokolle identifizieren Fahrer, CarPlay/Android-Auto-Daten, gespeicherte WLAN-Hotspots. Unterstützt Tesla, BMW, Mercedes, VW-Gruppe und erweitert ständig. Die Kontaktlisten-Extraktion findet synchronisierte Telefonbücher. USB-Historie zeigt angeschlossene Geräte. Event-Data-Recorder parsing für Crash-Forensik. Die HTML-Reports visualisieren Bewegungsprofile auf Karten. Unersetzlich für Unfälle, Diebstähle und Alibis. Die wachsende Fahrzeug-Forensik-Community teilt Parser für neue Modelle. domains: - static-investigations - ics-forensics - fraud-investigation phases: - examination - analysis platforms: - Windows - Linux - macOS related_software: - ALEAPP - iLEAPP domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/abrignoni/VLEAPP projectUrl: '' license: MIT knowledgebase: false tags: - command-line - artifact-parser - geolocation - timeline - html-export - system-metadata - vehicle-forensics - can-bus-data - infotainment - crash-data - bluetooth-connections - gps-tracking related_concepts: null - name: dd icon: 💾 type: software description: >- Das Unix-Urgestein 'data duplicator' ist seit 1974 der minimalistische Standard für bit-genaue Datenträger-Kopien. Keine GUI, keine Extras - nur pure Zuverlässigkeit. Die wichtigsten forensischen Parameter: conv=noerror,sync für defekte Sektoren, bs=4M für optimale Performance, status=progress für Fortschrittsanzeige. Pipe zu Hash-Tools für simultane Verifizierung: dd if=/dev/sda | tee image.raw | md5sum. Die Einfachheit ist die Stärke: funktioniert auf jedem Unix-System ohne Installation. Vorsicht vor klassischen Fehlern: if/of-Verwechslung zerstört Beweise! dcfldd und dc3dd sind forensische Weiterentwicklungen mit eingebauter Hash-Verifizierung. Split-Feature für FAT32-Limits: dd if=/dev/sda | split -b 4G. Network-Imaging via netcat möglich. Der Respekt vor dd trennt Profis von Amateuren - ein falscher Parameter vernichtet unwiederbringlich Daten. Immer noch die Basis vieler kommerzieller Imaging-Tools. domains: - incident-response - static-investigations phases: - data-collection platforms: - Linux - macOS related_software: - dcfldd - dc3dd - ewfacquire domain-agnostic-software: null skillLevel: intermediate accessType: Linux (GNU-Utils) url: https://www.gnu.org/software/coreutils/dd projectUrl: '' license: GPL-3.0 knowledgebase: false tags: - command-line - physical-copy - raw-image-support - scenario:disk_imaging - zero-footprint - offline-mode - bit-for-bit - pipe-capable - network-imaging - unix-standard - minimal-contamination - performance-tuning related_concepts: - Digital Evidence Chain of Custody - name: dcfldd icon: 🔐 type: software description: >- Defense Computer Forensics Lab DD erweitert das klassische dd um essenzielle forensische Features. Simultane Hash-Berechnung (MD5, SHA1, SHA256) während des Imaging spart Zeit und garantiert Integrität. Status-Output zeigt Geschwindigkeit, verbleibende Zeit und übertragene Daten. Split-on-the-fly für Multi-Volume-Archives ohne Zwischenspeicherung. Pattern-Wiping für sicheres Löschen nach DoD-Standards. Log-Output dokumentiert jeden Schritt für Chain-of-Custody. Die Verify-Funktion prüft geschriebene Daten sofort. Besonders wertvoll: Hashing einzelner Blöcke für granulare Integritätsprüfung, Fortsetzen unterbrochener Images, mehrere Output-Ziele gleichzeitig. Die forensischen Erweiterungen machen es zur ersten Wahl für professionelle Labore. Syntax bleibt dd-kompatibel für einfachen Umstieg. Performance mit großen Blockgrößen optimiert. Die aktive Entwicklung hält mit modernen Anforderungen Schritt. Standard in vielen Forensik-Distributionen. domains: - incident-response - static-investigations phases: - data-collection platforms: - Linux related_software: - dd - dc3dd - FTK Imager domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/resurrecting-open-source-projects/dcfldd projectUrl: '' license: GPL-2.0 knowledgebase: false tags: - command-line - physical-copy - hashing - scenario:disk_imaging - compression - integrity-check - split-output - status-display - pattern-wipe - verify-mode - block-hashing - progress-reporting related_concepts: - Hash Functions & Digital Signatures - Digital Evidence Chain of Custody - name: ewfacquire icon: 💾 type: software description: >- Command-line Tool aus der libewf-Bibliothek zum Erstellen forensischer Images im Expert Witness Format (E01/Ex01). Erstellt segmentierte Archive mit MD5/SHA1-Hash-Verifizierung und optionaler Kompression. Besonders wertvoll für Linux-basierte Imaging-Workflows ohne GUI-Overhead. Unterstützt Case-Metadaten, Examiner-Notizen und Error-Granularity für defekte Sektoren. Die Segment-Größe ist konfigurierbar für verschiedene Storage-Medien. Integration in Autopsy und andere Tools über libewf. Alternative zu proprietären Windows-Imaging-Tools für Open-Source-Forensik-Umgebungen. Besonders geschätzt: Zuverlässigkeit, Cross-Platform-Kompatibilität und Standards-Compliance für gerichtsfeste Images. domains: - incident-response - static-investigations phases: - data-collection platforms: - Linux - macOS related_software: - FTK Imager - EnCase - dd domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/libyal/libewf projectUrl: '' license: LGPL-3.0 knowledgebase: false tags: - command-line - physical-copy - ewf-support - compression - chain-of-custody - scenario:disk_imaging - error-handling - segment-files - metadata-storage - hash-verification - resume-capability - cross-tool-compatible related_concepts: - Hash Functions & Digital Signatures - Digital Evidence Chain of Custody - name: Guymager icon: 💿 type: software description: >- Das schlanke Linux-Imaging-Tool maximiert Performance durch intelligentes Multi-Threading und optimierte I/O-Operationen. Die Qt-basierte GUI macht forensisches Imaging auch für Linux-Neulinge zugänglich. Gleichzeitiges Schreiben mehrerer Formate (RAW + EWF) ohne Performance-Verlust. Die eingebaute FIFO-Architektur ermöglicht Pipe-Operationen für Netzwerk-Imaging. Besonders geschätzt: Automatische Badblock-Erkennung mit detailliertem Logging, simultane Hash-Berechnung (MD5, SHA1, SHA256), Fortschrittsbalken mit Zeitschätzung. Die Clone-Funktion dupliziert Datenträger direkt. HPA/DCO-Erkennung warnt vor versteckten Bereichen. Unterstützt USB-Write- Blocker für zusätzliche Sicherheit. Die Performance übertrifft oft kommerzielle Tools bei gleicher Zuverlässigkeit. Debian-Pakete vereinfachen Installation. Der niedrige Ressourcen-Verbrauch erlaubt Imaging auf älteren Systemen. Logging im Detail-Level konfigurierbar für verschiedene Compliance-Anforderungen. domains: - incident-response - static-investigations phases: - data-collection platforms: - Linux related_software: - FTK Imager - dc3dd - ddrescue domain-agnostic-software: null skillLevel: novice accessType: download url: https://guymager.sourceforge.io/ projectUrl: '' license: GPL-2.0 knowledgebase: false tags: - gui - physical-copy - multithreaded - hashing - scenario:file_recovery - ewf-support - performance-optimized - bad-sector-handling - hpa-dco-detection - simultaneous-output - progress-estimation - low-resource related_concepts: - Hash Functions & Digital Signatures - Digital Evidence Chain of Custody - name: Fuji icon: 🗻 type: software description: >- Das clevere macOS-Tool umgeht Apples restriktive Sicherheitsmechanismen für forensisch saubere Datenträger-Akquisition. Nutzt undokumentierte APIs für Raw-Device-Zugriff ohne Kernel-Extensions. Besonders wertvoll seit macOS Big Sur mit verstärktem System Integrity Protection (SIP). Die Target-Disk-Mode-Alternative für moderne Macs ohne Firewire. Unterstützt APFS-Container-Imaging inklusive verschlüsselter Volumes (mit Passwort). Live-Imaging von System-Volumes ohne Reboot möglich. Die minimale Footprint kontaminiert das Zielsystem kaum. Besonders clever: Umgehung der Read-Only-System-Volume-Beschränkungen. Hash-Verifizierung integriert für forensische Standards. Die Active-Development durch macOS-Forensik- Community garantiert Updates für neue OS-Versionen. Perfekt für Incident Response auf Macs ohne teure kommerzielle Tools. Die Kommandozeile ermöglicht Scripting für Massenakquisitionen. domains: - incident-response - static-investigations phases: - data-collection platforms: - macOS related_software: - dd - FTK Imager domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/Lazza/Fuji projectUrl: '' license: GPL-3.0 knowledgebase: false tags: - command-line - live-acquisition - physical-copy - apfs - scenario:disk_imaging - zero-footprint - sip-bypass - encrypted-volume - container-imaging - minimal-contamination - scripting-capable - macos-specific related_concepts: - Digital Evidence Chain of Custody - name: Rapid Incident Response Triage on macOS icon: 🚨 type: method description: >- Spezialisierte Methodik für schnelle forensische Triage auf macOS-Systemen optimiert für Enterprise-Incident-Response. Priorisiert flüchtige Artefakte und kritische Indicators of Compromise (IOCs) für Entscheidungen in unter 60 Minuten. Sammlung ohne Full-Disk-Imaging: Prozesslisten, Netzwerk- verbindungen, LaunchAgents/Daemons, Quarantine-Events, TCC-Datenbank. Besondere macOS-Artefakte: Unified Logs, FSEvents, Spotlight-Metadaten, XProtect-Detections. Tools wie Aftermath oder osquery automatisieren Datensammlung. Die Methodik adressiert macOS-spezifische Herausforderungen: SIP, Gatekeeper, Code-Signing-Verifizierung. Timeline-Erstellung aus ASL/ULS für Ereigniskorrelation. Besonders wertvoll für MDM-verwaltete Flotten mit hunderten Macs. Die Dokumentation für Remote-Collection via SSH/ARD. Post-Triage-Entscheidung: Full-Forensics oder Neuinstallation. Anpassbar für verschiedene Bedrohungsszenarien von Malware bis Insider-Threats. domains: - incident-response - static-investigations - malware-analysis phases: - data-collection - examination platforms: [] related_software: - Aftermath - osquery - Fuji domain-agnostic-software: null skillLevel: intermediate accessType: null url: >- https://www.sans.org/white-papers/rapid-incident-response-on-macos-actionable-insights-under-hour/ projectUrl: null license: null knowledgebase: null tags: - triage - fast-scan - apfs - selective-imaging - macos-artifacts - unified-logs - launch-agents - quarantine-events - remote-collection - mdm-compatible - timeline-focused - sip-aware related_concepts: - Digital Evidence Chain of Custody - name: Aftermath icon: 🎯 type: software description: >- Jamfs Open-Source-Juwel für macOS-Forensik sammelt systematisch Artefakte ohne Full-System-Image. Optimiert für Incident-Response mit minimalem System-Impact. Extrahiert kritische Daten: laufende Prozesse, Netzwerk- verbindungen, installierte Software, Persistence-Mechanismen. Besonders wertvoll: Unified-Log-Parser für System-Events, Browser-Artefakte aller Major-Browser, Quick-Look-Thumbnails, FSEvents für Dateiaktivitäten. Die modulare Architektur erlaubt selektive Sammlung. Output in strukturierten JSON/CSV für einfache Analyse. Zeitstempel-Normalisierung für Timeline-Erstellung. Unterstützt moderne macOS-Security-Features: TCC-Permissions, Code-Signing-Status, XProtect-Matches. Die Remote- Collection via MDM/SSH skaliert auf Unternehmensflotten. Besonders clever: Sammlung von Cloud-Synchronisations-Artefakten (iCloud, Dropbox). Regelmäßige Updates für neue macOS-Versionen. Die Alternative zu teuren kommerziellen Mac-Forensik-Suiten. domains: - incident-response - static-investigations - malware-analysis phases: - data-collection - examination platforms: - macOS related_software: - osquery - KAPE domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/jamf/aftermath/ projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - command-line - triage - system-metadata - apfs - time-normalization - structured-output - unified-log-parser - browser-artifacts - persistence-checks - tcc-analysis - remote-capable - json-export related_concepts: - Digital Evidence Chain of Custody - name: RegRipper icon: 🔑 type: software description: >- Harlan Carveys Registry-Analyse-Framework revolutioniert Windows-Forensik durch Plugin-basierte Automatisierung. Über 300 Plugins extrahieren spezifische Artefakte aus Registry-Hives: USB-Historie, installierte Software, User-Aktivitäten, Malware-Spuren. Die Perl-basierte Architektur ermöglicht einfache Plugin-Entwicklung für neue Artefakte. Besonders wertvoll: Timeline-Plugins für zeitbasierte Analyse, RegRipper-Reports im strukturierten Format, automatische Korrelation zwischen Hives. Profile-System gruppiert Plugins nach Untersuchungstyp (Malware, User- Activity, Network). Die Community teilt ständig neue Plugins für aktuelle Bedrohungen. Integration mit anderen Tools über CSV-Export. Besonders stark bei APT-Investigations: Services-Analyse, Run-Keys, Scheduled-Tasks. Die Plugin-Dokumentation erklärt forensische Relevanz jedes Artefakts. Version 3.0 modernisiert für aktuelle Windows-Versionen. Der Time-Saver für Registry-Deep-Dives - was manuell Stunden dauert, erledigt RegRipper in Minuten. domains: - incident-response - static-investigations - malware-analysis phases: - examination - analysis platforms: - Windows - Linux related_software: - Eric Zimmerman Tools domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/keydet89/RegRipper3.0 projectUrl: '' license: MIT knowledgebase: false tags: - command-line - registry-hives - plugin-support - scenario:windows-registry - usb-history - artifact-parser - timeline-analysis - malware-detection - user-activity - batch-processing - profile-based - community-plugins - scenario:persistence related_concepts: - Digital Evidence Chain of Custody - name: Strings icon: 🔤 type: software description: >- Das unterschätzte Basis-Tool extrahiert lesbare ASCII- und Unicode-Strings aus Binärdateien - oft der erste Hinweis auf Malware-Funktionalität. Findet URLs für C2-Server, Hardcoded-Passwords, Pfadangaben, Error-Messages. Die Sysinternals-Version (Windows) bietet GUI und erweiterte Features. GNU-Strings (Linux) integriert perfekt in Pipe-Workflows. Encoding-Options (-e) für Unicode-Varianten essentiell bei modernen Samples. Minimum-Length (-n) filtert Rauschen. Offset-Anzeige (-o) für spätere Hex-Editor-Analyse. Besonders wertvoll: Kombination mit grep für Pattern-Matching, Sort/Uniq für Häufigkeitsanalyse, Integration in automatisierte Malware-Triage. Die Einfachheit täuscht - erfahrene Analysten extrahieren erstaunliche Intelligence. Perfekt für verschlüsselte/gepackte Malware wenn Strings im Unpacking-Stub verbleiben. Output oft Ausgangspunkt für YARA-Rules. Das 5-Minuten-Tool das Stunden detaillierter Analyse spart. domains: - incident-response - malware-analysis - static-investigations phases: - examination platforms: - Windows - Linux - macOS related_software: null domain-agnostic-software: null skillLevel: novice accessType: Linux (GNU-Utils) url: https://docs.microsoft.com/en-us/sysinternals/downloads/strings projectUrl: '' license: Proprietary/GPL knowledgebase: false tags: - command-line - string-search - binary-decode - triage - cross-platform - fast-scan - unicode-support - pattern-extraction - malware-triage - c2-discovery - password-finding - pipe-friendly related_concepts: - Regular Expressions (Regex) - name: PhotoRec icon: 📸 type: software description: >- Der Datenretter ignoriert Dateisysteme und findet gelöschte Dateien durch Signature-Scanning - selbst nach Formatierung. Über 300 Dateiformate von JPEGs über Office-Dokumente bis zu verschlüsselten Archives. Die Companion- Software TestDisk repariert zusätzlich Partitionstabellen. Arbeitet read-only für forensische Integrität. Besonders stark: Recovery von FAT/NTFS/ext-Systemen, Rettung von SD-Karten und USB-Sticks, funktioniert bei beschädigten Dateisystemen. Die Brute-Force-Methode findet Dateien die andere Tools übersehen. Konfigurierbare Signaturen für spezielle Formate. Der Paranoid-Mode prüft jeden Sektor. Besonders wertvoll für Multimedia-Recovery bei Kinderpornografie-Fällen. Die Text-UI wirkt antiquiert, aber die Effektivität ist unübertroffen. Batch-Mode für automatisierte Recovery. Die freie Lizenz und Cross-Platform-Support machen es zum Standard-Tool weltweit. Oft letzte Hoffnung wenn kommerzielle Tools versagen. domains: - incident-response - static-investigations - fraud-investigation phases: - examination platforms: - Windows - Linux - macOS related_software: null domain-agnostic-software: null skillLevel: beginner accessType: download url: https://www.cgsecurity.org/wiki/PhotoRec projectUrl: '' license: GPL-2.0 knowledgebase: false tags: - gui - file-carving - deleted-file-recovery - scenario:file_recovery - signature-analysis - cross-platform - filesystem-agnostic - multimedia-recovery - partition-recovery - read-only-mode - batch-capable - custom-signatures related_concepts: - Digital Evidence Chain of Custody - name: Thumbcache Viewer icon: 🖼️ type: software description: >- Windows speichert Miniaturansichten aller betrachteten Bilder in versteckten thumbcache_*.db Dateien - ein Goldschatz für Forensiker. Das Tool extrahiert diese Thumbnails inklusive EXIF-Zeitstempel, selbst wenn Originalbilder längst gelöscht sind. Beweist unwiderlegbar, dass Bilder auf dem System vorhanden waren. Besonders wertvoll bei CSAM-Ermittlungen und Datendiebstahl. Die verschiedenen Auflösungen (32, 96, 256, 1024) zeigen Detailgrade. Timestamp-Analyse rekonstruiert Betrachtungszeitpunkte. Export als einzelne Bilder oder HTML-Report. Die GUI macht es auch für nicht-technische Ermittler zugänglich. Unterstützt Windows Vista bis 11. Der Batch-Mode verarbeitet mehrere Thumbcache-Dateien. Hash-Matching gegen bekannte CSAM-Datenbanken möglich. Integration mit Timeline-Tools über CSV-Export. Die kostenlose Lizenz demokratisiert wichtige Forensik-Fähigkeiten. Oft der entscheidende Beweis in Kinderschutz-Fällen. domains: - static-investigations - fraud-investigation - incident-response phases: - examination - analysis platforms: - Windows related_software: null domain-agnostic-software: null skillLevel: beginner accessType: download url: https://thumbcacheviewer.github.io/ projectUrl: '' license: GPL-3.0 knowledgebase: false tags: - gui - deleted-file-recovery - metadata-parser - triage - system-metadata - thumbnail-analysis - exif-extraction - csam-investigation - timeline-creation - batch-processing - html-reporting - hash-export related_concepts: - Digital Evidence Chain of Custody - name: MaxMind GeoIP type: software description: >- Die Geolocation-Datenbank-Lösung übersetzt IP-Adressen in geografische Standorte für Threat-Intelligence und Incident-Attribution. GeoLite2 (kostenlos) bietet Stadt-Level-Genauigkeit für die meisten IPs weltweit. Die kommerzielle GeoIP2 erhöht Präzision und fügt ISP/Organisation-Daten hinzu. Besonders wertvoll: VPN/Proxy-Erkennung identifiziert verschleierte Verbindungen, Anonymous-IP-Datenbank für Tor/Hosting-Provider, Accuracy- Radius zeigt Konfidenz. Die wöchentlichen Updates halten mit IP-Allokationen Schritt. APIs für alle Major-Programmiersprachen ermöglichen Integration in Forensik-Workflows. Bulk-Processing für Log-Analyse. Die historischen Datenbanken ermöglichen Geolocation zum Tatzeitpunkt. GDPR-konform durch Verzicht auf Tracking. Der Offline-Modus schützt sensible Ermittlungsdaten. Integration in Splunk, ELK, und andere SIEMs. Die Genauigkeit variiert nach Region - Europa/USA präziser als Entwicklungsländer. Standard für Geo-Attribution in der Forensik. domains: - incident-response - fraud-investigation - network-forensics phases: - analysis skillLevel: beginner url: https://www.maxmind.com/ icon: 🌍 platforms: - Windows - Linux - macOS accessType: download license: GeoLite2 EULA / Commercial knowledgebase: false tags: - api - geolocation - data-enrichment - cross-platform - automation-ready - offline-mode - vpn-detection - proxy-identification - bulk-processing - accuracy-metrics - historical-data - gdpr-compliant related_concepts: null related_software: null - name: SIFT Workstation type: software description: >- SANS Investigative Forensic Toolkit vereint über 500 Open-Source-Tools in einer kuratierten Ubuntu-Distribution. Rob Lees Vision einer kostenlosen Alternative zu kommerziellen Suiten wurde Realität. Vorinstalliert und konfiguriert: Autopsy, Volatility, Plaso, Registry-Tools, Timeline-Analyzer. Die DFIR-Menüstruktur gruppiert Tools nach Untersuchungsphasen. Besonders wertvoll: Vorkonfigurierte Python-Umgebungen, aktualisierte Tool-Versionen, integrierte Dokumentation. REMnux-Integration für Malware-Analyse. Die VM kann als Appliance oder WSL2 laufen. Regelmäßige Updates durch SANS- Community. Die mitgelieferten Cheat-Sheets beschleunigen Einarbeitung. mount-image-pro automatisiert Evidence-Mounting. SIFT-CLI verwaltet Updates. Die kostenlosen Workbooks führen durch typische Untersuchungen. Performance optimiert für Forensik-Workloads. Die Alternative wenn Budget für kommerzielle Tools fehlt. domains: - incident-response - static-investigations - malware-analysis - network-forensics - mobile-forensics skillLevel: intermediate url: https://www.sans.org/tools/sift-workstation/ icon: 🧰 platforms: - OS accessType: download license: Free / Mixed knowledgebase: false related_software: - REMnux - CAINE - Kali Linux domain-agnostic-software: - specific-os tags: - gui - command-line - cross-platform - write-blocker - live-acquisition - signature-updates - tool-collection - documentation-rich - training-focused - vm-ready - wsl2-compatible - community-maintained related_concepts: null - name: Tsurugi Linux type: software description: >- Die Forensik-Distribution kombiniert Tools für ultimative Ermittlungs-Power. Spezialisiert auf Mobile- und Malware-Forensik mit einzigartigen Features. Der integrierte Hardware-Write-Blocker verhindert Beweis-Kontamination. Bento-Menü organisiert Tools nach japanischer Effizienz-Philosophie. Besonders stark: Android-Forensik-Suite mit ADB-Automatisierung, iOS-Backup-Analyzer, umfangreiche Malware-Sandbox. Die Acquire-Edition ist optimiert für schnelles Imaging mit minimalem RAM. Performance- Kernel speziell für Forensik-Hardware. Einzigartig: Integrierte Übersetzungs-Tools für internationale Ermittlungen, Unterstützung asiatischer Zeichensätze, LINE-Messenger-Parser. Die 64-Bit-Only- Architektur nutzt modernen RAM voll aus. Live-Patching hält Tools aktuell ohne Neustart. Der Stealth-Mode deaktiviert alle Netzwerk- Interfaces. Die Alternative für Ermittler die mehr als Standard-Distributionen wollen. domains: - incident-response - static-investigations - malware-analysis - mobile-forensics skillLevel: intermediate url: https://tsurugi-linux.org/ icon: ⛩️ platforms: - OS accessType: download license: GPL / Mixed knowledgebase: false related_software: - CAINE - Kali Linux domain-agnostic-software: - specific-os tags: - gui - write-blocker - live-acquisition - triage - forensic-snapshots - selective-imaging - mobile-focused - malware-sandbox - asian-language - hardware-writeblock - performance-kernel - stealth-mode related_concepts: null - name: Parrot Security OS type: software description: >- Die Privacy-fokussierte Alternative zu Kali Linux mit eingebautem Anonymisierungs-Framework. AnonSurf routet Traffic durch Tor für verdeckte Ermittlungen. Forensik-Tools treffen auf Pentesting-Arsenal in datenschutzfreundlicher Umgebung. Rolling-Release hält 600+ Tools aktuell ohne Neuinstallation. Der ressourcenschonende MATE-Desktop läuft flüssig auf älteren Laptops. Besonders wertvoll: Eingebaute Kryptographie-Tools, sichere Kommunikations-Apps, Sandbox für Malware. Die Forensik-Edition fokussiert auf Incident-Response. Docker-Support für Tool-Isolation. ARM-Versionen für Raspberry Pi und Mobile-Forensik. Die italienische Entwicklung bringt europäische Datenschutz-Werte. Mehrere Desktop-Umgebungen wählbar. Live-Boot mit Persistence für Feldarbeit. Der AppArmor-Schutz härtet gegen Exploits. Community kleiner aber engagierter als Kali. Perfekt für Ermittler die Privatsphäre und Sicherheit priorisieren. domains: - incident-response - static-investigations - malware-analysis - network-forensics skillLevel: intermediate url: https://parrotsec.org/ icon: 🦜 platforms: - OS accessType: download license: GPL-3.0 knowledgebase: false related_software: - Kali Linux domain-agnostic-software: - specific-os tags: - gui - command-line - live-acquisition - encrypted-traffic - secure-sharing - anonymous-analysis - privacy-focused - tor-integration - rolling-release - lightweight - arm-support - docker-ready related_concepts: null - name: LibreOffice icon: 📄 type: software description: >- Die freie Office-Suite ist mehr als nur Dokumentenerstellung - ein unterschätztes Forensik-Werkzeug. Calc verarbeitet massive CSV-Logs und Datenbank-Exporte mit Pivot-Tabellen und Filtern. Die Makro-Sprache automatisiert wiederkehrende Analysen. Writer erstellt gerichtsfeste Reports mit Inhaltsverzeichnis und Querverweisen. Besonders wertvoll: Import obskurer Dateiformate die Microsoft Office ablehnt, Reparatur korrupter Dokumente, Metadaten-Anzeige fremder Files. Die Version-History in Dokumenten enthüllt Bearbeitungen. Draw visualisiert Netzwerk-Diagramme und Timelines. Base als Frontend für SQLite-Forensik-Datenbanken. Die PDF-Export-Optionen mit Sicherheitseinstellungen für vertrauliche Reports. Kompatibilität mit allen gängigen Formaten. Die Portable-Version läuft von USB ohne Installation. Extensions erweitern für spezielle Aufgaben. Kostenlos aber professionell - spart Lizenzbudget für Spezial-Tools. Der Standard für Forensik-Dokumentation weltweit. domains: - incident-response - static-investigations - malware-analysis - fraud-investigation - network-forensics - mobile-forensics - cloud-forensics - ics-forensics phases: - examination - analysis - reporting platforms: - Windows - Linux - macOS related_software: - Microsoft Office 365 domain-agnostic-software: - collaboration-general skillLevel: novice accessType: download url: https://www.libreoffice.org/ projectUrl: '' license: Mozilla Public License Version 2.0 knowledgebase: false tags: - gui - reporting - csv-export - cross-platform - macro-automation - visualization - document-analysis - metadata-viewer - portable-version - format-converter - pdf-creation - free-alternative related_concepts: null - name: Microsoft Office 365 type: software description: >- Der Industriestandard bietet mehr als Textverarbeitung - ein mächtiges Forensik-Analyse-Toolkit. Excel's Power Query transformiert komplexe Log-Dateien in aussagekräftige Visualisierungen. Power Pivot verarbeitet Millionen Datensätze für Big-Data-Forensik. Die Kollaborations-Features ermöglichen Echtzeit-Teamarbeit an Ermittlungen. Besonders wertvoll: Cloud-Storage für große Beweis-Sammlungen, Version-History für Audit-Trails, Advanced eDiscovery für Compliance. Teams integriert sichere Kommunikation. Der Compliance-Manager dokumentiert Datenschutz-konform. OneNote sammelt Notizen und Screenshots strukturiert. Die KI-Features in Editor verbessern Report-Qualität. Makros automatisieren Routine-Analysen. Die Mobile-Apps ermöglichen Feld-Dokumentation. Power Automate verbindet mit Forensik-Tools. Der Industriestandard hat seinen Preis, aber die Integration und Support sind unübertroffen. Vorsicht: Cloud-Storage kann Datenschutz-problematisch sein für sensible Ermittlungen. domains: - incident-response - static-investigations - malware-analysis - fraud-investigation - network-forensics - mobile-forensics - cloud-forensics - ics-forensics phases: - examination - analysis - reporting skillLevel: novice url: https://www.office.com/ icon: 📊 platforms: - Windows - macOS - Web accessType: commercial license: Proprietary knowledgebase: false related_software: - LibreOffice domain-agnostic-software: - collaboration-general tags: - gui - web-interface - commercial - collaboration - visualization - cloud-artifacts - power-query - ediscovery - version-control - team-integration - mobile-apps - automation-capable related_concepts: null - name: EnCase icon: 🔍 type: software description: >- Der Veteran der digitalen Forensik seit 1997 - in vielen Behörden noch immer verwendet. EnScript-Programmierung ermöglicht komplexe Automatisierungen die andere Tools nicht bieten. Die Gerichtserfahrung ist unübertroffen - tausende erfolgreiche Verfahren weltweit. Version 21 modernisiert die alternde Architektur mit Cloud-Forensik und Mobile-Support. Besonders stark: Evidence-Processor für Batch-Verarbeitung, umfangreiche Dateisystem-Unterstützung, integrierte Hex-Ansicht. Die EnCE-Zertifizierung öffnet Karrieretüren. Physical-Analyzer-Modul für Smartphones konkurriert mit Cellebrite. Die Case-Management-Features skalieren auf Großverfahren. Nachteile: Hohe Kosten (20.000€+), steile Lernkurve, Performance-Probleme bei großen Images. OpenText-Übernahme bringt Unsicherheit. Der Dongle-Schutz nervt im Feldeinsatz. Viele wechseln zu moderneren Alternativen, aber für EnScript-Power-User noch immer unverzichtbar. Das Prestige-Tool das langsam seine Krone verliert. domains: - static-investigations - incident-response - mobile-forensics phases: - data-collection - examination - analysis - reporting platforms: - Windows related_software: - FTK Imager - X-Ways Forensics - Autopsy domain-agnostic-software: null skillLevel: intermediate accessType: commercial url: https://www.opentext.com/products/encase-forensic projectUrl: '' license: Proprietary knowledgebase: false tags: - gui - commercial - scripting - court-admissible - case-management - dongle-license - enscript - evidence-processor - batch-capable - certification-path - legacy-standard - enterprise-scale related_concepts: - Digital Evidence Chain of Custody - name: FRED icon: 🖥️ type: software description: >- Forensic Recovery of Evidence Device - die High-End-Hardware-Lösung für professionelle Forensik-Labore. Kombiniert Workstation, Imager und Write-Blocker in einem System. Die UltraBay-Technologie ermöglicht Hot-Swap von bis zu 8 Laufwerken gleichzeitig. Eingebaute Hardware- Write-Blocker für alle gängigen Interfaces: SATA, SAS, IDE, USB, FireWire. Die RAID-Rekonstruktion arbeitet mit defekten Arrays. Besonders wertvoll: Paralleles Imaging mehrerer Evidenzen, Hardware- beschleunigte Hashing, Unterstützung exotischer Formate. Die Touchscreen- Konsole steuert Imaging-Vorgänge. Field-Kit-Version für Vor-Ort-Einsätze. Integration mit FTK, EnCase, X-Ways. Die Workstation-Komponente analysiert während des Imaging. Der hohe Preis macht es zur Investition für High-Volume-Labs. Der Support durch Digital Intelligence ist erstklassig. Die modulare Bauweise erlaubt Upgrades. Für kleine Teams Overkill, für Behörden-Labs oft Standard. Die Hardware-Zuverlässigkeit rechtfertigt den Premium-Preis. domains: - static-investigations - incident-response phases: - data-collection platforms: - Hardware related_software: null domain-agnostic-software: null skillLevel: intermediate accessType: commercial url: https://www.digitalintelligence.com/products/fred/ projectUrl: '' license: Proprietary knowledgebase: false tags: - gui - commercial - write-blocker - physical-copy - scenario:disk_imaging - multithreaded - hardware-solution - hot-swap - raid-recovery - parallel-imaging - touch-control - lab-equipment related_concepts: - Digital Evidence Chain of Custody - name: GraphSense icon: 📊 type: software description: >- Die Open-Source-Blockchain-Analyse-Plattform aus Österreich bietet eine datenschutzfreundliche Alternative zu US-Diensten. Attributions- freie Analyse respektiert Privatsphäre während Ermittlungen. Der Clustering-Algorithmus gruppiert Adressen zu Entities basierend auf Heuristiken. TagPacks ermöglichen kollaboratives Labeling bekannter Services. Die Apache-Cassandra-Architektur skaliert auf Milliarden Transaktionen. REST-API für Tool-Integration. Unterstützt Bitcoin, Ethereum, Litecoin mit wachsender Liste. Besonders wertvoll: Graphbasierte Visualisierung von Geldflüssen, Risiko-Scores ohne externe Abhängigkeiten, Self-Hosting für sensible Ermittlungen. Die akademische Herkunft (AIT) garantiert Transparenz. Docker-Deployment vereinfacht Installation. Die Attributions-Qualität erreicht noch nicht Chainalysis-Niveau, verbessert sich aber stetig. EU-Förderung sichert Weiterentwicklung. Perfekt für Organisationen die Blockchain-Forensik ohne US-Cloud-Abhängigkeit benötigen. Die Zukunft der souveränen Krypto-Ermittlungen. domains: - static-investigations - fraud-investigation - incident-response phases: - analysis - reporting platforms: - Web related_software: - Chainalysis - Maltego - Neo4j domain-agnostic-software: null skillLevel: intermediate accessType: server-based url: https://graphsense.org/ projectUrl: '' license: MIT knowledgebase: false tags: - web-interface - blockchain-analysis - opensource - visualization - anomaly-detection - correlation-engine - privacy-preserving - self-hosted - clustering-algorithm - tagpack-system - academic-backing - eu-compliant related_concepts: - Hash Functions & Digital Signatures - name: Gitea icon: 🍵 type: software description: >- Das federleichte Git-Repository-System perfekt für Forensik-Teams die ihre Tools und Dokumentation versionieren. Go-basierte Architektur läuft ressourcenschonend auf Raspberry Pi bis Enterprise-Server. Die intuitive Web-UI macht Git zugänglich für weniger technische Teammitglieder. Besonders wertvoll für Forensik: Versionierung von YARA-Rules, IOC-Listen, Analysis-Scripts, Case-Dokumentation. Die eingebaute CI/CD-Pipeline (Actions) automatisiert Tool-Deployments und Qualitätschecks. Issue-Tracker organisiert Ermittlungs-Tasks. Wiki dokumentiert Prozeduren. Der Code-Review-Workflow sichert Vier-Augen-Prinzip. Pull-Request-Templates standardisieren Contributions. Die API integriert mit Forensik-Workflows. Mirror-Funktionen synchronisieren externe Repositories. Niedrige Systemanforderungen erlauben Hosting im eigenen Lab. Die Migration von GitHub/GitLab ist nahtlos. Perfekt für Teams die Kontrolle über ihre Forensik- Artefakte behalten wollen ohne Cloud-Abhängigkeit. Der Community- Fork von Gogs mit aktiverer Entwicklung. domains: - incident-response - malware-analysis - static-investigations phases: - reporting platforms: - Web related_software: null domain-agnostic-software: - collaboration-general skillLevel: beginner accessType: server-based url: https://gitea.io/ projectUrl: https://git.cc24.dev license: MIT knowledgebase: null statusUrl: https://status.mikoshi.de/api/badge/18/status tags: - web-interface - version-control - git-integration - collaboration - multi-user-support - automation-ready - ci-cd-actions - issue-tracking - wiki-system - code-review - api-driven - lightweight related_concepts: - Digital Evidence Chain of Custody - name: ICSpector type: software description: >- Microsofts Open-Source-Framework revolutioniert Industrial-Control-System- Forensik mit spezialisierten Tools für SCADA/PLC-Untersuchungen. Extrahiert Metadaten aus Siemens S7, Rockwell, Schneider Electric Controllern. Die Python-basierte Architektur parst proprietäre Protokolle und Dateiformate. Besonders wertvoll: Ladder-Logic-Extraktion zeigt manipulierte Programme, Configuration-Diff erkennt unauthorized Changes, Network-Capture-Analyse für ICS-Protokolle (Modbus, DNP3, IEC-104). Timeline-Rekonstruktion aus Historian-Daten. Die Plugin-Architektur erlaubt Erweiterung für neue Hersteller. Integration mit Wireshark-Dissectors. Unterstützt sowohl Live-Systeme als auch Offline-Images. Die Dokumentation erklärt ICS-Besonderheiten für IT-Forensiker. Besonders relevant nach Stuxnet und zunehmenden ICS-Angriffen. Die Community wächst mit kritischer Infrastruktur-Bedeutung. Füllt die Lücke zwischen IT- und OT-Forensik. Unverzichtbar für Kraftwerke, Wasserversorgung, Produktionsanlagen. Die Zukunft der Infrastruktur-Forensik beginnt hier. domains: - ics-forensics - incident-response - malware-analysis phases: - data-collection - examination - analysis skillLevel: advanced url: https://github.com/microsoft/ics-forensics-tools icon: 🏭 platforms: - Windows - Linux - macOS accessType: download license: MIT knowledgebase: false tags: - command-line - system-metadata - artifact-parser - cross-platform - scripting - opensource - plc-analysis - scada-forensics - ladder-logic - protocol-parser - configuration-analysis - ot-security related_concepts: - Digital Evidence Chain of Custody related_software: - Wireshark - name: Impacket icon: 🔨 type: software description: >- Die Python-Bibliothek ist das Schweizer Taschenmesser für Windows- Netzwerk-Forensik und Living-off-the-Land. Über 50 Beispiel-Scripts demonstrieren mächtige Capabilities: smbexec.py für Remote-Execution, secretsdump.py extrahiert Hashes, wmiexec.py für WMI-basierte Forensik. Die Low-Level-Protokoll-Implementation ermöglicht granulare Kontrolle. Besonders wertvoll für Incident-Response: Remote-Registry-Zugriff ohne Agent, Kerberos-Ticket-Extraktion, NTLM-Relay-Detection. psexec.py als forensische Alternative zu SysInternals. Die DCSync-Funktionalität hilft bei Domain-Kompromittierungen. SMB/MSRPC-Parser für Traffic-Analyse. Integration in Forensik-Frameworks wie Volatility. Die aktive SecureAuth- Entwicklung hält mit Windows-Updates Schritt. Dokumentation erklärt Windows-Interna für Linux-Forensiker. Vorsicht: Viele Features sind dual-use - klare Policies nötig. Die ethische Nutzung unterscheidet Forensiker von Angreifern. Unverzichtbar für moderne Windows-Forensik ohne Microsoft-Tools. domains: - incident-response - network-forensics - malware-analysis phases: - data-collection - examination platforms: - Linux - Windows - macOS related_software: null domain-agnostic-software: null skillLevel: advanced accessType: download url: https://github.com/SecureAuthCorp/impacket projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - command-line - remote-collection - scripting - scenario:persistence - protocol-decode - live-process-view - windows-protocols - credential-extraction - lateral-movement - registry-access - wmi-forensics - python-library - scenario:credential_theft related_concepts: - Digital Evidence Chain of Custody - name: Kismet icon: 📡 type: software description: >- Der Wireless-Netzwerk-Detektor und Sniffer findet versteckte WLANs, Rogue-Access-Points und verdächtige Clients. Passives Monitoring ohne Aussenden von Probe-Requests macht es ideal für verdeckte Ermittlungen. Unterstützt 802.11a/b/g/n/ac und moderne Standards. Die GPS-Integration ermöglicht War-Driving mit präziser Standort-Zuordnung. Besonders wertvoll: Erkennung von Deauth-Attacks, Evil-Twin-APs, Client-Isolation- Bypasses. Die Plugin-Architektur erweitert für Bluetooth, Zigbee, andere Funkprotokolle. REST-API für Integration in SOC-Dashboards. Der Distributed-Mode koordiniert mehrere Sensoren. PCAP-Export für Wireshark-Analyse. Die Alert-Engine meldet Sicherheitsverletzungen. Web-UI visualisiert Netzwerk-Topologie. Besonders stark bei Firmen- WLAN-Audits und Incident-Response. Die Log-Correlation findet Zusammenhänge zwischen Events. Unterstützt Software-Defined-Radios für erweiterte Frequenzbereiche. Die Community-Entwicklung fokussiert auf Praktiker-Bedürfnisse. Standard-Tool für Wireless-Forensik weltweit. domains: - incident-response - network-forensics phases: - data-collection - examination platforms: - Linux related_software: - Aircrack-ng - WiFi Pineapple - Wireshark domain-agnostic-software: null skillLevel: advanced accessType: download url: https://www.kismetwireless.net/ projectUrl: '' license: GPL-2.0 knowledgebase: false tags: - gui - pcap-capture - geolocation - live-acquisition - anomaly-detection - wireless-analysis - passive-monitoring - gps-mapping - multi-protocol - distributed-sensors - api-enabled - wardrive-capable related_concepts: null - name: ArcGIS type: software description: >- Esris kommerzielle GIS-Plattform transformiert forensische Geodaten in aussagekräftige räumliche Analysen für Ermittlungen. Besonders wertvoll für komplexe Bewegungsprofile aus GPS-Logs, Cell-Tower-Triangulation und Fahrzeug-Telematik. Die ArcMap-Desktop-Anwendung bietet erweiterte Spatial-Queries: Buffer-Analysen identifizieren Verdächtige in Tatort-Nähe, Hot-Spot-Detection findet Kriminalitätsschwerpunkte, Network-Analyst berechnet optimale Fluchtrouten. Integration mit Datenbanken ermöglicht Korrelation von Orten mit Personen, Fahrzeugen, Kommunikation. Die 3D-Scene-Funktionen rekonstruieren Tatorte photorealistisch. Crime-Mapping- Extensions speziell für Strafverfolgung. Der Enterprise-Fokus bedeutet hohe Kosten (ab 7.000€) und Schulungsaufwand, aber bewährte Kompetenz für Geo-Intelligence. skillLevel: intermediate url: https://www.esri.com/arcgis icon: 🌍 domains: - fraud-investigation - network-forensics phases: - reporting tags: - mapping - visualization related_concepts: null platforms: - Windows - macOS accessType: commercial license: Proprietary knowledgebase: false - name: Binary Ninja type: software description: >- Vector 35s moderne Reverse-Engineering-Plattform kombiniert traditionelle Disassembly mit fortschrittlicher Program-Analysis. Die Multi-Level-IR (Intermediate Representation) ermöglicht Cross-Architecture-Analysen durch einheitliche Abstraktion. Besonders innovativ: Der Decompiler erzeugt lesbaren High-Level-Code, Type-Recovery rekonstruiert Datenstrukturen automatisch, die Plugin-API (Python/C++) erlaubt tiefe Customization. Cloud-Integration synchronisiert Analysen zwischen Teams. Die moderne GUI mit Multiple-Workspaces übertrifft IDA in Usability. Debugger-Integration für Dynamic-Analysis. Scripting-Console für Ad-hoc-Automation. Die Personal-License (399€) macht professionelle Binary-Analysis erschwinglich. Commercial-Lizenzen bieten Team-Features und Cloud-Sync. Besonders stark bei modernen Architekturen (ARM64, RISC-V) die IDA vernachlässigt. Die Zukunft des Reverse Engineering für eine neue Generation von Analysten. skillLevel: advanced url: https://binary.ninja icon: 🛠️ domains: - malware-analysis - static-investigations phases: - analysis tags: - reverse-engineering - decompiler related_concepts: null platforms: - Windows - macOS - Linux accessType: commercial license: Proprietary knowledgebase: false - name: CapLoader type: software description: >- Das Windows-Tool revolutioniert die Analyse großer PCAP-Sammlungen durch intelligente Indexierung und Flow-Rekonstruktion. Lädt Multi-GB-Captures in Sekunden und ermöglicht blitzschnelle Filterung nach Protokollen, Timeframes oder Keyword-Patterns. Besonders wertvoll: Automatische Flow-Reassembly rekonstruiert komplette TCP-Sessions, HTTP-Objects- Extraktion speichert übertragene Dateien, Credential-Harvesting findet Klartext-Passwörter in Streams. Die Timeline-Ansicht visualisiert Traffic-Patterns über Zeit. Batch-Export zu NetworkMiner oder Wireshark für Detailanalyse. Performance-optimiert für Forensiker die täglich mit großen Packet-Captures arbeiten. Integration mit NetWitness und anderen Enterprise-NSM-Lösungen. Der Workflow beschleunigt Incident- Response erheblich durch Vorsortierung relevanter Flows. skillLevel: intermediate url: https://www.netresec.com/?page=CapLoader icon: 📡 domains: - network-forensics phases: - examination - analysis tags: - pcap-analysis - flow-extraction - timeline-view - credential-extraction - file-reconstruction - batch-processing related_concepts: null platforms: - Windows accessType: commercial license: Proprietary knowledgebase: false - name: Collabora Online type: software description: >- Web‑basierte Open‑Source‑Office‑Suite mit kompletter Dokumenten‑Bearbeitung und Live‑Kollaboration. skillLevel: beginner url: https://www.collaboraonline.com icon: 📝 domains: - collaboration-general phases: - reporting tags: - office - collaboration platforms: - Linux - Windows accessType: download license: "MPL\_/ AGPL" knowledgebase: false - name: ShadowExplorer icon: 🗂️ type: software description: >- Das schlanke Windows-Tool macht Volume-Shadow-Copy-Snapshots auch in Home-Editionen sichtbar und erlaubt das komfortable Durchstöbern sowie Wiederherstellen früherer Datei-Versionen. Damit lassen sich versehentlich gelöschte oder überschriebene Dateien in Sekunden zurückholen – geeignet für schnelle Triage und klassische Datenträgerforensik. domains: - static-investigations - incident-response phases: - examination - analysis platforms: - Windows related_software: - OSFMount - PhotoRec domain-agnostic-software: null skillLevel: novice accessType: download url: https://www.shadowexplorer.com/ license: Freeware knowledgebase: false tags: - gui - shadow-copy - snapshot-browsing - file-recovery - previous-versions - scenario:file_recovery - point-in-time-restore related_concepts: - Digital Evidence Chain of Custody - name: Sonic Visualiser icon: 🎵 type: software description: >- Die Open-Source-Audio-Analyse-Suite wird in der Forensik eingesetzt, um Wave- und Kompressionsformate bis auf Sample-Ebene zu untersuchen. Spektrogramm-Visualisierung, Zeit-/Frequenz-Annotationen und Transkriptions-Plugins (Vamp) helfen, Manipulationen wie Bandpass-Filter, Time-Stretching oder Insert-Edits nachzuweisen. FFT- und Mel-Spectral-Views decken versteckte Audio-Watermarks oder Steganografie auf. Export-Funktionen in CSV/JSON erlauben die Weiterverarbeitung in Python-Notebooks oder SIEM-Pipelines. Ideal für Voice-Authentication-Checks, Deep-Fake-Erkennung und Beweisaufbereitung vor Gericht. skillLevel: intermediate url: https://www.sonicvisualiser.org/ domains: - static-investigations - fraud-investigation phases: - examination - analysis - reporting platforms: - Windows - Linux - macOS accessType: download license: GPL-2.0 knowledgebase: false tags: - gui - audio-forensics - spectrogram - plugin-support - annotation - csv-export related_concepts: [] related_software: - Audacity - name: Dissect icon: 🧩 type: software description: >- Fox-ITs Python-Framework abstrahiert Windows- und Linux-Speicherabbilder in virtuelle Objekte (Prozesse, Dateien, Registry, Kernel-Strukturen), ohne zuvor ein Profil definieren zu müssen. Modularer Hypervisor-Layer erlaubt das Mounten und gleichzeitige Analysieren mehrerer Memory-Dumps – perfekt für großflächige Incident-Response. Plugins dekodieren PTEs, handle tables, APC-Queues und liefern YARA-kompatible Scans. Die Zero-Copy-Architektur beschleunigt Queries auf Multi-GB-Images signifikant. Unterstützt Windows 11 24H2-Kernel sowie Linux 6.x-schichten ab Juli 2025. skillLevel: advanced url: https://github.com/fox-it/dissect domains: - incident-response - malware-analysis - static-investigations phases: - examination - analysis platforms: - Windows - Linux - macOS accessType: download license: Apache 2.0 knowledgebase: false tags: - command-line - memory-analysis - plugin-support - python-library - zero-copy - profile-less related_concepts: - Regular Expressions (Regex) related_software: - Volatility 3 - Rekall - name: Docker Explorer icon: 🐳 type: software description: >- Googles Forensik-Toolkit zerlegt Offline-Docker-Volumes und Overlay-Dateisysteme ohne laufenden Daemon. Es extrahiert Container-Config, Image-Layer, ENV-Variablen, Mounted-Secrets und schreibt Timeline-fähige Metadata-JSONs. Unterstützt btrfs, overlay2 und zfs Storage-Driver sowie Docker Desktop (macOS/Windows). Perfekt, um bösartige Images nach Supply-Chain-Attacken zu enttarnen oder flüchtige Container nach einem Incident nachträglich zu analysieren. skillLevel: intermediate url: https://github.com/google/docker-explorer domains: - cloud-forensics - incident-response - static-investigations phases: - data-collection - examination - analysis platforms: - Linux - macOS - Windows accessType: download license: Apache 2.0 knowledgebase: false tags: - command-line - container-forensics - docker - timeline - json-export - supply-chain related_concepts: [] related_software: - Velociraptor - osquery - name: Ghiro icon: 🖼️ type: software description: >- Die Web-basierte Bild­forensik-Plattform automatisiert EXIF-Analyse, Hash-Matching, Error-Level-Evaluation (ELA) und Steganografie-Erkennung für große Dateibatches. Unterstützt Gesichts- und NSFW-Detection sowie GPS-Reverse-Geocoding für Bewegungsprofile. Reports sind gerichtsfest versioniert, REST-API und Celery-Worker skalieren auf Millionen Bilder – ideal für CSAM-Ermittlungen oder Fake-News-Prüfung. skillLevel: intermediate url: https://getghiro.org/ domains: - static-investigations - fraud-investigation - mobile-forensics phases: - examination - analysis - reporting platforms: - Web - Linux accessType: server-based license: GPL-2.0 knowledgebase: false tags: - web-interface - image-forensics - exif-analysis - steganography - nsfw-detection - batch-processing related_concepts: - Hash Functions & Digital Signatures related_software: - ExifTool - PhotoRec - name: Sherloq icon: 🔍 type: software description: >- Das Python-GUI-Toolkit für visuelle Datei-Analyse kombiniert klassische Reverse-Steganografie-Techniken (LSB, Palette-Tweaking, DCT-Coefficient-Scanning) mit modernen CV-Algorithmen. Heatmaps und Histogramm-Diffs zeigen Manipulations-Hotspots, während eine „Carve-All-Layers“-Funktion versteckte Daten in PNG, JPEG, BMP, GIF und Audio-Spectra aufspürt. Plugins für zsteg, binwalk und exiftool erweitern die Pipeline. Eine Must-have-Ergänzung zu Ghidra & friends, wenn Malware Dateien als Dead-Drop nutzt. skillLevel: intermediate url: https://github.com/GuidoBartoli/sherloq domains: - malware-analysis - static-investigations phases: - examination - analysis platforms: - Windows - Linux - macOS accessType: download license: MIT knowledgebase: false tags: - gui - image-forensics - steganography - lsb-extraction - histogram-analysis - plugin-support related_concepts: - Regular Expressions (Regex) related_software: - Ghiro - CyberChef - name: Cortex type: software description: >- TheHives Analyzer-Engine automatisiert Observable-Intelligence durch über 100 integrierte Services von VirusTotal bis Shodan. Ein File-Hash triggert parallel: AV-Scans, Sandbox-Detonation, YARA-Matching, Reputation-Checks in Sekunden statt manueller Stunden-Arbeit. Die Plugin-Architektur erweitert für Custom-APIs und interne Threat-Intelligence. Besonders wertvoll: Responder-Actions ermöglichen automatische Incident-Response (Block-IP, Quarantine-Host), Taxonomy-Integration kategorisiert Threats nach MISP- Standards, Job-History dokumentiert alle Analysen für Audit-Trails. Docker-Deployment skaliert Workers je nach Load. Rate-Limiting verhindert API-Quota-Erschöpfung. Die RESTful-API integriert in SOAR-Playbooks. JSON-Templates definieren Analyzer-Konfigurationen. Community-Analyzer erweitern für spezielle Use-Cases. Nach TheHive-Übernahme durch StrangeBee wird Cortex 3.x als Open-Source weiterentwickelt. Standard-Component moderner SOC-Automatisierung. skillLevel: intermediate url: https://strangebee.com/cortex icon: 🧩 domains: - incident-response - malware-analysis phases: - analysis tags: - automation - threat-intel platforms: - Linux accessType: download license: AGPL v3 knowledgebase: false - name: Elasticsearch type: software description: >- Die verteilte Such- und Analytics-Engine bildet das Herzstück moderner Forensik-Infrastrukturen durch Near-Real-Time-Indexierung von Petabytes. Lucene-basierte Volltext-Suche findet IOCs in Sekunden über Millionen Logs. Die JSON-native Architektur verarbeitet strukturierte und unstrukturierte Daten gleichermäßen. Besonders wertvoll: Aggregations-Framework erstellt komplexe Timeline-Analysen, Geo-Queries korrelieren Events geografisch, Machine-Learning-Features erkennen Anomalien automatisch. Horizontal- Skalierung von Single-Node bis Multi-Datacenter-Clusters. Die RESTful-API integriert mit allen Forensik-Tools. Ingest-Pipelines normalisieren verschiedene Log-Formate. Security-Features (X-Pack) bieten Encryption und RBAC für sensitive Ermittlungen. Snapshot-Funktionen sichern forensische Integrität. Die Index-Lifecycle-Management rotiert alte Daten automatisch. Basis für ELK-Stack (Logstash, Kibana) und SIEM-Systeme. Unverzichtbar für moderne SOCs und Incident-Response-Teams. skillLevel: intermediate url: https://www.elastic.co/elasticsearch icon: 🔍 domains: - incident-response - network-forensics phases: - analysis tags: - search - big-data platforms: - Linux - Windows accessType: download license: "Elastic\_License\_/\_SSPL" knowledgebase: false - name: Elliptic type: software description: >- Die kommerzielle Blockchain-Analytics-Plattform konkurriert mit Chainalysis durch erweiterte Compliance-Features und RegTech-Integration. Clustering- Algorithmen identifizieren Services durch Transaction-Pattern-Analysis: Exchanges, Darknet-Markets, Mixers, Ransomware-Wallets. Die Compliance- Suite bietet Real-Time-Screening gegen OFAC/EU-Sanctions-Listen. Besonders stark: DeFi-Protocol-Analysis dekodiert Smart-Contract- Interactions, Cross-Chain-Tracking folgt Funds über Bridges, Investigation-Tools für Complex-Money-Laundering-Schemes. API-Integration ermöglicht Automated-AML-Workflows. Die Typology-Library kategorisiert Verdachtsmuster nach FATF-Standards. Court-Ready-Reports mit Blockchain- Evidence-Chain. Training-Programme zertifizieren Investigators. Unterstützt Bitcoin, Ethereum, und 15+ andere Blockchains. Enterprise- Deployment für Banken, Exchanges und Strafverfolgung. Der europäische Fokus macht es zur Alternative für EU-basierte Organisationen. skillLevel: intermediate url: https://www.elliptic.co icon: ₿ domains: - fraud-investigation phases: - analysis tags: - blockchain-analysis - compliance-screening - sanctions-checking - defi-analysis - cross-chain-tracking - aml-workflows - court-reporting platforms: - Web accessType: cloud license: Subscription knowledgebase: false - name: FACT type: software description: >- Das Firmware Analysis and Comparison Tool des BSI revolutioniert IoT-Security durch automatisierte Bulk-Analysis von Embedded-Firmware. Web-Interface ermöglicht Upload ganzer Firmware-Sammlungen für parallele Verarbeitung. Über 50 Analyzer dekomprimieren Archive, extrahieren Dateisysteme, identifizieren Crypto-Keys, finden Backdoors. Besonders mächtig: Diff-Analysis vergleicht Firmware-Versionen und identifiziert Security- Patches, CVE-Matching findet bekannte Vulnerabilities in embedded Libraries, Entropy-Analysis lokalisiert verschlüsselte Bereiche. Die Plugin-Architektur ermöglicht Custom-Analyzer für proprietäre Formate. YARA-Integration für Malware-Detection. Collaboration-Features für Team-Analysis. REST-API automatisiert Bulk-Submissions. Die PostgreSQL-Backend speichert Metadaten durchsuchbar. Perfekt für Router-Hersteller, Security-Researcher und Incident-Response-Teams die IoT-Compromises untersuchen. Open-Source aber Enterprise-Ready für kritische Infrastruktur-Assessments. skillLevel: advanced url: https://github.com/fkie-cad/FACT_core icon: 🔧 domains: - ics-forensics - malware-analysis phases: - analysis tags: - firmware - automation platforms: - Linux accessType: download license: GPL v3 knowledgebase: false - name: FOCA type: software description: >- Elevenpaths (Telefonica) entwickelte dieses OSINT-Kraftpaket zur Extraktion von Metadaten aus öffentlich verfügbaren Dokumenten für Infrastructure- Reconnaissance. Crawlt systematisch Websites nach PDFs, Office-Docs, Bildern und extrahiert: Autor-Namen (potentielle Mitarbeiter), Software- Versionen (Attack-Surface), interne Pfade (Network-Topology), Drucker- Namen (Physical-Access-Points). Die DNS-Analysis korreliert Domains mit gefundenen Infrastrukturdaten. Geolocation-Features mappen IP-Ranges. Besonders wertvoll für Social-Engineering-Vorbereitung: Email-Pattern- Recognition generiert Username-Listen, Organization-Chart-Reconstruction aus Metadaten. Plugin-System erweitert für Custom-Document-Types. Shodan-Integration enrichert IP-Intelligence. Die GUI macht komplexe OSINT-Workflows auch für Non-Technical-Investigators zugänglich. Export-Funktionen für weitere Analysis-Tools. Unverzichtbar für Penetration-Tester und Financial-Crime-Investigators die Target- Organizations verstehen müssen. skillLevel: beginner url: https://github.com/ElevenPaths/FOCA icon: 🗂️ domains: - static-investigations - fraud-investigation phases: - examination tags: - metadata - osint platforms: - Windows accessType: download license: GPL v3 knowledgebase: false - name: Firmware Analysis Toolkit type: software description: >- Attifys Python-Framework automatisiert die komplexe Firmware-Emulation für Dynamic-Analysis von IoT-Geräten. Basiert auf Firmadyne-Research aber erweitert um praktische Exploitation-Tools. Automatischer Workflow: Binwalk-Extraction → Filesystem-Reconstruction → QEMU-Emulation → Network-Service-Discovery → Vulnerability-Scanning. Besonders wertvoll: Web-Interface-Crawler findet Admin-Panels automatisch, Default-Credential-Testing, SQL-Injection-Fuzzing der Management- Interfaces. Die ARM/MIPS-Emulation ermöglicht Interactive-Debugging mit GDB. Network-Simulation stellt Internet-Connectivity bereit. Metasploit-Integration für Automated-Exploitation. Vulnerability- Database korreliert Findings mit CVEs. Docker-Setup vereinfacht komplexe Dependencies. Die Academic-Herkunft garantiert Research-Quality aber User-Experience ist basic. Perfekt für Security-Researcher die IoT-Firmware auf Scale analysieren müssen. Ergänzt statische Tools um Dynamic-Analysis-Capabilities. skillLevel: advanced url: https://github.com/attify/firmware-analysis-toolkit icon: 📦 domains: - ics-forensics - malware-analysis phases: - analysis tags: - emulation - firmware platforms: - Linux accessType: download license: MIT knowledgebase: false - name: GCHQ Tools type: software description: >- Sammlung freier GCHQ‑Utilities, allen voran CyberChef\_– das „Cyber‑Schweizer‑Taschenmesser“ für Encoding, Crypto und Datenanalyse. skillLevel: beginner url: https://gchq.github.io/CyberChef icon: 🥄 domains: - domain-agnostic-software phases: - analysis tags: - encoding - crypto - parsing platforms: - Web accessType: download license: Apache 2.0 knowledgebase: false - name: Gephi type: software description: >- Die Open-Source-Netzwerkanalyseplattform visualisiert komplexe Beziehungsgeflechte durch mächtige Graph-Algorithmen und interaktive Darstellung. Force-Atlas-Layout organisiert tausende Nodes automatisch, Modularity-Clustering identifiziert Communities, Betweenness-Centrality findet Schlüsselfiguren in Netzwerken. Besonders wertvoll für Fraud- Investigations: Import von CSV/GEXF-Daten aus Transaktions-Logs, Timeline-Animation zeigt Netzwerk-Evolution, Size/Color-Mapping nach Attributen (Geldbeträge, Risikolevels). Die Statistics-Panel berechnet Graph-Metriken automatisch. Filter isolieren verdächtige Subgraphen. Export zu PDF/SVG für Reports. Plugin-Ecosystem erweitert für spezielle Analysis-Methoden. Besonders stark bei großen Datensätzen (100k+ Nodes) wo andere Tools versagen. Die Java-Basis macht es Cross-Platform verfügbar. Steile Lernkurve aber unübertroffene Visualisierungs-Power für Social-Network-Analysis und Money-Laundering-Detection. skillLevel: intermediate url: https://gephi.org icon: 🕸️ domains: - fraud-investigation - network-forensics phases: - analysis tags: - graph-analysis - visualization platforms: - Windows - macOS - Linux accessType: download license: "GPL\_v3\_/\_CDDL" knowledgebase: false - name: Google Earth Pro type: software description: >- Googles professionelle Geo-Intelligence-Plattform bietet forensische Capabilities weit jenseits der Consumer-Version. Historische Satellitenbilder ab 1984 ermöglichen Timeline-Analysis von Tatorten, Gebäude-Entwicklungen, Umwelt-Veränderungen. High-Resolution-Imagery (bis 60cm/Pixel) zeigt Details für Crime-Scene-Reconstruction. Besonders wertvoll: KML/KMZ-Import von GPS-Tracks für Movement-Analysis, Measurement-Tools für genaue Distanzen, 3D-Buildings für Sichtlinien-Analysen. Movie-Maker erstellt Flyover-Animations für Jury-Präsentationen. The Street-View-Integration zeigt Ground-Truth-Perspective. Polygon-Tools markieren Search-Areas. Koordinaten-Anzeige in verschiedenen Formaten (Lat/Long, UTM, MGRS). Offline-Caching für Field-Operations. Die kostenlose Professional-Lizenz (seit 2015) demokratisiert Geo-Intelligence. GPS-Data-Import von Smartphones, Fitness-Trackern, Fahrzeug-Systemen. Standard-Tool für OSINT-Verification und Court-Room-Presentations weltweit. skillLevel: beginner url: https://www.google.com/earth/versions/#earth-pro icon: 🌐 domains: - fraud-investigation phases: - reporting tags: - satellite - osint platforms: - Windows - macOS accessType: download license: Freeware knowledgebase: false - name: GrayKey type: software description: >- Grayshift Technologies entwickelt die kontroverse iOS-Forensik-Lösung für Strafverfolgung - eine dedizierte Hardware-Box die iPhones durch Zero-Day-Exploits entsperrt. Die Lightning-Kabel-Verbindung umgeht Apples USB-Restricted-Mode und Secure-Enclave-Schutz. Zwei Varianten: GrayKey-On-Premises für lokale Nutzung, GrayKey-Connected mit Cloud- Updates für neueste Exploits. Unterstützt iOS 7-17 mit wechselnder Geräte-Coverage je nach verfügbaren Exploits. Die Brute-Force-Engine knackt 4-6 stellige PINs in Stunden bis Tagen. Besonders wertvoll: Partial-Extraction auch bei verschlüsselten Geräten, AFU/BFU-State- Analysis, Keychain-Decryption. Der Preis (30.000€+) und ethische Bedenken limitieren auf Strafverfolgung. Regelmäßige Exploits werden durch iOS-Updates zunichte gemacht - ein Katz-und-Maus-Spiel zwischen Apple und Grayshift. Standard-Tool in US-Polizei-Departments trotz rechtlicher und ethischer Kontroversen um Überwachungstechnologie. skillLevel: advanced url: https://grayshift.com/graykey icon: 🔑 domains: - mobile-forensics phases: - data-collection tags: - ios-unlocking - zero-day-exploits - hardware-solution - brute-force - keychain-extraction - law-enforcement platforms: - iOS accessType: hardware license: Proprietary knowledgebase: false - name: IDA Pro type: software description: >- Vertreten im Bereich des Reverse Engineering seit über 30 Jahren - HexRays IDA Pro definierte die statische Binary-Analyse. Der Disassembler unterstützt über 50 Prozessor-Architekturen von x86 über ARM bis zu exotischen DSPs. Der Decompiler wandelt Assembly in lesbaren C-Pseudocode um, interaktive Cross-References visualisieren Code-Beziehungen, der Graph-View zeigt Control-Flow intuitiv. IDAPython ermöglicht Automatisierung komplexer Analysen. Die Signature- Datenbank (FLIRT) identifiziert Standard-Bibliotheken automatisch. Collaborative-Features für Teamanalysen. Besonders stark bei Malware- Dekonstruktion, Vulnerability-Research und Firmware-Analyse. Der Preis schreckt Hobbyisten ab. skillLevel: advanced url: https://hex-rays.com/ida-pro icon: 🖥️ domains: - malware-analysis - static-investigations phases: - analysis tags: - disassembler - decompiler platforms: - Windows - macOS - Linux accessType: commercial license: Proprietary knowledgebase: false - name: KAPE type: software description: >- Kroll Artifact Parser and Extractor versucht sich an Windows-Forensik durch intelligente Ziel-basierte Sammlung. Statt Full-Disk-Images extrahiert KAPE gezielt kritische Artefakte: Registry-Hives, Event-Logs, Prefetch, Browser- Daten, Scheduled-Tasks in Minuten statt Stunden. Die Target-Files definieren was gesammelt wird, Module-Files wie es verarbeitet wird. Besonders clever: Compound-Targets gruppieren zusammengehörige Artefakte (z.B. "Browser" sammelt Chrome+Firefox+Edge), die gKAPE-GUI macht es auch für Nicht-Techniker zugänglich. Batch-Mode verarbeitet mehrere Images parallel. Output direkt kompatibel zu Timeline-Tools wie Plaso. VSS-Processing analysiert Shadow- Copies automatisch. Der Remote-Collection-Mode sammelt über Netzwerk. Kostenlos (mit Registrierung) aber Enterprise-Support verfügbar. skillLevel: intermediate url: https://www.kroll.com/kape icon: 🧰 domains: - incident-response - static-investigations phases: - data-collection tags: - artifact-collection - triage platforms: - Windows accessType: download license: Proprietary knowledgebase: false - name: Kibana type: software description: >- Das Visualisierungs-Frontend des Elastic-Stacks verwandelt rohe Forensik-Daten in aussagekräftige Dashboards und Echtzeit-Analysen. Drag-and-Drop-Interface erstellt komplexe Queries ohne Programmierkenntnisse. Besonders wertvoll für Incident-Response: Timeline-Visualisierungen korrelieren Events über verschiedene Systeme, Geo-Maps zeigen Angriffs-Ursprünge, Heat-Maps identifizieren Aktivitätsmuster. Die Discover-Funktion ermöglicht explorative Datenanalyse mit Drill-Down-Capabilities. Canvas erstellt Infografiken für Management-Reports. Machine-Learning-Integration erkennt Anomalien automatisch. Alerting-Framework triggert bei verdächtigen Mustern. Dashboard-Sharing für SOC-Teams. Der Dev-Tools-Bereich bietet direkten Elasticsearch-Zugriff für Power-User. Spaces isolieren verschiedene Ermittlungen. Die Integration mit Wazuh, Suricata und anderen SIEM-Komponenten macht es zum Standard-Dashboard moderner Security-Operations. Kostenlos bis zu Basic-Features, X-Pack-Lizenzierung für Enterprise-Funktionen. skillLevel: beginner url: https://www.elastic.co/kibana icon: 📊 domains: - incident-response phases: - analysis - reporting tags: - dashboards - analytics platforms: - Linux - Windows accessType: download license: "Elastic\_License\_/\_SSPL" knowledgebase: false - name: LiME type: software description: >- Linux Memory Extractor ermöglicht forensisch saubere RAM-Akquisition auf Linux-Systemen durch dynamisch ladbares Kernel-Modul. Besonders wertvoll: Zero-Contamination durch minimalen Footprint, Network-Streaming überträgt RAM direkt an Remote-Analyst ohne lokale Storage, Format-Options (Raw, Padded, ELF) für verschiedene Analysis-Tools. Die Cross-Compilation unterstützt embedded Systems und IoT-Geräte. Android-Portierung ermöglicht Mobile-Memory-Forensics. Automatische Kernel-Symbol-Resolution für Volatility-Profile-Generation. Die Installation erfordert Kernel-Headers aber der Build-Prozess ist gut dokumentiert. TCP-Dump-Integration für simultane Netzwerk-Capture. Besonders wichtig für Container-Forensik und Cloud-Incidents wo traditionelle Tools versagen. Der Standard für Linux-Memory-Acquisition in professionellen DFIR-Teams. Ergänzt Windows-Tools wie WinPmem für heterogene Umgebungen. skillLevel: advanced url: https://github.com/504ensicsLabs/LiME icon: 🧠 domains: - incident-response - mobile-forensics phases: - data-collection tags: - memory - acquisition - scenario:memory_dump platforms: - Linux - Android accessType: download license: GPL v2 knowledgebase: false - name: Loki type: software description: >- Florian Roths Portable-IOC-Scanner bringt Enterprise-Level-Threat-Hunting auf jeden Windows-Endpoint ohne Agent-Installation. Die Python-basierte Engine scannt File-Hashes gegen NSRL-Whitelist und Custom-IOC-Sets, YARA-Rules gegen Memory und Dateisystem, Registry-Keys nach Malware- Persistence, Running-Processes nach bekannten Threats. Besonders wertvoll: Network-Share-Scanning durchsucht ganze Domänen, False-Positive-Reduction durch Whitelist-Management, Detailed-Logging für Compliance-Audits. Configuration-Files steuern Scan-Intensität vs. Performance. Integration mit MISP für IOC-Updates. Die Executable-Version läuft ohne Python-Installation. Härtungs-Checks validieren Sicherheits- Konfigurationen. Sigma-Rule-Support für Log-Analysis. Community- IOCs halten Threat-Database aktuell. Perfekt für Rapid-Response wenn vollständige EDR-Lösungen fehlen. Standard-Tool in vielen CERT-Incident-Response-Kits. Der Einstieg in professionelles Threat-Hunting ohne Budget-Hürden. skillLevel: intermediate url: https://github.com/Neo23x0/Loki icon: 🔎 domains: - incident-response phases: - examination tags: - ioc - yara platforms: - Windows - Linux accessType: download license: GPL v3 knowledgebase: false - name: Maltego type: software description: >- Die Link-Analysis-Suite transformiert OSINT-Recherchen in visuelle Netzwerke für Fraud-Ermittlungen und Threat-Intelligence. Graph-basierte Darstellung zeigt Verbindungen zwischen Personen, Domains, IP-Adressen, Social-Media- Accounts intuitiv. Transform-Engine automatisiert Datensammlung aus hunderten Quellen: DNS-Records, Whois-Daten, Social-Networks, Darkweb-Mentions. Besonders mächtig für BEC-Fraud: Email-to-Domain-to-Infrastructure-Mapping enthüllt Scammer-Netzwerke. Die Maltego-Teeth-Integration bringt kommerzielle Datenquellen. Machine-Learning-Algorithmen finden versteckte Cluster. Collaboration-Features für Team-Ermittlungen. Case-Management dokumentiert Recherche-Pfade. Export zu verschiedenen Formaten für Reports. Die Community-Edition (kostenlos) limitiert auf 12 Entities, aber ausreichend für kleinere Fälle. Professional-Versionen (ab 999€) entfernen Limits. Standard-Tool für Financial-Crime-Units und OSINT-Analysten weltweit. skillLevel: intermediate url: https://www.maltego.com icon: 🌐 domains: - fraud-investigation - network-forensics phases: - analysis tags: - osint - link-analysis platforms: - Windows - macOS - Linux accessType: freemium license: Proprietary knowledgebase: false - name: OnlyOffice type: software description: >- Die kollaborationsfokussierte Office-Suite kombiniert Microsoft-Office- Kompatibilität mit Open-Source-Flexibilität für forensische Team-Arbeit. Real-Time-Co-Editing ermöglicht simultane Report-Erstellung durch mehrere Ermittler. Besonders wertvoll: Version-History dokumentiert alle Änderungen für Audit-Trails, Comment-System koordiniert Review-Prozesse, PDF-Forms für strukturierte Evidence-Collection. Die Plugin-Architecture integriert mit Nextcloud, ownCloud für sichere File-Sharing. Macro-Support (mit Sicherheits-Sandboxing) automatisiert repetitive Analysen. Advanced-Mail-Merge für Bulk-Correspondence. Mathematical- Formulas in Spreadsheets für Statistical-Analysis. Die Self-Hosted- Deployment-Option hält sensitive Ermittlungsdaten in-house. Enterprise-Features: SSO-Integration, LDAP-Authentication, Custom- Branding für behördliche Anforderungen. Mobile-Apps ermöglichen Field-Documentation. Deutlich günstiger als Microsoft-Lizenzen bei vergleichbarer Funktionalität. Perfekte Balance zwischen Features und Datenschutz für professionelle Forensik-Teams. skillLevel: beginner url: https://www.onlyoffice.com icon: 📄 domains: - collaboration-general phases: - reporting tags: - office - collaboration platforms: - Windows - Linux - macOS accessType: download license: "AGPL\_/\_Apache\_2.0" knowledgebase: false - name: OpenCTI type: software description: >- Filigrans Cyber-Threat-Intelligence-Plattform orchestriert moderne Threat-Research durch Knowledge-Graph-basierte Datenmodellierung nach STIX-Standards. Import von IOCs, TTPs, Malware-Analysen aus hunderten Quellen: MISP-Feeds, Commercial-Intel, Custom-Research. Die Graph-Engine korreliert scheinbar unabhängige Indicators zu Attack-Campaigns. Besonders mächtig: Automated-Enrichment durch Connector-Ecosystem, Confidence-Scoring gewichtet Intel-Quality, Observable-Pivoting findet Related-Indicators automatisch. Playbook-Integration ermöglicht Automated-Response. Team-Collaboration durch Workspaces und Knowledge-Sharing. Export zu SIEM-Systemen in Real-Time. The Modern-React-UI macht komplexe Intelligence-Workflows intuitiv. Docker-Compose-Deployment für schnelle Installation. Enterprise- Features: Multi-Tenancy, RBAC, Audit-Logging. Open-Source aber Commercial-Support verfügbar. Standard-Platform für moderne CTI-Teams die structured Intelligence-Sharing benötigen. skillLevel: intermediate url: https://filigran.io/platforms/opencti icon: 🗂️ domains: - incident-response phases: - analysis tags: - threat-intel - graph platforms: - Linux accessType: download license: AGPL v3 knowledgebase: false - name: Oxygen Forensic Suite type: software description: >- Die umfassende Mobile-Forensik-Suite positioniert sich als Alternative zu westlichen Lösungen mit Fokus auf Android-Geräte und Cloud-Services. Besonders stark: Deep-Extraction chinesischer Smartphones (Xiaomi, Huawei, OnePlus), Telegram-Forensics inklusive Secret-Chats, Signal-Database- Decryption bei Root-Access. Die Cloud-Explorer-Module greifen auf 50+ Services zu: Google-Takeout, iCloud-Backups, Microsoft-Accounts ohne Premium-Pricing. Physical-Analyzer visualisiert Timeline und Geo-Locations. Die SQLite-Viewer parst App-Databases direkt. Besonders innovativ: UFED-Image-Import ermöglicht Cross-Platform-Analysis, Live-Memory-Dumps von Android-Geräten, Malware-Detection in APKs. Der Preis (ab 8.000€) unterbietet Marktführer deutlich. Technisch solide Lösung mit umfangreichem Cloud-Support und regelmäßigen Updates für neue Smartphone-Modelle und Apps. skillLevel: advanced url: https://www.oxygenforensics.com icon: 📱 domains: - mobile-forensics phases: - examination - analysis tags: - mobile - cloud - decryption platforms: - Windows license: Proprietary knowledgebase: false - name: Radare2 type: software description: >- Das modulare Reverse-Engineering-Framework vereint Disassembler, Debugger, Hex-Editor und Scripter in einer mächtigen CLI-Suite. Die Unix-Philosophie "do one thing well" ermöglicht granulare Kontrolle über jeden Analyse-Schritt. Besonders innovativ: r2pipe-Integration bindet das Framework in Python, Node.js, Go-Scripts ein, Visual-Mode bietet Pseudo-GUI im Terminal, Project-Files speichern komplexe Analysen persistent. Über 20 Architekturen unterstützt von x86 bis WebAssembly. Die aktive Community entwickelt ständig neue Features: r2ghidra-Decompiler, r2dec für Pseudocode, cutter als GUI- Frontend. Besonders stark bei Firmware-Analyse und CTF-Challenges. Die steep-Learning-Curve wird durch unübertroffene Flexibilität belohnt. Docker-Images vereinfachen Deployment. Die LGPL-Lizenz ermöglicht kommerzielle Integration. Perfekt für Sicherheitsforscher die maximale Kontrolle über ihre Analyse-Umgebung benötigen. skillLevel: advanced url: https://rada.re/n/radare2.html icon: 🗡️ domains: - malware-analysis phases: - analysis tags: - reverse-engineering - scripting platforms: - Windows - Linux - macOS accessType: download license: LGPL v3 knowledgebase: false - name: Rekall type: software description: >- Googles Memory-Analysis-Framework erweiterte Volatility um Cloud-Scale- Capabilities und moderne Storage-Formate. AFF4-Integration ermöglicht Streaming-Analysis von Multi-Terabyte-Memory-Images ohne lokale Storage. Besonders innovativ: Live-Memory-Analysis über HTTP-Endpoints, Rekall-Agent für Remote-Collection, Timeline-Integration für Memory-Events. Python-3-Native-Architecture mit Jupyter-Notebook- Integration für Interactive-Analysis. Web-UI demokratisiert Memory- Forensics für Non-CLI-Users. Machine-Learning-Plugins für Anomaly- Detection. Enterprise-Features: Distributed-Analysis, Multi-Investigator-Collaboration, Case-Management. Die Development wurde 2018 eingestellt zugunsten anderer Google-Projekte, aber Community-Forks setzen Entwicklung fort. Legacy-Code läuft noch stable für viele Use-Cases. Historical-Significance als Volatility- Herausforderer und Cloud-Memory-Forensics-Pioneer. Lessons-Learned fließen in moderne Tools wie Velociraptor ein. skillLevel: advanced url: https://github.com/google/rekall icon: 🧬 domains: - incident-response phases: - analysis tags: - memory - python platforms: - Windows - Linux - macOS accessType: download license: Apache 2.0 knowledgebase: false - name: Suricata type: software description: >- Die Open-Source-IDS/IPS-Engine der OISF revolutioniert Netzwerk-Security- Monitoring durch Multi-Threading und moderne Protokoll-Decoder. Lua-Scripts ermöglichen Custom-Detection-Logic jenseits einfacher Pattern-Matching. Besonders mächtig: HTTP-Keyword-Matching in Request-Bodies, TLS-Certificate- Fingerprinting, DNS-Tunneling-Detection, File-Extraction aus Netzwerk- Streams. Die JSON-Ausgabe integriert nahtlos in ELK-Stack oder Splunk. Rule-Updates von Proofpoint, Emerging-Threats halten Signaturen aktuell. Bypass-Funktionen reduzieren False-Positives bei bekanntem Traffic. Hardware-Acceleration durch DPDK/PF_RING steigert Performance auf 100Gbit+. Cluster-Mode verteilt Load über mehrere Instanzen. Die Engine bildet das Herzstück kommerzieller SIEM-Systeme von Elastic Security bis Wazuh. Python-Output-Plugins ermöglichen Custom-Integrations. Unverzichtbar für moderne SOCs die leistungsstarke Threat-Detection ohne Vendor-Lock-in benötigen. Der De-facto-Standard für Open-Source-NSM. skillLevel: intermediate url: https://suricata.io icon: 🛡️ domains: - network-forensics phases: - analysis tags: - ids - nsm platforms: - Linux - Windows accessType: download license: GPL v2 knowledgebase: false - name: VirusTotal type: software description: >- Googles Malware-Intelligence-Plattform aggregiert Erkennungen von 70+ Antivirus-Engines und Sandboxes für sofortige Threat-Assessment. Upload verdächtiger Dateien, URLs oder Domains liefert umfassende Reports: AV-Detections, Behavioral-Analysis, YARA-Matches, Community-Comments. Besonders wertvoll: Retro-Hunt findet ähnliche Samples in der Milliarden-Sample-Datenbank, Graph-View visualisiert Malware-Familien- Beziehungen, Crowdsourced-IOCs von Security-Forschern weltweit. Die Premium-API ermöglicht Bulk-Searches und private Scans. Integration in alle Major-Security-Tools durch offene APIs. Livehunt-Service alertiert bei neuen Samples matching custom YARA-Rules. Vorsicht: Public-Uploads sind für alle sichtbar - keine vertraulichen Samples! Die kostenlose Nutzung macht es zum Standard-Tool für initiale Malware-Triage. Unverzichtbar für Threat-Intelligence und SOC-Analysten. skillLevel: beginner url: https://www.virustotal.com icon: 🦠 domains: - malware-analysis phases: - examination tags: - sandbox - av-scan platforms: - Web accessType: cloud license: Freemium knowledgebase: true - name: WinHex type: software description: >- X-Ways Software entwickelt seit 1995 den vielseitigsten Hex-Editor mit forensischen Superkräften. Über die reine Hex-Bearbeitung hinaus bietet WinHex: Disk-Cloning mit defekten Sektoren, RAM-Editor für Live-System- Analyse, File-Recovery durch Signature-Scanning, Template-Engine für Datenstruktur-Parsing. Die Scripting-Engine automatisiert wiederkehrende Aufgaben. Besonders wertvoll: NTFS-Alternate-Data-Streams-Support, MFT-Browser zeigt Dateisystem-Metadaten, die Registry-Viewer parst Hives direkt. Integration mit forensischen Workstations über API. Der Specialist-License (499€) bietet erweiterte Forensik-Features, während die Standard-Version (38€) bereits beeindruckende Capabilities liefert. Die kompakte Exe-Datei (2MB) läuft ohne Installation. Besonders geschätzt: die präzise Byte-Level-Kontrolle die bei komplexen Datenrettungen entscheidend ist. Der Geheimtipp vieler Forensiker für Spezialfälle. skillLevel: intermediate url: https://x-ways.net/winhex icon: 🗜️ domains: - static-investigations phases: - examination tags: - hex-editor - carving platforms: - Windows accessType: commercial license: Proprietary knowledgebase: false - name: WinPmem type: software description: >- Velociraptors Windows-Memory-Imager revolutioniert RAM-Akquisition durch flexibles Driver-System und moderne WinAPI-Integration. Drei Acquisition- Modi: Kernel-Driver für Maximum-Access, WinAPI für Modern-Windows, Live-Service für Remote-Collection. Die ELF64-Ausgabe enthält Metadaten für Volatility-Auto-Detection. Besonders clever: Pagefile-Integration erweitert verfügbaren Memory-Space, Registry-Acquisition parallel zum RAM-Dump, Hash-Verification für forensische Integrität. Driver-Signing für Secure-Boot-Kompatibilität. Die Portable-Version läuft ohne Installation von USB-Stick. JSON-Metadata dokumentiert System-Configuration zum Akquisitionszeitpunkt. Performance-Optimierung für SSD-Storage. Integration in KAPE-Workflows für automatisierte Collection. Der Open-Source-Ansatz ermöglicht Anpassungen für spezielle Anforderungen. Standard-Tool für Windows-Memory-Forensics wenn kommerzielle Alternativen nicht verfügbar oder zu teuer sind. skillLevel: advanced url: https://winpmem.velocidex.com icon: 💾 domains: - incident-response phases: - data-collection tags: - memory - acquisition - scenario:memory_dump platforms: - Windows accessType: download license: GPL v2 knowledgebase: false - name: Zeek type: software description: >- Das programmierbare Netzwerk-Analysis-Framework (vormals Bro) geht weit über traditionelle Packet-Inspection hinaus - es interpretiert Protokolle und extrahiert strukturierte Logs für forensische Analyse. Die eingebaute Scripting-Sprache ermöglicht Custom-Protocol-Decoder und Anomalie-Detection- Logic. Besonders wertvoll: Connection-Logs zeigen alle Netzwerk-Sessions, HTTP/DNS/TLS-Logs extrahieren Metadaten, File-Analysis erkennt übertragene Malware automatisch. Integration mit Intelligence-Frameworks für IOC- Matching. Cluster-Deployment skaliert auf Enterprise-Netzwerke. Die Script-Community teilt Detectors für moderne Threats: Cobalt-Strike- Beacons, DNS-Tunneling, Lateral-Movement-Patterns. Real-Time-Streaming zu SIEMs oder Offline-Analysis für Incident-Response. Die Lernkurve ist steil aber die Analysemächtigkeit unübertroffen. Basis für kommerzielle NSM-Lösungen und akademische Forschung. Standard in Security-Teams die Netzwerk-Forensik ernst nehmen. skillLevel: advanced url: https://zeek.org icon: 📈 domains: - network-forensics phases: - analysis tags: - nsm - scripting platforms: - Linux - macOS accessType: download license: BSD knowledgebase: false - name: osquery type: software description: >- Facebooks revolutionäre Endpoint-Telemetry-Engine transformiert Betriebssystem- Zustand in SQL-Queries für forensische Untersuchungen. Das "Operating System as Database"-Konzept ermöglicht Abfragen wie "SELECT * FROM processes WHERE name LIKE '%malware%'". Über 200 Tables exposieren System-Internals: Prozesse, Netzwerkverbindungen, Dateien, Registry, Scheduled-Tasks. Besonders mächtig für Fleet-Wide-Hunting: eine Query durchsucht tausende Endpoints parallel. Die Event-Framework publiziert Changes in Real-Time. Extensions erweitern für Cloud-APIs, YARA-Scanning, Custom-Tables. JSON-Output integriert nahtlos in SIEMs. Distributed-Queries über TLS-verschlüsselte Channels. Der Lightweight-Agent (< 50MB RAM) minimiert Performance-Impact. Configuration- Management via JSON/YAML. Die Active-Community entwickelt ständig neue Tables. Basis für zahlreiche kommerzielle Endpoint-Security-Produkte. Unverzichtbar für moderne Threat-Hunting und Incident-Response at Scale. skillLevel: intermediate url: https://osquery.io icon: 🗄️ domains: - incident-response phases: - examination tags: - endpoint - sql platforms: - Linux - Windows - macOS accessType: download license: Apache 2.0 knowledgebase: false - name: tcpdump type: software description: >- Der 1987 entwickelte Packet-Sniffer bleibt nach fast 40 Jahren das fundamentale Tool für Netzwerk-Troubleshooting und Traffic-Analysis. Die BPF-Filter-Syntax (Berkeley Packet Filter) ermöglicht chirurgisch präzise Packet-Selektion: "host 192.168.1.1 and port 80". Besonders wertvoll: Memory-effiziente Capture auch bei High-Speed-Interfaces, ASCII/Hex-Output für Quick-Analysis, Timestamp-Precision für Timeline-Correlation. Ring-Buffer-Mode rotiert Captures automatisch. Die libpcap-Basis macht Captures kompatibel zu allen Major-Analysis-Tools. Remote-Capture via SSH-Tunneling für Network-Forensics. Integration in Scripts für automatisierte Collection. Besonders geschätzt: die Stabilität auch bei defekten Frames, minimaler CPU-Overhead, verfügbar auf jedem Unix-System ohne Installation. Der Syntax mag archaisch wirken, aber die Effizienz ist unübertroffen. Basis-Skill für jeden Netzwerk-Forensiker und oft einziges Tool in restricted Environments. skillLevel: intermediate url: https://www.tcpdump.org icon: 🐙 domains: - network-forensics phases: - data-collection tags: - pcap - cli platforms: - Linux - macOS - BSD accessType: download license: BSD knowledgebase: false - name: x64dbg type: software description: >- Der kostenlose Windows-Debugger revolutioniert Malware-Analysis durch intuitive GUI und Plugin-Ecosystem. Ersetzt den veralteten OllyDbg mit moderner 64-Bit-Architektur und Active-Development. Besonders stark: Anti-Anti-Debug-Plugins umgehen Evasion-Techniken, Script-Engine automatisiert repetitive Tasks, Memory-Map-Viewer zeigt Process-Layout übersichtlich. Die Plugin-Community entwickelt ständig neue Extensions: Unpacker für gepackte Malware, Crypto- Finder identifiziert Verschlüsselungsroutinen, API-Logger trackt System-Calls. Integrated-Disassembler mit Syntax-Highlighting. Conditional-Breakpoints für Complex-Debugging-Scenarios. Multi-Threading-Support für moderne Malware. Export-Funktionen für weitere Analysis. Die portable Version läuft von USB-Stick. Besonders wertvoll: Zero-Cost für Hobbyisten und kleine Teams bei Professional-Level-Features. Active-Community in Discord/GitHub hilft bei Problemen. Der De-facto-Standard für Windows-Malware- Dynamic-Analysis ohne Budget-Constraints. skillLevel: advanced url: https://x64dbg.com icon: 🐛 domains: - malware-analysis phases: - analysis tags: - debugger - reverse-engineering platforms: - Windows accessType: download license: GPL v3 knowledgebase: false - name: grep type: software description: >- Klassisches Unix-Werkzeug zur Zeilenfilterung, entwickelt 1973 von Ken Thompson zur schnellen Suche nach regulären Ausdrücken in Dateien oder Datenströmen. Der Name leitet sich vom ed‑Kommando „g/re/p“ ab und spiegelt die Funktionsweise wider: globaler Ausdruck, Zeile drucken. GNU grep unterstützt drei Regex‑Dialekte (BRE, ERE, PCRE), Farb‑Highlighting und Zero‑Copy‑Block‑Pufferung für Höchstgeschwindigkeit auch in riesigen Logs. Dank seiner Pipe‑Kompatibilität ist grep Grundbaustein unzähliger DFIR‑Einzeiler zum Parsen von Artefakten, Netzwerk‑Flows und Memory‑Dumps. skillLevel: beginner url: https://www.gnu.org/software/grep/ icon: 🔍 domains: - incident-response - static-investigations phases: - examination - analysis tags: - commandline - regular-expressions - piping - filtering related_concepts: - Regular Expressions (Regex) platforms: - Linux - macOS - Windows accessType: download license: "GPL\_v3" knowledgebase: false - name: md5sum / sha256sum type: software description: >- Klassische Kommandozeilen‑Checksummengeneratoren aus den GNU coreutils, die schnell kryptografische Prüfsummen (MD5 bzw. SHA‑256) berechnen und verifizieren können. Ideal zur Integritätsprüfung von Forensik‑Images, Log‑Archiven und Download‑Artefakten; auch als Stream‑Filter einsetzbar („cat image.dd | sha256sum“). Minimalistischer Funktionsumfang, aber auf nahezu jeder Unix‑ähnlichen Plattform vorinstalliert und damit überall verfügbar. skillLevel: beginner url: https://www.gnu.org/software/coreutils/ icon: 🔢 domains: - incident-response - static-investigations - malware-analysis phases: - examination - analysis tags: - commandline - hashing - integrity related_concepts: - Hash Functions & Digital Signatures platforms: - Linux - macOS - Windows accessType: Linux (GNU-Utils) license: GPL v3 knowledgebase: false - name: hashdeep type: software description: >- Multithread‑fähiges Audit‑Werkzeug, das Dateien rekursiv einliest und gleich mehrere Hash‑Algorithmen (MD5, SHA‑1, SHA‑256, Tiger u.a.) erzeugt. Unterstützt „baseline auditing“ zum automatischen Wieder­erkennen neuer oder veränderter Dateien und kann Hash‑Listen in NIST‑NSRL‑ oder CSV‑Format ausgeben – perfekt für große Datenträger‑Batches. skillLevel: intermediate url: https://github.com/jessek/hashdeep icon: 🏷️ domains: - static-investigations - cloud-forensics phases: - examination - analysis tags: - hashing - auditing - multihash related_concepts: null platforms: - Linux - macOS - Windows accessType: download license: Public Domain knowledgebase: false - name: ssdeep type: software description: >- Tool zur Berechnung „fuzzy hashes“ (Context Triggered Piecewise Hashing, CTPH) für Ähnlichkeits­analysen von Dateien. Kann binäre Malware‑Varianten, Dokumentschablonen oder Logs selbst bei nur teilweisen Überschneidungen matchen. Ausgabe‑Hashes lassen sich in Datenbanken oder YARA‑Regeln integrieren. skillLevel: intermediate url: https://ssdeep-project.github.io/ssdeep/ icon: 🔍 domains: - malware-analysis - incident-response phases: - analysis tags: - fuzzy-hashing - similarity related_concepts: null platforms: - Linux - macOS - Windows accessType: download license: "GPL\_v2" knowledgebase: false - name: hashcat type: software description: >- Höchstperformanter Passwort‑Recovery‑Accelerator, der CPUs, GPUs, FPGAs und sogar ASICs parallel nutzen kann. Unterstützt über 300 Hash‑Formate (u.a. bcrypt, NTLM, Kerberos, WPA‑PMKID) und besitzt flexible Angriffsmodi (Dictionary, Mask, Hybrid, Rule‑Based). Dank OpenCL‑Backend skaliert hashcat von Laptop‑GPU bis zu verteilten Clustern – unverzichtbar für Credential‑Audits und Incident‑Response. skillLevel: advanced url: https://hashcat.net/hashcat/ icon: ⚡ domains: - incident-response - fraud-investigation phases: - analysis tags: - password-recovery - gpu-acceleration - cracking - scenario:credential_theft related_concepts: null platforms: - Linux - Windows - macOS accessType: download license: MIT knowledgebase: false - name: Linkurious type: software description: >- Intuitive Graph‑Visualisierungs‑ und Analyseplattform, die Graphdatenbanken wie Neo4j überlagert und Ermittler:innen dabei unterstützt, versteckte Beziehungen in Betrugs‑, AML‑ und Sicherheitsfällen aufzudecken. Leistungsstarke Filter, Geo‑ und Zeitachsenansichten sowie Automatisierungsvorlagen erleichtern das Hunten komplexer Netzwerke und das Erstellen aussagekräftiger Beweisgrafiken. skillLevel: intermediate url: https://linkurious.com/ icon: 🕸️ domains: - fraud-investigation - network-forensics - incident-response phases: - analysis - reporting tags: - graph-visualisierung - link-analysis - aml - fraud related_concepts: null platforms: - Web - Linux accessType: commercial license: Proprietary knowledgebase: false - name: Android Studio type: software description: "Offizielle IDE von Google für die Android‑Entwicklung, basierend auf JetBrains\_IntelliJ\_IDEA. Integriert ein flexibles Gradle‑Buildsystem, Jetpack‑Compose‑Designer, Geräte‑Emulator, Profiler und Debugging‑Tools, um mobile Apps effizient zu erstellen, zu testen und zu analysieren – auch für forensische Re‑Packaging‑ oder Malware‑Analysen von APKs." skillLevel: intermediate url: https://developer.android.com/studio icon: 📱 domains: - mobile-forensics - malware-analysis phases: - examination - analysis tags: - ide - android - emulator - debugging related_concepts: null platforms: - Windows - macOS - Linux accessType: download license: Freeware knowledgebase: false - name: ADB type: software description: >- Vielseitiges Client‑Server‑Kommandozeilenwerkzeug, mit dem Fachleute über USB oder Netzwerk mit Android‑Geräten und Emulatoren kommunizieren: Pakete installieren, Dateien extrahieren, Logcats erfassen, Ports weiterleiten und logische wie physische Datensicherungen erstellen. Unverzichtbar für mobile Forensik, Incident‑Response und App‑Entwicklung. skillLevel: intermediate url: https://developer.android.com/tools/adb icon: 🔌 domains: - mobile-forensics - incident-response phases: - data-collection - examination tags: - cli - mobile - device-management - extraction related_concepts: null platforms: - Windows - macOS - Linux accessType: download license: Freeware knowledgebase: false - name: dc3dd type: software description: "dc3dd ist eine forensisch erweiterte Variante des klassischen Unix‑Befehls dd. Sie unterstützt das gleichzeitige Berechnen mehrerer Hash‑Werte (MD5, SHA‑1, SHA‑256, SHA‑512) während der Image‑Erstellung, führt ein detailliertes Log mit Prüfsummen und Fehlerblöcken und zeigt einen Fortschrittsbalken an. Weitere Funktionen sind das Splitten großer Abbilder, das gezielte Überschreiben von Mustern zum sicheren Löschen\_und die Möglichkeit, Fehlersektoren separat auszugeben, was besonders bei defekten Medien hilfreich ist." skillLevel: intermediate url: https://sourceforge.net/projects/dc3dd/ icon: 💾 domains: - incident-response - static-investigations phases: - data-collection tags: - disk-imaging - hashing - wiping - logging - cli related_concepts: - Hash Functions & Digital Signatures platforms: - Linux - Windows accessType: download license: "GPL\_v2" knowledgebase: false - name: ddrescue type: software description: >- GNU ddrescue ist ein spezialisiertes Datenrettungs‑Tool, das beschädigte oder fehlerhafte Blockgeräte sektorweise ausliest und zunächst alle gut lesbaren Bereiche sichert, bevor es sich mehrfach an problematischen Sektoren versucht. Sein Map‑File protokolliert jeden Leseversuch, sodass abgebrochene Wiederherstellungen jederzeit fortgesetzt oder optimiert werden können, ohne bereits gerettete Sektoren erneut zu belasten. Zudem bietet ddrescue einen Fill‑Modus, um schwierige Bereiche gezielt mit Platzhaltern zu überschreiben – nützlich für die Vorbereitung nachträglicher Dateisystem‑Reparaturen. skillLevel: intermediate url: https://www.gnu.org/software/ddrescue/ icon: 🛟 domains: - static-investigations - fraud-investigation phases: - data-collection tags: - data-recovery - disk-imaging - map-file - cli - scenario:disk_imaging related_concepts: null platforms: - Linux - macOS - Windows accessType: download license: "GPL\_v2+" knowledgebase: false - name: REMnux type: software description: "REMnux ist eine auf Ubuntu basierende Linux‑Distribution, die eine kuratierte Sammlung frei verfügbarer Tools für Malware‑Analyse, Reverse\_Engineering und Speicherforensik in einer sofort einsatzbereiten VM vereint. Sie erspart Analyst:innen das mühsame Zusammenstellen einzelner Werkzeuge, da Paketverwaltung, Desktop‑Integration und Lab‑Skripte bereits vorkonfiguriert sind. Zu den integrierten Highlights zählen unter anderem Ghidra, Radare2, Volatility, stegdetect sowie diverse Netzwerk‑ und Sandboxing‑Utilities, die regelmäßig in koordinierten Releases aktualisiert werden." skillLevel: intermediate url: https://remnux.org/ icon: 🐧 domains: - malware-analysis - incident-response - network-forensics phases: - examination - analysis tags: - linux-distro - toolkit - reverse-engineering - virtualization related_concepts: null platforms: - Linux accessType: download license: mixed-oss knowledgebase: false - name: Android Backup Extractor type: software description: "Das bewährte Kommandozeilen‑Werkzeug zum Entpacken und Packen von Android‑Backups (.ab) aus »adb backup«\_– inklusive Entschlüsselung passwort­geschützter Archive dank integrierter AES‑Routinen. Ideal für die Extraktion forensisch relevanter App‑Daten ohne Root‑Zugriff und damit ein Must‑have für Mobile‑Analysen. :contentReference[oaicite:0]{index=0}" skillLevel: intermediate url: https://github.com/nelenkov/android-backup-extractor icon: 📦 domains: - mobile-forensics - static-investigations phases: - examination - analysis tags: - commandline - backup - encryption - artifact-extraction - android - scenario:file_recovery related_concepts: null platforms: - Windows - Linux - macOS accessType: download license: "Apache\_2.0" knowledgebase: false - name: CAINE type: software description: "CAINE (Computer Aided INvestigative Environment) ist eine Ubuntu‑basierte Live‑Linux‑Distribution, die mehr als 150 Forensik‑Werkzeuge in einer schreibgeschützten Umgebung bündelt. Version 14.0 »Lightstream« (März\_2025) bringt Kernel\_6.8, UEFI‑Support und das UnBlock‑GUI zum gezielten Aufheben der Write‑Block‑Funktion für einzelne Devices. :contentReference[oaicite:2]{index=2}" skillLevel: beginner url: https://www.caine-live.net/ icon: 💿 domains: - incident-response - static-investigations - network-forensics - mobile-forensics phases: - data-collection - examination - analysis tags: - live-distro - imaging - write-blocking - gui - commandline - scenario:disk_imaging related_concepts: null platforms: - Linux accessType: download license: "LGPL\_2.1+" knowledgebase: false - name: Aircrack-ng type: software description: >- Die legendäre WLAN-Security-Suite vereint seit 2006 alle Tools für 802.11-Penetration-Testing und Forensic-WLAN-Analysis. Airodump-ng sammelt Packets und zeigt Hidden-Networks, Aireplay-ng injiziert Deauth-Frames für Handshake-Capture, Aircrack-ng selbst bricht WEP-Keys in Minuten und WPA2-PSKs mit Dictionary-Attacks. Besonders wertvoll für Forensik: Packet-Capture-Analysis identifiziert Rogue-APs, Client-Probing-Behavior enthüllt Bewegungsprofile, WPS-PIN-Recovery bei Legacy-Routern. Die GPU-Acceleration (via pyrit/hashcat) beschleunigt PSK-Cracking dramatisch. Support für moderne Standards: WPA3-Transition-Mode, 802.11ac/ax. Scripting-Interface automatisiert Mass-Assessments. Cross-Platform-Verfügbarkeit mit Hardware-Treiber-Support. Forensic-Mode bewahrt Evidence-Integrity. Integration in Penetration-Testing-Frameworks. Der Klassiker für WLAN-Forensik wenn moderne Enterprise-WLANs kompromittiert wurden. skillLevel: advanced url: https://www.aircrack-ng.org/ icon: 📦 domains: - network-forensics - incident-response phases: - data-collection - analysis tags: - commandline - wireless - packet-capture - injection - cracking - scenario:credential_theft related_concepts: null platforms: - Windows - Linux - macOS - BSD accessType: download license: "GPL\_v2\_(+\_BSD/OpenSSL\_components)" knowledgebase: false - name: WiFi Pineapple type: software description: "Die Hak5‑Hardware liefert mit der patentierten PineAP‑Suite einen vollwertigen Rogue‑Access‑Point: automatisches Recon, Handshake‑ und Enterprise‑Credential‑Capture, gezielte Client‑Filterung sowie Cloud\_C²‑Fernsteuerung\_– alles per browser­basierter GUI auf dem Mark\_VII oder Enterprise‑Modell. :contentReference[oaicite:6]{index=6}" skillLevel: intermediate url: https://shop.hak5.org/products/wifi-pineapple icon: 📡 domains: - network-forensics - incident-response phases: - data-collection - analysis tags: - rogue-ap - wireless - man-in-the-middle - gui - web-interface - scenario:remote_access related_concepts: null platforms: - Web - Hardware accessType: purchase license: Proprietär knowledgebase: false domains: - id: incident-response name: Incident Response & Breach-Untersuchung - id: static-investigations name: Datenträgerforensik & Ermittlungen - id: malware-analysis name: Malware-Analyse & Reverse Engineering - id: fraud-investigation name: Betrugs- & Finanzkriminalität - id: network-forensics name: Netzwerk-Forensik & Traffic-Analyse - id: mobile-forensics name: Mobile Geräte & App-Forensik - id: cloud-forensics name: Cloud & Virtuelle Umgebungen - id: ics-forensics name: Industrielle Kontrollsysteme (ICS/SCADA) phases: - id: data-collection name: Datensammlung description: >- Sicherung digitaler Beweise durch Imaging, Remote Collection und Live-Akquisition - id: examination name: Auswertung description: >- Extraktion und initiale Analyse von Artefakten, Parsing von Datenstrukturen - id: analysis name: Analyse description: >- Tiefgehende Untersuchung, Korrelation von Beweisen und Rekonstruktion von Ereignissen - id: reporting name: Bericht & Präsentation description: Dokumentation der Findings, Visualisierung und gerichtsfeste Aufbereitung domain-agnostic-software: - id: collaboration-general name: Übergreifend & Kollaboration description: Cross-Domain-Tools für Teamwork und Case-Management - id: specific-os name: Spezialisierte Betriebssysteme description: Forensik-optimierte Linux-Distributionen und Live-Systeme scenarios: - id: scenario:disk_imaging icon: 💽 friendly_name: Datenträger sichern - id: scenario:memory_dump icon: 🧠 friendly_name: RAM-Speicher analysieren - id: scenario:file_recovery icon: 🗑️ friendly_name: Gelöschte Dateien wiederherstellen - id: scenario:browser_history icon: 🌍 friendly_name: Browser-Verlauf untersuchen - id: scenario:credential_theft icon: 🔑 friendly_name: Gestohlene Zugangsdaten finden - id: scenario:remote_access icon: 📡 friendly_name: Fernzugriffe nachweisen - id: scenario:persistence icon: ♻️ friendly_name: Persistenz-Mechanismen aufdecken - id: scenario:windows-registry icon: 📜 friendly_name: Windows Registry analysieren