tools: - name: Autopsy type: software description: >- Die führende Open-Source-Alternative zu kommerziellen Forensik-Suiten mit intuitiver grafischer Oberfläche. Besonders stark in der Timeline-Analyse, Keyword-Suche und dem Carving gelöschter Dateien. Die modulare Plugin-Architektur erlaubt Erweiterungen für spezielle Untersuchungsszenarien. Zwar komplexer als kommerzielle Lösungen, aber dafür vollständig transparent und kostenfrei. skillLevel: intermediate url: https://www.autopsy.com/ tags: - gui - filesystem - timeline-analysis - carving - artifact-extraction - keyword-search icon: 📦 domains: - incident-response - static-investigations - malware-analysis - mobile-forensics - cloud-forensics phases: - examination - analysis related_concepts: - SQL Query Fundamentals - Hash Functions & Digital Signatures platforms: - Windows - Linux accessType: Download license: Apache 2.0 knowledgebase: false - name: Volatility 3 icon: 📦 type: software description: >- Das Universalwerkzeug der Live-Forensik, unverzichtbar für die Analyse von RAM-Dumps. Mit über 100 Plugins extrahiert es Prozesse, Netzwerkverbindungen, Registry-Keys und versteckte Malware aus dem Arbeitsspeicher. Die Python-basierte Architektur macht es flexibel erweiterbar, erfordert aber solide Kommandozeilen-Kenntnisse. Version 3 bringt deutliche Performance-Verbesserungen und bessere Formatunterstützung. domains: - incident-response - static-investigations - malware-analysis - network-forensics phases: - examination - analysis platforms: - Windows - Linux - macOS related_concepts: - Hash Functions & Digital Signatures - Regular Expressions (Regex) domain-agnostic-software: null skillLevel: advanced accessType: download url: https://www.volatilityfoundation.org/ projectUrl: '' license: VSL knowledgebase: false tags: - commandline - memory - malware-analysis - artifact-extraction - scripting - process-analysis - name: TheHive 5 icon: 🌐 type: software description: >- Moderne Security-Orchestrierungs-Plattform für die koordinierte Incident-Response im Team. Integriert nahtlos mit MISP, Cortex und anderen Security-Tools für automatisierte Workflows. Die kostenlose Community Edition wurde 2021 eingestellt, was die Langzeitperspektive fraglich macht. Für professionelle SOCs dennoch eine der besten Kollaborations-Lösungen am Markt. domains: - incident-response - static-investigations - malware-analysis - network-forensics phases: - analysis - reporting platforms: - Web related_concepts: null domain-agnostic-software: - collaboration-general skillLevel: intermediate accessType: server-based url: https://github.com/TheHive-Project/TheHive projectUrl: '' license: Community Edition (Free) / Commercial knowledgebase: false tags: - web-based - case-management - collaboration - api - workflow-automation - incident-tracking statusUrl: https://uptime.example.lab/api/badge/1/status - name: MISP icon: 🌐 type: software description: >- Das Rückgrat des modernen Threat-Intelligence-Sharings mit über 40.000 aktiven Instanzen weltweit. Ermöglicht den strukturierten Austausch von IoCs zwischen Organisationen und automatisierte Bedrohungsanalyse. Die föderierte Architektur und umfangreiche Taxonomie machen es zum De-facto-Standard für CTI. Besonders wertvoll durch die Integration in SIEMs, Firewalls und andere Sicherheitssysteme. domains: - incident-response - static-investigations - malware-analysis - network-forensics - cloud-forensics phases: - examination - analysis platforms: - Web skillLevel: intermediate accessType: server-based url: https://misp-project.org/ projectUrl: https://misp.cc24.dev license: AGPL-3.0 knowledgebase: true tags: - web-based - threat-intelligence - api - correlation - ioc-sharing - automation statusUrl: https://status.mikoshi.de/api/badge/34/status - name: Timesketch icon: 📦 type: software description: >- Google's Open-Source-Lösung für kollaborative Timeline-Analyse großer Datensätze. Visualisiert und korreliert Ereignisse aus verschiedenen Quellen in einer interaktiven Zeitachse. Die Plaso-Integration ermöglicht automatisches Parsing hunderter Log-Formate. Ideal für komplexe Fälle mit mehreren Analysten und Millionen von Zeitstempeln. domains: - incident-response - static-investigations - network-forensics - cloud-forensics phases: - analysis - reporting platforms: - Web related_concepts: - Regular Expressions (Regex) - SQL Query Fundamentals domain-agnostic-software: null skillLevel: intermediate accessType: server-based url: https://timesketch.org/ projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - web-based - timeline-analysis - visualization - collaboration - logs - correlation statusUrl: https://uptime.example.lab/api/badge/3/status - name: Wireshark icon: 📦 type: software description: >- Der unangefochtene König der Netzwerk-Protokoll-Analyse mit Support für über 3000 Protokolle. Unverzichtbar für die Untersuchung von Netzwerk-Anomalien, Malware-Kommunikation und Datenexfiltration. Die mächtigen Display-Filter und Follow-Stream-Funktionen machen komplexe Analysen zugänglich. Hauptnachteil: Benötigt vorhandene PCAP-Dateien, eignet sich weniger für historische Analysen. domains: - incident-response - malware-analysis - network-forensics - cloud-forensics - ics-forensics phases: - examination - analysis platforms: - Windows - Linux - macOS related_concepts: null domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://www.wireshark.org/ projectUrl: '' license: GPL-2.0 knowledgebase: false tags: - gui - network-traffic - packet-capture - protocol-analysis - visualization - filtering - name: Magnet AXIOM icon: 📦 type: software description: >- Die Rolls-Royce unter den kommerziellen Forensik-Suiten mit beeindruckender Automatisierung. Glänzt besonders bei Cloud-Forensik mit nativer Unterstützung für Google, Apple und Microsoft-Dienste. Die KI-gestützte Bilderkennung und Connection-Analyse spart Ermittlern wertvolle Zeit. Der Preis von mehreren zehntausend Euro macht es primär für Behörden und Großunternehmen interessant. domains: - incident-response - static-investigations - mobile-forensics - cloud-forensics phases: - data-collection - examination - analysis - reporting platforms: - Windows related_concepts: null domain-agnostic-software: null skillLevel: beginner accessType: commercial url: https://www.magnetforensics.com/products/magnet-axiom/ projectUrl: '' license: Proprietary knowledgebase: false tags: - gui - cloud-data - mobile-data - artifact-extraction - automated-analysis - reporting - name: Cellebrite UFED icon: 📦 type: software description: >- Der Goldstandard der mobilen Forensik mit legendären Entsperrungsfähigkeiten für aktuelle Smartphones. Nutzt Zero-Day-Exploits und Hardware-Schwachstellen für den Zugriff auf verschlüsselte Geräte. Die Physical Analyzer Software macht die extrahierten Daten durch intelligente Visualisierung verständlich. Mit Preisen im sechsstelligen Bereich und ethischen Bedenken bezüglich der Käuferauswahl nicht unumstritten. domains: - static-investigations - mobile-forensics phases: - data-collection - examination - analysis platforms: - Windows related_concepts: null domain-agnostic-software: null skillLevel: beginner accessType: commercial url: https://cellebrite.com/en/ufed/ projectUrl: '' license: Proprietary knowledgebase: false tags: - gui - mobile-data - decryption - artifact-extraction - hardware-interface - automated-analysis - name: Cuckoo Sandbox 3 icon: 🌐 type: software description: >- Die führende Open-Source-Sandbox für automatisierte Malware-Analyse in isolierten Umgebungen. Zeichnet Systemaufrufe, Netzwerkverkehr und Verhaltensänderungen während der Malware-Ausführung auf. Version 3 vom CERT-EE bringt moderne Python-3-Unterstützung und verbesserte Erkennungsumgehung. Die Einrichtung erfordert fundierte Virtualisierungskenntnisse, belohnt aber mit detaillierten Reports. domains: - incident-response - malware-analysis phases: - examination - analysis platforms: - Linux - Web related_concepts: null domain-agnostic-software: null skillLevel: advanced accessType: server-based url: https://github.com/cert-ee/cuckoo3 projectUrl: '' license: GPL-3.0 knowledgebase: false tags: - web-based - malware-analysis - behavioral-analysis - api - virtualization - automated-analysis - name: Ghidra icon: 📦 type: software description: >- NSAs Geschenk an die Reverse-Engineering-Community als mächtige Alternative zu IDA Pro. Der Decompiler verwandelt Maschinencode zurück in lesbaren Pseudocode für tiefgehende Analyse. Unterstützt dutzende Prozessorarchitekturen von x86 bis zu obskuren Embedded-Systemen. Die steile Lernkurve wird durch die aktive Community und exzellente Dokumentation gemildert. domains: - malware-analysis - ics-forensics phases: - analysis platforms: - Windows - Linux - macOS related_concepts: null domain-agnostic-software: null skillLevel: expert accessType: download url: https://github.com/NationalSecurityAgency/ghidra projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - gui - reverse-engineering - binary - decompilation - scripting - static-analysis - name: Plaso (log2timeline) icon: 📦 type: software description: >- Der industrielle Staubsauger für Zeitstempel - extrahiert aus hunderten Quellen eine Super-Timeline. Parst Windows-Event-Logs, Browser-Historie, Registry und vieles mehr in ein einheitliches Format. Die Integration mit Timesketch ermöglicht die Visualisierung von Millionen Events. Performance kann bei großen Datenmengen leiden, aber die Vollständigkeit ist unübertroffen. domains: - incident-response - static-investigations - network-forensics - cloud-forensics phases: - data-collection - examination platforms: - Windows - Linux - macOS related_concepts: null domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://plaso.readthedocs.io/ projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - commandline - logs - timeline-analysis - parsing - artifact-extraction - scripting - name: CyberChef icon: 🌐 type: software description: >- Das digitale Schweizer Taschenmesser für Daten-Manipulation mit über 300 Operations. Von Base64-Dekodierung über Verschlüsselung bis zur Malware-Deobfuskation - alles im Browser. Die visuelle "Rezept"-Metapher macht komplexe Transformationsketten intuitiv verständlich. Unverzichtbar für CTF-Challenges und tägliche Forensik-Aufgaben gleichermaßen. domains: - incident-response - static-investigations - malware-analysis - network-forensics phases: - examination - analysis platforms: - Web related_concepts: null domain-agnostic-software: null skillLevel: beginner accessType: server-based url: https://gchq.github.io/CyberChef/ projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - web-based - decoding - encryption - data-transformation - visualization - parsing - name: Velociraptor icon: 🌐 type: software description: >- Die nächste Evolution der Endpoint-Forensik mit skalierbarer Remote-Collection-Architektur. Die mächtige VQL-Abfragesprache ermöglicht chirurgisch präzise Artefakt-Sammlung ohne Full-Disk-Images. Hunt-Funktionen durchsuchen tausende Endpoints gleichzeitig nach Kompromittierungs-Indikatoren. Die Lernkurve ist steil, aber die Effizienzgewinne bei großen Infrastrukturen sind enorm. domains: - incident-response - static-investigations - malware-analysis - fraud-investigation - network-forensics - cloud-forensics phases: - data-collection - examination - analysis platforms: - Windows - Linux - macOS - Web related_concepts: null domain-agnostic-software: null skillLevel: advanced accessType: server-based url: https://www.velociraptor.app/ projectUrl: https://raptor.cc24.dev license: Apache 2.0 knowledgebase: true tags: - web-based - endpoint-monitoring - artifact-extraction - scripting - live-forensics - hunting statusUrl: https://status.mikoshi.de/api/badge/33/status - name: GRR Rapid Response icon: 🌐 type: software description: >- Googles Antwort auf Enterprise-Scale-Forensik für die Untersuchung von Flotten mit tausenden Clients. Sammelt gezielt Artefakte und führt Memory-Analysen remote durch, ohne Systeme offline zu nehmen. Weniger Features als Velociraptor, dafür stabiler und einfacher in der Handhabung. Die Python-API ermöglicht die Automatisierung wiederkehrender Untersuchungen. domains: - incident-response - static-investigations - malware-analysis - fraud-investigation phases: - data-collection - examination platforms: - Windows - Linux - macOS - Web related_concepts: null domain-agnostic-software: null skillLevel: advanced accessType: server-based url: https://github.com/google/grr projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - web-based - endpoint-monitoring - artifact-extraction - api - live-forensics - fleet-management - name: Arkime icon: 📦 type: software description: >- Das Heavy-Metal-Tool für Full-Packet-Capture mit der Fähigkeit, Petabytes an Netzwerkverkehr zu speichern. Indiziert in Echtzeit Metadaten für blitzschnelle Suchen über Monate historischer Daten. Die Integration mit Elasticsearch ermöglicht komplexe Queries über Sessions, IPs und Payloads. Ressourcenhungrig aber unverzichtbar für ernsthafte Network Security Monitoring Operations. domains: - incident-response - static-investigations - network-forensics - cloud-forensics phases: - data-collection - examination - analysis platforms: - Linux related_concepts: null domain-agnostic-software: null skillLevel: expert accessType: server-based url: https://arkime.com/ projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - web-based - network-traffic - packet-capture - indexing - api - big-data - name: NetworkMiner icon: 📦 type: software description: >- Der benutzerfreundliche kleine Bruder von Wireshark mit Fokus auf Forensik statt Live-Analyse. Extrahiert automatisch übertragene Dateien, Bilder und Credentials aus PCAP-Dateien. Die intuitive GUI zeigt Hosts, Sessions und DNS-Queries übersichtlich ohne komplexe Filter. Perfekt für Einsteiger und schnelle Übersichten, an Grenzen bei verschlüsseltem Traffic. domains: - incident-response - static-investigations - malware-analysis - network-forensics phases: - examination - analysis platforms: - Windows - Linux related_concepts: null domain-agnostic-software: null skillLevel: beginner accessType: download url: https://www.netresec.com/?page=NetworkMiner projectUrl: '' license: GPL-2.0 / Commercial knowledgebase: false tags: - gui - network-traffic - file-extraction - visualization - parsing - session-reconstruction - name: ExifTool icon: 📦 type: software description: >- Der Metadaten-Maestro, der aus über 1000 Dateiformaten verborgene Informationen extrahiert. Findet GPS-Koordinaten in Fotos, Autoren in Dokumenten und Bearbeitungshistorien in PDFs. Die Kommandozeile mag abschrecken, aber die Mächtigkeit ist unübertroffen. Ein Must-Have für jede Forensik-Toolbox, oft der erste Schritt bei Dokumenten-Untersuchungen. domains: - incident-response - static-investigations - fraud-investigation - mobile-forensics phases: - examination - analysis platforms: - Windows - Linux - macOS related_concepts: - Regular Expressions (Regex) domain-agnostic-software: null skillLevel: novice accessType: download url: https://exiftool.org/ projectUrl: '' license: Perl Artistic License knowledgebase: false tags: - commandline - metadata - parsing - artifact-extraction - scripting - batch-processing - name: Chainalysis icon: 📦 type: software description: >- Der Platzhirsch der Blockchain-Forensik mit Zugriff auf die größte Krypto-Intelligence-Datenbank weltweit. Clustering-Algorithmen identifizieren Exchanges, Mixer und Darknet-Märkte mit beeindruckender Genauigkeit. Die Sanctions Screening und Compliance-Features machen es zur ersten Wahl für Behörden. Lizenzkosten im sechsstelligen Bereich limitieren den Zugang auf Großorganisationen. domains: - static-investigations - fraud-investigation phases: - analysis - reporting platforms: - Web related_concepts: null domain-agnostic-software: null skillLevel: intermediate accessType: commercial url: https://www.chainalysis.com/ projectUrl: '' license: Proprietary knowledgebase: false tags: - web-based - blockchain - visualization - correlation - api - reporting - name: Neo4j icon: 🌐 type: software description: >- Die führende Graph-Datenbank verwandelt komplexe Beziehungsgeflechte in verständliche Visualisierungen. Mit Cypher-Queries lassen sich Verbindungen zwischen Personen, Transaktionen und Events aufdecken. Besonders wertvoll für Social-Media-Analysen, Geldflüsse und Organisations-Strukturen. Die Community Edition limitiert auf einen Benutzer - für Teams ist die kommerzielle Version nötig. domains: - static-investigations - malware-analysis - fraud-investigation - network-forensics - cloud-forensics phases: - analysis - reporting platforms: - Windows - Linux - macOS - Web related_concepts: - SQL Query Fundamentals domain-agnostic-software: null skillLevel: intermediate accessType: server-based url: https://neo4j.com/ projectUrl: https://graph.cc24.dev license: GPL-3.0 / Commercial knowledgebase: false tags: - web-based - visualization - graph-analysis - api - correlation - query-language statusUrl: https://status.mikoshi.de/api/badge/32/status - name: QGIS icon: 📦 type: software description: >- Das Open-Source-GIS-Kraftpaket für die Visualisierung von Geodaten in forensischen Untersuchungen. Erstellt aus GPS-Logs von Smartphones beeindruckende Bewegungsprofile und Heatmaps. Die Python-Integration ermöglicht automatisierte Analysen großer Datensätze. Unverzichtbar wenn Fahrzeuge, Drohnen oder mobile Geräte mit Standortdaten involviert sind. domains: - static-investigations - fraud-investigation - mobile-forensics phases: - analysis - reporting platforms: - Windows - Linux - macOS related_concepts: null domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://qgis.org/ projectUrl: '' license: GPL-2.0 knowledgebase: false tags: - gui - geospatial - visualization - mapping - scripting - reporting - name: Nextcloud icon: 🌐 type: software description: >- Die Open-Source-Cloud-Suite als sichere Kollaborations-Zentrale für Forensik-Teams. Bietet verschlüsselte Dateifreigabe, Office-Integration und Videokonferenzen DSGVO-konform. Der eingebaute SSO-Provider vereinfacht das Identity Management für andere Forensik-Tools. Skaliert vom Raspberry Pi für kleine Teams bis zur High-Availability-Installation. domains: - incident-response - static-investigations - malware-analysis - fraud-investigation - network-forensics - mobile-forensics - cloud-forensics - ics-forensics phases: - reporting platforms: - Web related_concepts: null domain-agnostic-software: - collaboration-general skillLevel: novice accessType: server-based url: https://nextcloud.com/ projectUrl: https://cloud.cc24.dev license: AGPL-3.0 knowledgebase: true tags: - web-based - collaboration - file-sharing - api - encryption - document-management statusUrl: https://status.mikoshi.de/api/badge/11/status - name: Gitea icon: 🌐 type: software description: >- Das leichtgewichtige Git-Repository für die Versionierung von Forensik-Skripten und Dokumentation. Perfekt für die Verwaltung von YARA-Rules, Volatility-Plugins und Analysetools im Team. Die eingebaute CI/CD-Pipeline automatisiert Tool-Deployments und Qualitätschecks. Ressourcenschonend genug für den Betrieb auf einem NAS oder Mini-Server. domains: - incident-response - malware-analysis phases: - reporting platforms: - Web related_concepts: null domain-agnostic-software: - collaboration-general skillLevel: beginner accessType: server-based url: https://gitea.io/ projectUrl: https://git.cc24.dev license: MIT knowledgebase: null tags: - web-based - version-control - collaboration - api - documentation - ci-cd statusUrl: https://status.mikoshi.de/api/badge/18/status - name: Binwalk icon: 📦 type: software description: >- Der Firmware-Flüsterer, der aus IoT-Geräten und Routern ihre Geheimnisse extrahiert. Erkennt eingebettete Dateisysteme, komprimierte Archive und versteckte Partitionen automatisch. Besonders wertvoll für die Analyse von Embedded-Malware und Backdoors in Smart Devices. Die Magie liegt in den Signaturen - mit eigenen Rules erweiterbar für spezielle Formate. domains: - malware-analysis - ics-forensics phases: - examination - analysis platforms: - Linux - macOS related_concepts: null domain-agnostic-software: null skillLevel: advanced accessType: download url: https://github.com/ReFirmLabs/binwalk projectUrl: '' license: MIT knowledgebase: false tags: - commandline - firmware - carving - binary - extraction - scripting - name: LibreOffice icon: 📦 type: software description: >- Die freie Office-Suite, die mehr kann als nur Berichte schreiben. Calc eignet sich hervorragend für die Analyse von CSV-Exporten und Log-Dateien. Die Makro-Funktionen ermöglichen die Automatisierung wiederkehrender Auswertungen. Als Standardformat für Abschlussberichte unverzichtbar und überall einsetzbar. domains: - incident-response - static-investigations - malware-analysis - fraud-investigation - network-forensics - mobile-forensics - cloud-forensics - ics-forensics phases: - examination - analysis - reporting platforms: - Windows - Linux - macOS related_concepts: null domain-agnostic-software: - collaboration-general skillLevel: novice accessType: download url: https://www.libreoffice.org/ projectUrl: '' license: Mozilla Public License Version 2.0 knowledgebase: false tags: - gui - document-creation - spreadsheet-analysis - reporting - data-processing - scripting - name: Android Logical Imaging icon: 📋 type: method description: >- Es gibt immer wieder auch Fälle, wo man nicht allermodernste Mobilgeräte knacken muss - der Großvater, der im Nachlass ein altes Samsung mit wichtigen Daten hinterlassen hat. Es muss in diesn Fällen nicht der teure Hersteller aus Israel sein. Die Androis-ADB-Shell bietet genug Möglichkeiten, auch ohne viel Geld auszugeben an das logische Dateisystem zu gelangen. Die Erfolgsaussichten sinken jedoch massiv bei neuren Geräten. domains: - mobile-forensics phases: - data-collection platforms: [] skillLevel: advanced accessType: null url: https://claude.ai/public/artifacts/66785e1f-62bb-4eb9-9269-b08648161742 projectUrl: null license: null knowledgebase: true related_concepts: null tags: - imaging - filesystem - hardware-interface - name: Microsoft Office 365 type: software description: >- Der Industriestandard für professionelle Dokumentation mit nahtloser Cloud-Integration. Excel's Power Query verwandelt komplexe Forensik-Datensätze in aussagekräftige Visualisierungen. Die Kollaborations-Features ermöglichen Echtzeit-Zusammenarbeit an Berichten. Datenschutzbedenken bei Cloud-Speicherung sensibler Forensik-Daten sollten bedacht werden. domains: - incident-response - static-investigations - malware-analysis - fraud-investigation - network-forensics - mobile-forensics - cloud-forensics - ics-forensics phases: - examination - analysis - reporting skillLevel: novice url: https://www.office.com/ tags: - gui - document-creation - spreadsheet-analysis - collaboration - cloud-based - reporting icon: ☁️ platforms: - Windows - macOS - Web accessType: commercial license: Proprietary knowledgebase: false related_concepts: null domain-agnostic-software: - collaboration-general - name: GraphSense icon: 🌐 type: software description: >- Die europäische Alternative zu Chainalysis mit Open-Source-Kern und Fokus auf Privatsphäre. Clustering-Qualität noch nicht auf Chainalysis-Niveau, dafür vollständige Kontrolle über die Daten. Die Cassandra-Backend-Anforderungen machen Self-Hosting zur Herausforderung für kleine Teams. Ideal für Organisationen, die Blockchain-Analysen ohne US-Cloud-Abhängigkeit benötigen. domains: - static-investigations - fraud-investigation phases: - analysis - reporting platforms: - Web related_concepts: null domain-agnostic-software: null skillLevel: intermediate accessType: server-based url: https://graphsense.org/ projectUrl: '' license: MIT knowledgebase: false tags: - web-based - blockchain - visualization - graph-analysis - api - big-data - name: FTK Imager icon: 📦 type: software description: >- Der Oldtimer unter den Imaging-Tools, aber immer noch zuverlässig wie ein Uhrwerk. Erstellt bit-genaue Kopien von Festplatten mit integrierter Hash-Verifizierung für die Beweiskette. Die kostenlose Version reicht für die meisten Aufgaben, unterstützt alle gängigen Image-Formate. Etwas angestaubt in der Oberfläche, aber bewährt in tausenden Gerichtsverfahren. Freeware, aber nicht open source. domains: - static-investigations - incident-response phases: - data-collection platforms: - Windows related_concepts: - Hash Functions & Digital Signatures domain-agnostic-software: null skillLevel: beginner accessType: download url: https://www.exterro.com/digital-forensics-software/ftk-imager projectUrl: '' license: Proprietary knowledgebase: false tags: - gui - imaging - filesystem - hashing - verification - write-blocking - name: Guymager icon: 📦 type: software description: >- Das schlanke Linux-Imaging-Tool mit Fokus auf Performance und Zuverlässigkeit. Multi-threaded Design nutzt moderne CPUs optimal für schnellstmögliche Akquisition. Unterstützt RAW, EWF und AFF Formate mit simultaner Hash-Berechnung. Die spartanische Oberfläche täuscht über die solide Technik unter der Haube hinweg. domains: - incident-response - static-investigations phases: - data-collection platforms: - Linux related_concepts: - Hash Functions & Digital Signatures domain-agnostic-software: null skillLevel: novice accessType: download url: https://guymager.sourceforge.io/ projectUrl: '' license: GPL-2.0 knowledgebase: false tags: - gui - imaging - filesystem - hashing - multi-threading - write-blocking - name: Fuji icon: 📦 type: software description: >- Der Geheimtipp für macOS-Forensiker - Live-Imaging ohne Kernel-Modifikationen. Umgeht geschickt Apples Sicherheitsmechanismen für forensisch saubere Speicherabbilder. Besonders wertvoll da kommerzielle Mac-Forensik-Tools rar und teuer sind. Die aktive Community sorgt für Updates bei neuen macOS-Versionen. domains: - incident-response - static-investigations phases: - data-collection platforms: - macOS related_concepts: null domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/Lazza/Fuji projectUrl: '' license: GPL-3.0 knowledgebase: false tags: - commandline - imaging - memory - live-forensics - filesystem - macos-specific - name: ALEAPP icon: 📦 type: software description: >- Android-Forensik leicht gemacht - parst dutzende Apps und System-Artefakte automatisch. Von WhatsApp-Chats über Standortdaten bis zu gelöschten SQLite-Einträgen wird alles extrahiert. Die HTML-Reports sind gerichtsfest aufbereitet mit Timeline und Kommunikationsanalyse. Teil der beliebten LEAPP-Familie, ständig aktualisiert für neue Android-Versionen. domains: - incident-response - static-investigations - mobile-forensics phases: - examination - analysis platforms: - Windows - Linux - macOS related_concepts: - SQL Query Fundamentals domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/abrignoni/ALEAPP projectUrl: '' license: MIT knowledgebase: false tags: - gui - mobile-data - artifact-extraction - parsing - reporting - timeline-analysis - name: iLEAPP icon: 📦 type: software description: >- Das iOS-Pendant zu ALEAPP mit Fokus auf Apple's geschlossenem Ökosystem. Extrahiert versteckte Schätze aus iPhone-Backups inklusive gelöschter Daten. Besonders stark bei der Analyse von iMessage, FaceTime und Apple-eigenen Apps. Die regelmäßigen Updates halten Schritt mit iOS-Änderungen und neuen Artefakten. domains: - incident-response - static-investigations - mobile-forensics phases: - examination - analysis platforms: - Windows - Linux - macOS related_concepts: null domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/abrignoni/iLEAPP projectUrl: '' license: MIT knowledgebase: false tags: - gui - mobile-data - artifact-extraction - parsing - reporting - ios-specific - name: VLEAPP icon: 📦 type: software description: >- Die Zukunft der Fahrzeug-Forensik für vernetzte Autos und Infotainment-Systeme. Parst CAN-Bus-Daten, GPS-Tracks und Smartphone-Verbindungen aus modernen Fahrzeugen. Ein Nischen-Tool, aber unverzichtbar bei Unfallrekonstruktionen und Kriminalfällen. Die Unterstützung für verschiedene Hersteller wächst mit der Community. domains: - static-investigations - ics-forensics phases: - examination - analysis platforms: - Windows - Linux - macOS related_concepts: null domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/abrignoni/VLEAPP projectUrl: '' license: MIT knowledgebase: false tags: - gui - vehicle-data - artifact-extraction - parsing - gps-analysis - can-bus - name: Kali Linux type: software description: >- Die wohlbekannte Hacker-Distribution mit über 600 vorinstallierten Security-Tools. Von Forensik über Penetration Testing bis Reverse Engineering ist alles an Bord. Die Live-Boot-Option ermöglicht forensische Untersuchungen ohne Installation. Regelmäßige Updates halten die Tool-Sammlung auf dem neuesten Stand. domains: - incident-response - static-investigations - malware-analysis - fraud-investigation - network-forensics - mobile-forensics - cloud-forensics - ics-forensics skillLevel: intermediate url: https://kali.org/ tags: - live-boot - tool-collection - penetration-testing - forensics-suite - virtualization - arm-support icon: 🖥 platforms: - OS accessType: download license: GPL-3.0 knowledgebase: true related_concepts: null domain-agnostic-software: - specific-os - name: dd icon: 📦 type: software description: >- Das Unix-Urgestein für bit-genaues Kopieren von Datenträgern seit 1974. Minimalistisch aber mächtig - der Goldstandard für forensische Disk-Images unter Linux. Mit den richtigen Parametern (conv=noerror,sync) übersteht es auch defekte Sektoren. Keine Schnörkel, keine GUI, nur pure Zuverlässigkeit für Forensik-Puristen. domains: - incident-response - static-investigations phases: - data-collection platforms: - Linux - macOS related_concepts: null domain-agnostic-software: null skillLevel: intermediate accessType: built-in url: https://www.gnu.org/software/coreutils/dd projectUrl: '' license: GPL-3.0 knowledgebase: false tags: - commandline - imaging - raw-copy - block-device - unix-tool - scripting - name: dcfldd icon: 📦 type: software description: >- Die forensische Weiterentwicklung von dd mit eingebauter Hash-Verifizierung. Zeigt Fortschrittsbalken, splittet große Images und berechnet mehrere Hashes gleichzeitig. Von der DoD Computer Forensics Lab entwickelt für professionelle Anforderungen. Die Status-Ausgabe während langer Imaging-Vorgänge rettet Nerven und Zeit. domains: - incident-response - static-investigations phases: - data-collection platforms: - Linux related_concepts: - Hash Functions & Digital Signatures domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/resurrecting-open-source-projects/dcfldd projectUrl: '' license: GPL-2.0 knowledgebase: false tags: - commandline - imaging - hashing - verification - progress-monitoring - split-output - name: ewfacquire icon: 📦 type: software description: >- Das Kommandozeilen-Tool für Expert Witness Format (E01) Images mit Kompression. Teil der libewf-Suite, erstellt gerichtsfeste Images mit Metadaten und Chain of Custody. Besonders wertvoll für große Datenträger dank effizienter Kompression. Die E01-Kompatibilität ermöglicht nahtlosen Austausch mit kommerziellen Tools. domains: - incident-response - static-investigations phases: - data-collection platforms: - Linux - macOS related_concepts: null domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/libyal/libewf projectUrl: '' license: LGPL-3.0 knowledgebase: false tags: - commandline - imaging - compression - ewf-format - metadata - verification - name: PhotoRec icon: 📦 type: software description: >- Der Datenretter in der Not - findet gelöschte Dateien ohne Dateisystem-Strukturen. Signature-basiertes Carving für über 300 Dateiformate von Fotos bis Office-Dokumenten. Arbeitet read-only und ist damit forensisch sauber für die Beweissicherung. Die Schwestersoftware TestDisk repariert zusätzlich beschädigte Partitionen. domains: - incident-response - static-investigations - fraud-investigation phases: - examination platforms: - Windows - Linux - macOS related_concepts: null domain-agnostic-software: null skillLevel: beginner accessType: download url: https://www.cgsecurity.org/wiki/PhotoRec projectUrl: '' license: GPL-2.0 knowledgebase: false tags: - commandline - carving - file-recovery - deleted-data - signature-based - cross-platform - name: Kismet icon: 📦 type: software description: >- Der WLAN-Schnüffler der Extraklasse für Wireless-Forensik und Sicherheitsaudits. Passives Monitoring deckt versteckte Netzwerke, Rogue Access Points und Client-Geräte auf. Die GPS-Integration ermöglicht War-Driving mit präziser Standort-Zuordnung. Unterstützt moderne Standards wie 802.11ac und Bluetooth LE Sniffing. domains: - incident-response - network-forensics phases: - data-collection - examination platforms: - Linux related_concepts: null domain-agnostic-software: null skillLevel: advanced accessType: download url: https://www.kismetwireless.net/ projectUrl: '' license: GPL-2.0 knowledgebase: false tags: - commandline - wireless-monitoring - packet-capture - gps-integration - passive-scanning - api - name: OSFMount icon: 📦 type: software description: >- Mountet Disk-Images als virtuelle Laufwerke unter Windows für komfortable Analyse. Unterstützt alle gängigen Formate von RAW über E01 bis zu VM-Images. Der schreibgeschützte Modus garantiert forensische Integrität der Beweise. Besonders praktisch für schnelle Triage ohne vollständige Forensik-Suite. Freeware, aber nicht open source. domains: - incident-response - static-investigations phases: - examination platforms: - Windows related_concepts: null domain-agnostic-software: null skillLevel: beginner accessType: download url: https://www.osforensics.com/tools/mount-disk-images.html projectUrl: '' license: Proprietary knowledgebase: false tags: - gui - image-mounting - filesystem - read-only - virtual-drive - format-support - freeware - name: Thumbcache Viewer icon: 📦 type: software description: >- Spezialist für Windows Thumbnail-Caches mit Zugriff auf gelöschte Bildvorschauen. Extrahiert Thumbnails aus thumbcache_*.db Dateien inklusive EXIF-Zeitstempel. Unbezahlbar für den Nachweis, dass Bilder auf einem System vorhanden waren. Die einfache GUI macht es auch für weniger technische Ermittler zugänglich. domains: - static-investigations - fraud-investigation phases: - examination - analysis platforms: - Windows related_concepts: null domain-agnostic-software: null skillLevel: beginner accessType: download url: https://thumbcacheviewer.github.io/ projectUrl: '' license: GPL-3.0 knowledgebase: false tags: - gui - windows-artifacts - image-analysis - cache-analysis - thumbnail-extraction - deleted-data - name: RegRipper icon: 📦 type: software description: >- Der Windows-Registry-Experte mit hunderten Plugins für automatisierte Analyse. Extrahiert USB-Historie, installierte Software, Benutzeraktivitäten und Malware-Spuren. Die Plugin-Architektur erlaubt maßgeschneiderte Untersuchungen für spezielle Fälle. Spart Stunden manueller Registry-Analyse und findet oft übersehene Artefakte. domains: - incident-response - static-investigations - malware-analysis phases: - examination - analysis platforms: - Windows - Linux related_concepts: null domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/keydet89/RegRipper3.0 projectUrl: '' license: MIT knowledgebase: false tags: - commandline - registry - windows-artifacts - parsing - plugin-system - artifact-extraction - name: YARA type: software description: >- Die Pattern-Matching-Engine für Malware-Jäger und Threat Hunter. Regelbasierte Suche nach Strings, Byte-Sequenzen und regulären Ausdrücken. De-facto Standard für Malware-Signaturen mit riesiger Community-Rule-Sammlung. Integration in viele Forensik-Tools macht es zum Marktstandard. domains: - incident-response - malware-analysis phases: - examination - analysis skillLevel: intermediate url: https://virustotal.github.io/yara/ tags: - commandline - pattern-matching - malware-detection - rule-engine - library - signature-based icon: 🛠 platforms: - Windows - Linux - macOS related_concepts: - Regular Expressions (Regex) - Hash Functions & Digital Signatures accessType: download license: BSD-3-Clause knowledgebase: false - name: Strings icon: 📦 type: software description: >- Das simple Tool mit großer Wirkung - extrahiert lesbare Texte aus Binärdateien. Findet URLs, Passwörter, Pfade und andere ASCII/Unicode-Strings in Malware. Die Ausgabe gibt oft erste Hinweise auf Funktionalität und Herkunft. In Kombination mit grep ein mächtiges Werkzeug für schnelle Triage. domains: - incident-response - malware-analysis phases: - examination platforms: - Windows - Linux - macOS related_concepts: - Regular Expressions (Regex) domain-agnostic-software: null skillLevel: novice accessType: built-in url: https://docs.microsoft.com/en-us/sysinternals/downloads/strings projectUrl: '' license: Proprietary/GPL knowledgebase: false tags: - commandline - string-extraction - binary - quick-analysis - text-search - cross-platform - name: MaxMind GeoIP type: software description: >- Die Geolocation-Datenbank für IP-Adressen-Zuordnung zu Ländern und Städten. Unverzichtbar für die Analyse von Netzwerk-Logs und Angriffsherkunft. Die kostenlose GeoLite2-Version reicht für die meisten forensischen Zwecke. API-Integration ermöglicht automatisierte Anreicherung großer Datensätze. domains: - incident-response - fraud-investigation - network-forensics phases: - analysis skillLevel: beginner url: https://www.maxmind.com/ tags: - api - geolocation - ip-analysis - database - enrichment - library icon: 🗄 platforms: - Windows - Linux - macOS accessType: download license: GeoLite2 EULA / Commercial knowledgebase: false - name: SIFT Workstation type: software description: >- SANS' kuratierte Ubuntu-Distribution vollgepackt mit Forensik-Tools und Skripten. Über 500 Tools vorinstalliert, vorkonfiguriert und dokumentiert für sofortigen Einsatz. Die begleitenden Trainingsmaterialien machen es zur idealen Lernumgebung. Regelmäßige Updates vom SANS-Team halten die Tool-Sammlung aktuell. domains: - incident-response - static-investigations - malware-analysis - network-forensics - mobile-forensics skillLevel: intermediate url: https://www.sans.org/tools/sift-workstation/ tags: - virtual-machine - tool-collection - forensics-suite - training-focused - documentation - ubuntu-based icon: 🖥 platforms: - OS accessType: download license: Free / Mixed knowledgebase: false related_concepts: null domain-agnostic-software: - specific-os - name: Tsurugi Linux type: software description: >- Die von Forensikern entwickelte Forensik-Distribution mit Fokus auf Benutzerfreundlichkeit. Besonders stark bei Mobile- und Malware-Forensik mit vielen spezialisierten Tools. Die DFIR-Menüstruktur gruppiert Tools logisch nach Untersuchungsphasen. Läuft performant auch auf älterer Hardware dank optimiertem Kernel. Hat einen integrierten Write-Blocker und existiert in einer reduzierten "Acquire"-Version, die Imaging als Live-System-Umgebung ermöglicht. domains: - incident-response - static-investigations - malware-analysis - mobile-forensics skillLevel: intermediate url: https://tsurugi-linux.org/ tags: - live-boot - tool-collection - forensics-suite - mobile-focus - lightweight icon: 🖥 platforms: - OS accessType: download license: GPL / Mixed knowledgebase: false related_concepts: null domain-agnostic-software: - specific-os - name: Parrot Security OS type: software description: >- Die Datenschutz-fokussierte Alternative zu Kali mit Forensik-Werkzeugen. AnonSurf für anonymisierte Ermittlungen und verschlüsselte Kommunikation eingebaut. Ressourcenschonender als Kali, läuft flüssig auch in VMs mit wenig RAM. Die rolling-release Natur hält Tools aktuell ohne Neuinstallation. domains: - incident-response - static-investigations - malware-analysis - network-forensics skillLevel: intermediate url: https://parrotsec.org/ tags: - live-boot - privacy-focused - tool-collection - rolling-release - lightweight - anonymization icon: 🖥 platforms: - OS accessType: download license: GPL-3.0 knowledgebase: false related_concepts: null domain-agnostic-software: - specific-os - name: Eric Zimmerman Tools icon: 📦 type: software description: >- Die Tool-Sammlung des Windows-Forensik-Gurus für Artefakt-Analyse. Von ShellBags über Prefetch bis zu Amcache - jedes Tool ein Spezialist. Die Timeline Explorer GUI vereint alle Ausgaben in einer durchsuchbaren Ansicht. Ständige Updates für neue Windows-Versionen und Cloud-Artefakte. domains: - incident-response - static-investigations phases: - examination - analysis platforms: - Windows related_concepts: null domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://ericzimmerman.github.io/ projectUrl: '' license: MIT knowledgebase: false tags: - commandline - windows-artifacts - parsing - timeline-analysis - tool-collection - artifact-extraction - name: Impacket icon: 📦 type: software description: >- Python-Bibliothek für Netzwerk-Protokoll-Manipulation und Windows-Forensik. Ermöglicht Remote-Zugriff auf Windows-Systeme für Live-Forensik und IR. Die Skript-Sammlung deckt von SMB-Enumeration bis Kerberos-Attacks alles ab. Unverzichtbar für die Untersuchung von Lateral Movement und Persistence. domains: - incident-response - network-forensics - malware-analysis phases: - data-collection - examination platforms: - Linux - Windows - macOS related_concepts: null domain-agnostic-software: null skillLevel: advanced accessType: download url: https://github.com/SecureAuthCorp/impacket projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - library - network-protocols - windows-forensics - remote-access - scripting - api - name: RSA NetWitness icon: 📦 type: software description: >- Enterprise-Grade SIEM und Forensik-Plattform für große Netzwerke. Korreliert Logs, Packets und Endpoints für 360-Grad-Sicht auf Incidents. Die Hunting-Funktionen nutzen ML für Anomalie-Erkennung in Petabytes von Daten. Lizenzkosten im siebenstelligen Bereich für vollständige Deployment. domains: - incident-response - network-forensics - malware-analysis phases: - data-collection - examination - analysis platforms: - Web related_concepts: null domain-agnostic-software: null skillLevel: expert accessType: commercial url: https://www.netwitness.com/ projectUrl: '' license: Proprietary knowledgebase: false tags: - web-based - siem - big-data - correlation - machine-learning - enterprise - name: X-Ways Forensics icon: 📦 type: software description: >- Der deutsche Präzisionsskalpell unter den Forensik-Tools mit unübertroffener Effizienz. Besonders geschätzt für blitzschnelle Searches in Multi-Terabyte-Images. Die spartanische Oberfläche schreckt Einsteiger ab, Profis schwören darauf. Deutlich günstiger als US-Konkurrenz bei vergleichbarer Funktionalität. domains: - static-investigations - incident-response phases: - examination - analysis platforms: - Windows related_concepts: null domain-agnostic-software: null skillLevel: expert accessType: commercial url: https://www.x-ways.net/forensics/ projectUrl: '' license: Proprietary knowledgebase: false tags: - gui - filesystem - carving - high-performance - german-made - hex-editor - name: EnCase icon: 📦 type: software description: >- Der Veteran der kommerziellen Forensik-Tools mit 25 Jahren Gerichtserfahrung. EnScript-Programmierung ermöglicht maßgeschneiderte Automatisierung. Die Zertifizierung (EnCE) ist in vielen Behörden Einstellungsvoraussetzung. domains: - static-investigations - incident-response phases: - data-collection - examination - analysis - reporting platforms: - Windows related_concepts: null domain-agnostic-software: null skillLevel: intermediate accessType: commercial url: https://www.opentext.com/products/encase-forensic projectUrl: '' license: Proprietary knowledgebase: false tags: - gui - filesystem - enterprise - court-proven - certification - scripting - name: FRED icon: 🔧 type: software description: >- Forensic Recovery of Evidence Device - spezialisierte Hardware für Imaging. Kombiniert Write-Blocker, Imager und Analyse-Workstation in einem System. Die Ultrabay-Technologie ermöglicht Hot-Swap mehrerer Drives gleichzeitig. Für High-Volume-Labs die Investition wert, für Gelegenheitsnutzer Overkill. domains: - static-investigations - incident-response phases: - data-collection platforms: - Hardware related_concepts: null domain-agnostic-software: null skillLevel: intermediate accessType: commercial url: https://www.digitalintelligence.com/products/fred/ projectUrl: '' license: Proprietary knowledgebase: false tags: - hardware - imaging - write-blocking - multiple-drives - professional-lab - integrated-system - name: ICSpector type: software description: >- Ein von Microsoft entwickeltes Open-Source-Framework, das eine besondere Nische bedient: Die Datensammlung bei Industriekontrollsystemen und PLC-Metadaten. domains: - ics-forensics phases: - data-collection - examination - analysis skillLevel: advanced url: https://github.com/microsoft/ics-forensics-tools tags: - python - binary - scripting icon: 🛠 platforms: - Windows - Linux - macOS accessType: download license: MIT knowledgebase: false - name: Live Memory Acquisition Procedure icon: 📋 type: method description: >- Standardisiertes Verfahren zur forensisch korrekten Akquisition des Arbeitsspeichers laufender Systeme. Umfasst Bewertung der Systemkritikalität, Auswahl geeigneter Tools, Minimierung der System-Kontamination und Dokumentation der Chain of Custody. Essentiell für die Sicherung flüchtiger Beweise wie Prozess-Informationen, Netzwerkverbindungen und Verschlüsselungsschlüssel. domains: - incident-response - static-investigations - malware-analysis phases: - data-collection platforms: [] related_concepts: null domain-agnostic-software: null skillLevel: advanced accessType: null url: >- https://www.nist.gov/publications/guide-integrating-forensic-techniques-incident-response projectUrl: null license: null knowledgebase: false tags: - memory-acquisition - volatile-evidence - live-forensics - ram-dump - evidence-preservation - procedure - name: Rapid Incident Response Triage on macOS icon: 📋 type: method description: >- Spezialisierte Methodik für die schnelle Incident Response auf macOS-Systemen mit Fokus auf die Sammlung kritischer forensischer Artefakte in unter einer Stunde. Adressiert die Lücke zwischen Windows-zentrierten IR-Prozessen und macOS-spezifischen Sicherheitsarchitekturen. Nutzt Tools wie Aftermath für effiziente Datensammlung ohne zeitaufwändige Full-Disk-Images. Besonders wertvoll für Unternehmensumgebungen mit gemischten Betriebssystem-Landschaften. domains: - incident-response - static-investigations - malware-analysis phases: - data-collection - examination platforms: [] related_concepts: null domain-agnostic-software: null skillLevel: intermediate accessType: null url: >- https://www.sans.org/white-papers/rapid-incident-response-on-macos-actionable-insights-under-hour/ projectUrl: null license: null knowledgebase: null tags: - macos - rapid-response - triage - incident-response - aftermath - enterprise - methodology - apple - name: Aftermath icon: 📦 type: software description: >- Jamf's Open-Source-Tool für die schnelle Sammlung forensischer Artefakte auf macOS-Systemen. Sammelt kritische Daten wie Prozessinformationen, Netzwerkverbindungen, Dateisystem-Metadaten und Systemkonfigurationen ohne Full-Disk-Imaging. Speziell entwickelt für die Rapid-Response-Triage in Enterprise-Umgebungen mit macOS-Geräten. Normalisiert Zeitstempel und erstellt durchsuchbare Ausgabeformate für effiziente Analyse. domains: - incident-response - static-investigations - malware-analysis phases: - data-collection - examination platforms: - macOS related_concepts: null domain-agnostic-software: null skillLevel: intermediate accessType: download url: https://github.com/jamf/aftermath/ projectUrl: '' license: Apache 2.0 knowledgebase: false tags: - macos - incident-response - triage - artifact-collection - rapid-response - jamf - enterprise - commandline - name: Regular Expressions (Regex) icon: 🔤 type: concept description: >- Pattern matching language for searching, extracting, and manipulating text. Essential for log analysis, malware signature creation, and data extraction from unstructured sources. Forms the backbone of many forensic tools and custom scripts. domains: - incident-response - malware-analysis - network-forensics - fraud-investigation phases: - examination - analysis platforms: [] related_concepts: null domain-agnostic-software: null skillLevel: intermediate accessType: null url: https://regexr.com/ projectUrl: null license: null knowledgebase: true tags: - pattern-matching - text-processing - log-analysis - string-manipulation - search-algorithms - name: SQL Query Fundamentals icon: 🗃️ type: concept description: >- Structured Query Language for database interrogation and analysis. Critical for examining application databases, SQLite artifacts from mobile devices, and browser history databases. Enables complex correlation and filtering of large datasets. domains: - incident-response - mobile-forensics - fraud-investigation - cloud-forensics phases: - examination - analysis platforms: [] related_concepts: null domain-agnostic-software: null skillLevel: intermediate accessType: null url: https://www.w3schools.com/sql/ projectUrl: null license: null knowledgebase: false tags: - database-analysis - query-language - data-correlation - mobile-artifacts - browser-forensics - name: Hash Functions & Digital Signatures icon: 🔐 type: concept description: >- Cryptographic principles for data integrity verification and authentication. Fundamental for evidence preservation, malware identification, and establishing chain of custody. Understanding of MD5, SHA, and digital signature validation. domains: - incident-response - static-investigations - malware-analysis - cloud-forensics phases: - data-collection - examination platforms: [] related_concepts: null domain-agnostic-software: null skillLevel: advanced accessType: null url: https://en.wikipedia.org/wiki/Cryptographic_hash_function projectUrl: null license: null knowledgebase: false tags: - cryptography - data-integrity - evidence-preservation - malware-identification - chain-of-custody - name: MSAB XRY type: software description: >- Die Smartphone-Extraktionssoftware der Firma MSAB positioniert sich als Konkurrenz zum Marktführer Cellebrite. MSAB wirbt mit dem Imaging selbst neuester Android- und IOS-Geräte. skillLevel: beginner url: https://www.msab.com/product/xry-extract/ icon: 📦 domains: - mobile-forensics phases: - data-collection tags: - law-enforcement - fast - SIM - image-recognition platforms: - Windows accessType: download license: Proprietary knowledgebase: false domains: - id: incident-response name: Incident Response & Breach-Untersuchung - id: static-investigations name: Datenträgerforensik & Ermittlungen - id: malware-analysis name: Malware-Analyse & Reverse Engineering - id: fraud-investigation name: Betrugs- & Finanzkriminalität - id: network-forensics name: Netzwerk-Forensik & Traffic-Analyse - id: mobile-forensics name: Mobile Geräte & App-Forensik - id: cloud-forensics name: Cloud & Virtuelle Umgebungen - id: ics-forensics name: Industrielle Kontrollsysteme (ICS/SCADA) phases: - id: data-collection name: Datensammlung description: Imaging, Acquisition, Remote Collection Tools - id: examination name: Auswertung description: Parsing, Extraction, Initial Analysis Tools - id: analysis name: Analyse description: Deep Analysis, Correlation, Visualization Tools - id: reporting name: Bericht & Präsentation description: >- Documentation, Visualization, Presentation Tools (z.B. QGIS für Geodaten, Timeline-Tools) domain-agnostic-software: - id: collaboration-general name: Übergreifend & Kollaboration description: Cross-cutting tools and collaboration platforms - id: specific-os name: Betriebssysteme description: Operating Systems which focus on forensics