tools: - name: Autopsy type: software description: >- Die bekannte Open-Source-Forensik-Suite vereint hunderte Analyse-Module unter einer intuitiven Oberfläche. Exzellent für Timeline-Rekonstruktion durch automatische Korrelation von Dateisystem-Artefakten, Registry-Einträgen und Log-Dateien. Das integrierte Keyword-Search-Modul findet Beweise in gelöschten Dateien, Slack-Space und unallokierten Bereichen. Die TSK-basierte Engine unterstützt alle gängigen Dateisysteme von NTFS über ext4 bis APFS. Besonders wertvoll: Die PhotoRec-Integration für signaturbasiertes Carving und die automatische Hash-Analyse gegen NSRL und eigene Datenbanken. Plugins erweitern die Funktionalität für Spezialfälle wie Smartphone-Forensik oder Cloud-Artefakte. skillLevel: intermediate url: https://www.autopsy.com/ icon: 🔍 domains: - incident-response - static-investigations - malware-analysis - mobile-forensics - cloud-forensics - fraud-investigation phases: - examination - analysis - reporting tags: - gui - timeline - file-carving - keyword-search - plugin-support - opensource - hash-analysis - deleted-data - artifact-extraction - multi-user - case-management - report-generation - tsk-framework - scenario:disk_imaging - scenario:file_recovery - scenario:browser_history related_concepts: - SQL - Hash Functions & Digital Signatures - Digital Evidence Chain of Custody related_software: - Plaso (log2timeline) - PhotoRec - RegRipper platforms: - Windows - Linux accessType: download license: Apache-2.0 knowledgebase: false - name: Volatility 3 type: software description: >- Memory-Forensik-Framework mit automatischer OS-Erkennung für Windows, Linux, macOS RAM-Dumps analysiert über 100 Plugins für Prozess-Extraktion, DLL-Injections, Netzwerk-Sockets, Registry-Hives und Rootkit-Artefakte. Native Python-3-Architektur mit YARA-Integration für Memory-Pattern-Matching und Timeline-Export in strukturierte Formate. Neue Plugins erkennen Process-Hollowing, Kernel-Hooks und Persistence-Mechanismen automatisch. Symbol-basierte Analyse beschleunigt Multi-GB-Dump-Verarbeitung durch optimierte Memory-Parsing-Algorithmen. Cloud-Storage-Support ermöglicht verteilte Analyse großer Memory-Images. url: https://www.volatilityfoundation.org/ skillLevel: advanced domains: - incident-response - static-investigations - malware-analysis - network-forensics phases: - examination - analysis platforms: - Windows - Linux - macOS tags: - cli - plugin-support - scripting - memory-timeline - process-analysis - network-artifacts - rootkit-detection - code-injection - yara-integration - python-api - scenario:memory_dump - opensource - memory-analysis - ram-dump related_concepts: - Hash Functions & Digital Signatures - Regular Expressions (Regex) related_software: - YARA - Rekall - WinPmem - LiME icon: 🧠 license: VSL accessType: download - name: MISP type: software description: >- Threat-Intelligence-Sharing-Platform für strukturiertes IOC-Management durch standardisierte Attribute: IP-Adressen, Domains, Datei-Hashes, YARA-Rules, Malware-Samples mit Metadaten-Anreicherung. Galaxies und Taxonomien klassifizieren Bedrohungen nach MITRE ATT&CK-Framework und Kill-Chain-Phasen. Föderierte Architektur ermöglicht selektives Intelligence-Sharing zwischen vertrauenswürdigen Partnern durch Tagging-System. Correlation-Engine findet automatisch Zusammenhänge zwischen scheinbar unabhängigen Incidents. ZeroMQ-Feed pusht IOCs in Echtzeit an Firewalls, SIEMs und Detection-Systeme für automatisierte Response. url: https://misp-project.org/ skillLevel: intermediate domains: - incident-response - static-investigations - malware-analysis - network-forensics - cloud-forensics - fraud-investigation phases: - data-collection - examination - analysis platforms: - Web tags: - web-interface - IOC-matching - taxonomies - api - threat-scoring - collaboration - correlation-engine - galaxy-clusters - warninglists - zeromq-feed - stix-export - federation related_concepts: - Hash Functions & Digital Signatures related_software: - Cortex - OpenCTI icon: 🌐 projectUrl: https://misp.cc24.dev license: AGPL-3.0 accessType: server-based knowledgebase: true - name: DFIR-IRIS icon: 🌺 type: software description: >- Collaborative Incident Response Management Platform für strukturierte DFIR-Case-Organisation. Zentralisiert alle Aspekte einer Untersuchung: Assets, IOCs, Tasks, Timeline, Evidence-Tracking. Multi-User-Environment mit granularen Permissions für verschiedene Analysten-Rollen. Besonders wertvoll: Case-Templates standardisieren Workflows, automatische IOC- Enrichment via MISP/OpenCTI, integrierte Timeline-Visualisierung, Evidence-Chain-of-Custody-Tracking. Plugin-System erweitert für Custom- Integrations. RESTful API für Tool-Orchestrierung. Dashboard zeigt Case- Status und Team-Workload. Notes-System dokumentiert Findings strukturiert. Reporting-Engine generiert Executive-Summaries. Die Web-basierte Architektur skaliert von kleinen Teams bis Enterprise-SOCs. Docker- Deployment vereinfacht Installation. Besonders stark bei komplexen, langwierigen Ermittlungen mit mehreren Beteiligten. Open-Source Alternative zu kommerziellen Case-Management-Systemen. domains: - incident-response - static-investigations - malware-analysis - fraud-investigation - network-forensics - mobile-forensics - cloud-forensics phases: - data-collection - examination - analysis - reporting platforms: - Web related_software: - MISP - OpenCTI domain-agnostic-software: - collaboration-general skillLevel: intermediate accessType: server-based url: https://dfir-iris.org/ license: LGPL-3.0 knowledgebase: false tags: - web-interface - case-management - collaboration - multi-user-support - api - workflow - timeline-view - ioc-tracking - evidence-management - reporting - plugin-support - docker-ready related_concepts: - Digital Evidence Chain of Custody - name: Timesketch type: software description: >- Google's Collaborative Timeline-Analyse-Platform meistert Millionen von korrelierten Events durch hochperformante Elasticsearch-Backend-Architektur für Enterprise-Scale-Investigations. Plaso-Integration parst automatisch über 300 verschiedene Log-Formate in einheitliche Super-Timeline mit standardisierten Attributen. Interactive Timeline-Explorer mit dynamischen Heatmaps, Activity-Graphen und Statistical-Analysis für Advanced-Pattern-Recognition. Sigma-Rules werden direkt auf Timelines angewendet für Automated-Threat-Detection, Machine-Learning-Analyzers erkennen Login-Brute-Force, Lateral-Movement und Data-Exfiltration-Patterns. Collaborative-Features: Shared-Sketches, Analyst-Comments, Saved-Searches und narrative Stories für Management-Reporting. url: https://timesketch.org/ skillLevel: intermediate domains: - incident-response - static-investigations - network-forensics - cloud-forensics - fraud-investigation phases: - analysis - reporting platforms: - Web tags: - web-interface - timeline - collaboration - visualization - timeline-correlation - timeline-view - elasticsearch-backend - plaso-integration - sigma-rules - heatmaps - anomaly-detection - narrative-documentation - timeline-analysis - collaborative-analysis related_concepts: - Regular Expressions (Regex) related_software: - Plaso (log2timeline) - Elasticsearch - Kibana icon: ⏱️ projectUrl: https://timesketch.cc24.dev license: Apache-2.0 accessType: server-based - name: Wireshark type: software description: >- Netzwerk-Protokoll-Analyzer dekodiert Ethernet bis zu ICS-Protokollen mit mächtiger Display-Filter-Syntax für präzise Paket-Selektion. Follow-Stream rekonstruiert komplette TCP-Sessions, HTTP-Uploads, FTP-Transfers. Expert-Info identifiziert Anomalien wie Retransmissions, Malformed Packets. Export-Objekte extrahiert übertragene Dateien aus HTTP, SMB, TFTP. TLS-Decryption mit Private Keys oder SSLKEYLOGFILE. Lua- und C-Plugin-API für Custom-Dissectors. url: https://www.wireshark.org/ skillLevel: intermediate domains: - incident-response - malware-analysis - network-forensics - cloud-forensics - ics-forensics - fraud-investigation phases: - examination - analysis platforms: - Windows - Linux - macOS tags: - gui - protocol-decode - packet-filtering - pcap-capture - cross-platform - session-reconstruction - display-filters - follow-stream - expert-info - statistics - coloring-rules - tls-decryption - network-analysis - packet-analysis - traffic-analysis related_concepts: - Regular Expressions (Regex) related_software: - NetworkMiner - tcpdump - Arkime icon: 🦈 license: GPL-2.0 accessType: download - name: Magnet AXIOM type: software description: >- Umfassende Digital-Investigation-Plattform kombiniert Akquisition, Analyse und Reporting in integrierter Suite für End-to-End-Forensik komplexer Fälle. AXIOM Process sammelt Artefakte von über 300 Datenquellen: Desktop-Computer, Mobile Devices, Cloud Services, IoT-Geräte mit automatischer Parser-Erkennung. KI-gestützte Artifact-Categorization klassifiziert verdächtige Inhalte automatisch und reduziert manuelle Review-Zeit drastisch. Internet Evidence Finder (IEF) Engine extrahiert Web-Artefakte aus allen Major-Browsern, Magnet.AI beschleunigt CSAM-Detection durch Machine Learning. Connections-View visualisiert Kommunikations-Patterns zwischen Personen, Parallel-Processing-Engine analysiert Terabytes in Stunden. url: https://www.magnetforensics.com/products/magnet-axiom/ skillLevel: beginner domains: - incident-response - static-investigations - mobile-forensics - cloud-forensics - fraud-investigation phases: - data-collection - examination - analysis - reporting platforms: - Windows tags: - gui - commercial - cloud-artifacts - mobile-app-data - automation-ready - court-admissible - ai-categorization - ief-engine - connections-view - timeline-analysis - csam-detection - parallel-processing related_concepts: - Digital Evidence Chain of Custody - Hash Functions & Digital Signatures related_software: - GrayKey - Cellebrite UFED icon: 🧲 license: Proprietary accessType: commercial - name: Cellebrite UFED type: software description: >- Entsperrt aktuelle iPhones und Android-Flaggschiffe durch Zero-Day-Exploits und proprietäre Bypass-Methoden für Physical-Extraction sensibler Daten. Logical Plus erweitert Standard-iTunes-Backups um gelöschte SQLite-Records und App-Sandbox-Inhalte. Advanced Services greifen auf kontinuierlich aktualisiertes Exploit-Labor für neueste und resistente Geräte-Modelle zurück. Physical Analyzer visualisiert extrahierte Daten mit interaktiver Timeline-Ansicht, Geo-Location-Maps und Social-Network-Relationship-Graphen. Project-VIC Integration erkennt CSAM automatisch durch Hash-Matching, Cloud-Analyzer-Lizenz ermöglicht direkten Zugriff auf 50+ Cloud-Services ohne Device-Dependency. url: https://cellebrite.com/en/ufed/ skillLevel: beginner domains: - static-investigations - mobile-forensics - fraud-investigation phases: - data-collection - examination - analysis platforms: - Windows tags: - gui - commercial - mobile-app-data - decryption - physical-copy - dongle-license - zero-day-exploits - cloud-analyzer - project-vic - timeline-view - geo-mapping - advanced-services related_concepts: - SQL - Digital Evidence Chain of Custody related_software: - Magnet AXIOM - Oxygen Forensic Suite - MSAB XRY icon: 📱 license: Proprietary accessType: commercial - name: Cuckoo Sandbox 3 icon: 🥚 type: software description: >- Die automatisierte Malware-Analyse-Umgebung führt Schadsoftware kontrolliert in isolierten VMs aus und dokumentiert jede Aktion. Version 3 vom CERT-EE modernisiert die Architektur mit Python 3, verbesserter Evasion-Resistenz und Cloud-Scale-Fähigkeiten. Behavioral Analysis trackt API-Calls, Registry-Änderungen, Datei-Operationen und Netzwerk-Kommunikation. PCAP-Recording für vollständige Traffic-Analyse. Memory-Dumps werden automatisch mit Volatility analysiert. Simulated Services täuschen Internet-Konnektivität vor. Anti-Anti-VM umgeht moderne Sandbox-Erkennung. Distributed-Mode analysiert hunderte Samples parallel. Die Reporting-Engine generiert detaillierte JSON/HTML-Reports mit MITRE ATT&CK Mapping. YARA-Integration für Signatur-Matching. REST-API für Integration in CI/CD-Pipelines. Die komplexe Installation erfordert Virtualisierungs-Expertise, belohnt aber mit industrieller Malware-Analyse-Kapazität. domains: - incident-response - malware-analysis phases: - examination - analysis platforms: - Linux - Web related_software: - YARA - Volatility 3 - MISP - VirusTotal skillLevel: advanced accessType: server-based url: https://github.com/cert-ee/cuckoo3 license: GPL-3.0 knowledgebase: false tags: - web-interface - sandboxing - behavioral-analysis - malware-unpacking - virtual-analysis - sandbox-reports - api-monitoring - network-capture - memory-analysis - mitre-attack - distributed-analysis - anti-evasion related_concepts: - Regular Expressions (Regex) - name: Ghidra type: software description: >- Reverse-Engineering-Framework mit fortschrittlichem Decompiler für Assembly-zu-C-Code-Transformation und Cross-Architecture-Binary-Analyse von Malware und Firmware. Unterstützt 30+ Prozessor-Architekturen von x86/x64 über ARM, MIPS bis zu exotischen Embedded-CPUs und DSPs. Ghidra-Server ermöglicht kollaborative Team-Analyse mit Versionskontrolle und Shared-Projects. PCode als Intermediate Language vereinheitlicht Multi-Architecture-Analysen durch abstrakte Darstellung. Function-Graph visualisiert Control-Flow interaktiv, Script-Manager automatisiert mit Python/Java komplexe Reverse-Engineering-Tasks. Pattern-Matching identifiziert bekannte Funktionen automatisch. url: https://ghidra-sre.org/ skillLevel: expert domains: - malware-analysis - ics-forensics - static-investigations phases: - analysis platforms: - Windows - Linux - macOS tags: - gui - binary-decode - malware-unpacking - cross-platform - scripting - opensource - decompiler - multi-architecture - collaborative - function-graph - pattern-matching - version-tracking related_concepts: - Regular Expressions (Regex) related_software: - IDA Pro - Radare2 - x64dbg - Binary Ninja icon: 🔮 license: Apache-2.0 accessType: download - name: Plaso (log2timeline) type: software description: >- Industrieller Timeline-Generator extrahiert Zeitstempel aus hunderten heterogener Artefakt-Typen für lückenlose Digital-Activity-Rekonstruktion komplexer Incidents. Spezialisierte Parser für Windows Event Logs, Registry-Hives, Prefetch-Files, Browser-History, Mobile-App-Databases, Cloud-Service-Logs und Linux-System-Logs. Storage-Architektur verarbeitet Massendaten effizient durch SQLite-Backend und Memory-Optimization. Zeitstempel-Normalisierung konvertiert verschiedene Formate und Zeitzonen automatisch in UTC für einheitliche Timeline. Analysis-Plugins erkennen Anti-Forensik-Techniken wie Timestomping und Clock-Manipulation. Modulare Parser-Architektur ermöglicht einfache Erweiterung für proprietäre oder neue Log-Formate. url: https://plaso.readthedocs.io/ skillLevel: intermediate domains: - incident-response - static-investigations - network-forensics - cloud-forensics - mobile-forensics phases: - data-collection - examination platforms: - Windows - Linux - macOS tags: - cli - timeline - log-parser - cross-platform - timeline-merge - time-normalization - artifact-parser - elasticsearch-export - docker-support - timestomping-detection - modular-parsers - batch-processing - timeline-analysis - forensic-timeline related_concepts: - Regular Expressions (Regex) related_software: - Timesketch - Autopsy - Plaso (log2timeline) icon: ⏰ license: Apache-2.0 accessType: download - name: CyberChef type: software description: >- Daten-Manipulations-Framework mit 400+ Operations für Encoding, Verschlüsselung, Analyse und Transformation durch visuelle Rezept-Verkettung. Base64 dekodieren → XOR entschlüsseln → Strings extrahieren → Hashes berechnen in einem Workflow. Magic-Mode erkennt automatisch Encodings, Entropy-Visualisierung identifiziert verschlüsselte Bereiche. Offline-Fähigkeit im Browser macht es DSGVO-konform für sensible Daten. Import/Export von Rezepten für Wiederverwendung. url: https://gchq.github.io/CyberChef/ skillLevel: beginner domains: - incident-response - static-investigations - malware-analysis - network-forensics - fraud-investigation phases: - examination - analysis platforms: - Web tags: - web-interface - binary-decode - decryption - malware-unpacking - string-search - triage - regex-operations - magic-detection - entropy-analysis - recipe-based - offline-mode - data-transformation related_concepts: - Regular Expressions (Regex) - Hash Functions & Digital Signatures related_software: - GCHQ Tools icon: 👨‍🍳 license: Apache-2.0 accessType: server-based - name: Velociraptor icon: 🦖 type: software description: >- Die nächste Evolution der Endpoint-Forensik skaliert digitale Ermittlungen auf zahlreiche Systeme. VQL (Velociraptor Query Language) ermöglicht chirurgisch präzise Artefakt-Sammlung ohne Full-Disk-Images: "SELECT * FROM glob('/Users/*/Downloads/*.exe')". Hunt-Kampagnen durchsuchen die gesamte Infrastruktur parallel nach IOCs. Der Agent läuft mit minimalem Footprint und sammelt Artefakte verschlüsselt. Notebooks für gespeicherte Queries und Analysen. Die Timeline-Funktion korreliert Events über alle Endpoints. Offline-Collector für Air-Gapped-Systeme. Server-Event-Monitoring für Real-Time-Detection. Automatische Triage mit Artifact-Packs. Die eingebaute Quarantäne isoliert kompromittierte Systeme. Cloud-Native-Architektur mit Multi-Tenancy. GUI und CLI für verschiedene Nutzergruppen. Die Lernkurve für VQL ist steil, aber die Effizienz-Gewinne sind enorm. Perfekt für Enterprise-IR und Threat-Hunting. domains: - incident-response - static-investigations - malware-analysis - fraud-investigation - network-forensics - cloud-forensics phases: - data-collection - examination - analysis platforms: - Windows - Linux - macOS - Web related_software: - GRR Rapid Response - osquery - KAPE skillLevel: advanced accessType: server-based url: https://www.velociraptor.app/ projectUrl: https://raptor.cc24.dev license: Apache-2.0 knowledgebase: true statusUrl: https://status.mikoshi.de/api/badge/33/status tags: - web-interface - remote-collection - distributed - scripting - cross-platform - triage - vql-queries - hunt-campaigns - real-time-monitoring - offline-collector - artifact-packs - multi-tenancy related_concepts: - SQL - name: GRR Rapid Response icon: 🚨 type: software description: >- Googles Remote-Live-Forensik-Framework wurde für die Untersuchung ihrer globalen Infrastruktur entwickelt. Skaliert auf hunderttausende Clients mit minimalem Server-Overhead. Der Python-Agent sammelt Artefakte, führt YARA-Scans durch und erstellt Timeline-Daten. Flow-basierte Architektur für asynchrone Operationen. Rekall-Integration für Remote-Memory-Analyse. Hunt-Feature für unternehmensweite IOC-Suche. Approval-Workflows für datenschutzkonforme Ermittlungen. Die Admin-UI visualisiert Client-Status und Collection-Progress. Export zu BigQuery für Big-Data-Analysen. Der Output-Plugin-System integriert mit SIEMs und Ticketing. Besonders stark bei Linux-Flotten. Die API ermöglicht Automatisierung wiederkehrender Ermittlungen. Weniger Features als Velociraptor, dafür ausgereifter und stabiler. Ideal für Organisationen mit großen, homogenen Infrastrukturen. domains: - incident-response - static-investigations - malware-analysis - fraud-investigation phases: - data-collection - examination platforms: - Windows - Linux - macOS - Web related_software: - Velociraptor - osquery - Rekall skillLevel: advanced accessType: server-based url: https://github.com/google/grr license: Apache-2.0 knowledgebase: false tags: - web-interface - remote-collection - distributed - api - cross-platform - triage - flow-architecture - hunt-feature - approval-workflow - bigquery-export - yara-scanning - timeline-generation related_concepts: - Regular Expressions (Regex) - name: Arkime icon: 🦈 type: software description: >- Das Full-Packet-Capture-Monster (früher Moloch) speichert und indiziert große Aufkommen von Netzwerkverkehr für historische Forensik. Erfasst Traffic mit 10Gbit/s+ und speichert PCAP mit intelligenter Kompression. Die Elasticsearch-Integration ermöglicht schnelle Suchen über Monate von Daten: IPs, Ports, Protokolle, HTTP-Header, SSL-Zertifikate. Session-Page visualisiert Verbindungen mit Protokoll-Dekodierung. SPI-Graph zeigt Traffic-Patterns. WISE (With Intelligence See Everything) reichert Daten mit Threat-Intel an. Arkime-Capture skaliert horizontal für Multiple 10G-Links. Die Viewer-Permissions ermöglichen granulare Zugriffskontrolle. Hunt-Jobs durchsuchen historische Daten nach neuen IOCs. API für Integration mit SOC-Tools. Die Hardware-Anforderungen sind massiv (TB RAM, PB Storage), aber für ernsthafte NSM unverzichtbar. Perfekt für APT-Jagd und Incident-Rekonstruktion. domains: - incident-response - static-investigations - network-forensics - cloud-forensics - malware-analysis phases: - data-collection - examination - analysis platforms: - Linux related_software: - Wireshark - Elasticsearch - Suricata - Zeek skillLevel: expert accessType: server-based url: https://arkime.com/ license: Apache-2.0 knowledgebase: false tags: - web-interface - pcap-capture - elasticsearch-integration - historical-analysis - packet-filtering - distributed - full-packet-capture - threat-intel-enrichment - horizontal-scaling - api-driven - hunt-jobs - spi-graph - name: NetworkMiner type: software description: >- PCAP-Analyzer extrahiert Dateien, Credentials und Host-Informationen aus Netzwerk-Traffic ohne Paket-Level-Details. Automatische Extraktion von Bildern, Dokumenten, Executables aus HTTP, FTP, TFTP, SMB-Traffic. Credentials-Harvesting findet Passwörter in Klartext-Protokollen. Host-Inventar mit OS-Fingerprinting, offenen Ports, Services. DNS-Resolution-Timeline zeigt Domain-Lookups. Frame-Reassembly auch bei Packet-Loss. url: https://www.netresec.com/?page=NetworkMiner skillLevel: beginner domains: - incident-response - static-investigations - malware-analysis - network-forensics phases: - examination - analysis platforms: - Windows - Linux tags: - gui - file-reconstruction - pcap-capture - session-reconstruction - dns-resolution - triage - credential-extraction - os-fingerprinting - keyword-search - artifact-extraction - cleartext-protocols - frame-reassembly - network-analysis - packet-analysis - network-forensics related_software: - Wireshark - tcpdump - CapLoader icon: ⛏️ license: GPL-2.0 / Commercial accessType: download - name: ExifTool icon: 📷 type: software description: >- Der universelle Metadaten-Extraktor liest und schreibt Informationen in über 1200 Dateiformaten - von JPEG-EXIF über PDF-Metadata bis zu proprietären RAW-Formaten. Findet versteckte Schätze: GPS-Koordinaten in Smartphone-Fotos, Autoren-Informationen in Office-Dokumenten, Änderungshistorien in PDFs, Kamera-Seriennummern in Bildern. Besonders wertvoll für OSINT und Dokumenten-Forensik. Batch-Processing für tausende Dateien. Timeline-Erstellung aus Datei-Zeitstempeln. Die -k Option behält Original-Zeitstempel bei Analyse. JSON/XML-Export für programmatische Weiterverarbeitung. Unterstützt verschachtelte Archive und eingebettete Dokumente. Die Kommandozeile mag abschrecken, aber die Mächtigkeit ist unübertroffen. GUI-Wrapper wie ExifToolGUI erleichtern Einsteigern den Zugang. Unverzichtbar für jede digitale Ermittlung mit Multimedia-Bezug. domains: - incident-response - static-investigations - fraud-investigation - mobile-forensics phases: - examination - analysis platforms: - Windows - Linux - macOS related_software: - ExifTool - FOCA skillLevel: novice accessType: download url: https://exiftool.org/ license: Perl Artistic License knowledgebase: false tags: - cli - metadata-parser - geolocation - cross-platform - triage - system-metadata - batch-processing - timeline-creation - json-export - osint-tool - document-forensics - multimedia-analysis - name: Chainalysis icon: ₿ type: software description: >- Analysiert Blockchain-Transaktionen mit der größten Attribution-Datenbank weltweit. Clustering-Algorithmen identifizieren Millionen Services: Exchanges, Darknet-Märkte, Mixer, Ransomware-Wallets. Reactor visualisiert Transaktionsflüsse mit automatischer Risikobewertung, KYT ermöglicht Echtzeit-Compliance. Investigation-Workflow traced Funds durch Mixer, Court-Ready Reports dokumentieren Blockchain-Beweiskette. Unterstützt Bitcoin, Ethereum und 100+ Blockchains, aber hohe Lizenzkosten limitieren auf Großorganisationen. domains: - static-investigations - fraud-investigation - incident-response phases: - analysis - reporting platforms: - Web related_software: - GraphSense - Elliptic skillLevel: intermediate accessType: commercial url: https://www.chainalysis.com/ license: Proprietary knowledgebase: false tags: - web-interface - blockchain-analysis - commercial - visualization - anomaly-detection - threat-scoring - clustering-analysis - compliance-screening - transaction-tracing - risk-assessment - multi-blockchain - api-integration - name: Neo4j type: software description: >- Native Graph-Datenbank transformiert komplexe Relationship-Data in intuitive Visualisierungen durch Cypher-Query-Language für forensische Pattern-Detection. Graph-Algorithmen finden kürzeste Pfade zwischen Entities, Community-Detection identifiziert Fraud-Rings und Criminal-Networks automatisch. Visual-Graph-Explorer macht verborgene Multi-Hop-Connections sichtbar für Money-Laundering, Social-Engineering und Organized-Crime-Investigations. APOC-Bibliothek bietet 450+ spezialisierte Procedures für Advanced-Analytics: Centrality-Measures, PageRank, Clustering-Coefficients. Bloom-Visualization-Tool für nicht-technische Stakeholder mit Point-and-Click-Exploration. Import aus CSV, JSON und relationalen Datenbanken, Elasticsearch-Integration für Hybrid-Search-Scenarios. url: https://neo4j.com/ skillLevel: intermediate domains: - static-investigations - malware-analysis - fraud-investigation - network-forensics - cloud-forensics phases: - analysis - reporting platforms: - Windows - Linux - macOS - Web tags: - web-interface - graph-view - visualization - correlation-engine - cross-platform - api - cypher-queries - community-detection - path-finding - bloom-visualization - apoc-procedures - import-tools related_concepts: - SQL related_software: - Maltego - Gephi - Linkurious icon: 🕸️ projectUrl: https://graph.cc24.dev license: GPL-3.0 / Commercial accessType: server-based - name: QGIS icon: 🗺️ type: software description: >- Verwandelt Forensik-Daten mit Geobezug in aussagekräftige Karten und Analysen. Visualisiert Bewegungsprofile aus Smartphone-GPS, Fahrzeug-Telematik oder Fitness-Trackern durch Heatmaps und Buffer-Analysen. Python-Integration (PyQGIS) automatisiert Massen-Datenverarbeitung, Temporal Controller animiert Bewegungen über Zeit. Spatial Queries finden Überschneidungen: "Wer war wann am selben Ort?". Print Composer erstellt gerichtsfeste Karten für Beweisaufbereitung. domains: - static-investigations - fraud-investigation - mobile-forensics - incident-response phases: - analysis - reporting platforms: - Windows - Linux - macOS related_software: - Google Earth Pro - ArcGIS skillLevel: intermediate accessType: download url: https://qgis.org/ license: GPL-2.0 knowledgebase: false tags: - gui - geolocation - visualization - heatmap - scripting - cross-platform - movement-analysis - temporal-animation - spatial-queries - 3d-visualization - print-composer - plugin-ecosystem - name: Binwalk icon: 🔬 type: software description: >- Der Firmware-Forensiker extrahiert versteckte Schätze aus IoT-Geräten, Routern und Embedded Systems. Signature-Scanning identifiziert eingebettete Dateisysteme (SquashFS, JFFS2, CramFS), komprimierte Archive und verschlüsselte Bereiche. Automatische Extraktion mit -e Flag. Entropy- Analyse visualisiert Zufälligkeit für Crypto-Erkennung. Die Rules-Engine erlaubt Custom-Signaturen für proprietäre Formate. Besonders wertvoll für IoT-Malware-Analyse, Router-Backdoor-Suche und IP-Kameras-Forensik. 3D-Entropy-Plots mit -E. Hexdump-Integration für manuelle Inspektion. Die Plugin-Architektur ermöglicht Erweiterungen. Oft der erste Schritt bei Hardware-Forensik. Kombiniert mit QEMU für Firmware-Emulation. Die False-Positive-Rate kann hoch sein, aber die Alternative ist manuelles Hex-Editing. Essential für jeden, der mit Embedded Devices arbeitet. domains: - malware-analysis - ics-forensics - static-investigations phases: - examination - analysis platforms: - Linux - macOS related_software: - Firmware Analysis Toolkit - FACT - Ghidra skillLevel: advanced accessType: download url: https://github.com/ReFirmLabs/binwalk license: MIT knowledgebase: false tags: - cli - firmware-extraction - signature-analysis - file-carving - entropy-check - binary-decode - iot-forensics - embedded-analysis - custom-signatures - hexdump-view - plugin-support - 3d-entropy - name: Nextcloud icon: ☁️ type: software description: >- Ermöglicht sichere Cloud-Collaboration für Forensik-Teams mit End-to-End-Verschlüsselung und granularen Berechtigungen. File-Sharing mit Ablaufdaten, Versionierung dokumentiert alle Änderungen, Collabora/OnlyOffice-Integration unterstützt gemeinsame Berichterstellung. Talk verschlüsselt Video-Konferenzen, Flow automatisiert Workflows ("Wenn Report fertig → Benachrichtige Team"). Audit-Logs für Compliance, Federation vernetzt mehrere Behörden-Instanzen. DSGVO-konform durch eigene Server-Kontrolle. domains: - incident-response - static-investigations - malware-analysis - fraud-investigation - network-forensics - mobile-forensics - cloud-forensics - ics-forensics phases: - reporting platforms: - Web related_software: - Collabora Online - OnlyOffice domain-agnostic-software: - collaboration-general skillLevel: novice accessType: server-based url: https://nextcloud.com/ projectUrl: https://cloud.cc24.dev license: AGPL-3.0 knowledgebase: true statusUrl: https://status.mikoshi.de/api/badge/11/status tags: - web-interface - collaboration - secure-sharing - multi-user-support - encrypted-reports - rbac - end-to-end-encryption - audit-logging - workflow-automation - video-conferencing - version-control - federation related_concepts: - Digital Evidence Chain of Custody - name: Kali Linux type: software description: >- Debian-basierte Live-Boot-Distribution vereint über 600 Security- und Forensik-Tools für kontaminationsfreie Untersuchungen ohne Host-System-Veränderung. Forensics-Mode deaktiviert automatisches Mounting und Netzwerk-Services für forensisch saubere Evidence-Akquisition. Tool-Kategorien decken alle DFIR-Phasen ab: Disk-Imaging (dc3dd, ddrescue), File-Carving (Foremost, Scalpel), Memory-Analyse (Volatility), Netzwerk-Forensik (Wireshark, tcpdump). Metapackages installieren spezialisierte Tool-Gruppen, ARM-Images unterstützen Raspberry Pi für Mobile- und IoT-Forensik. Persistence-Mode speichert Konfigurationen auf USB-Medien. url: https://kali.org/ skillLevel: intermediate domains: - incident-response - static-investigations - malware-analysis - fraud-investigation - network-forensics - mobile-forensics - cloud-forensics - ics-forensics platforms: - OS tags: - gui - cli - cross-platform - live-acquisition - write-blocker - opensource - forensics-mode - tool-collection - arm-support - nethunter - custom-builds - rolling-release related_software: - Parrot Security OS - SIFT Workstation icon: 🐉 license: GPL-3.0 accessType: download knowledgebase: true - name: FTK Imager type: software description: >- Windows-basierter Disk-Imager mit bewährter Zuverlässigkeit und breiter Gerichtsakzeptanz für Standard-Forensik-Laboratorien erstellt Images in RAW, SMART, E01 und AFF-Formaten. GUI führt systematisch durch Imaging-Prozess mit automatischer Hash-Verifizierung (MD5/SHA1) und Progress-Monitoring. Preview-Mode ermöglicht schnelle Evidence-Triage ohne Full-Image-Creation für Time-Critical-Investigations. Memory-Capture-Functionality für Live-RAM-Akquisition von laufenden Windows-Systemen. Protected-Folder-Viewing umgeht Windows-Sicherheitsbeschränkungen für Systemdateien-Access. Besonders geschätzt: robustes Bad-Sector-Handling, detaillierte Forensik-Logs und etablierte Chain-of-Custody-Procedures. url: https://www.exterro.com/digital-forensics-software/ftk-imager skillLevel: beginner domains: - static-investigations - incident-response phases: - data-collection platforms: - Windows tags: - gui - physical-copy - hashing - court-admissible - scenario:disk_imaging - ewf-support - memory-capture - preview-mode - bad-sector-handling - protected-folders - cli-available - triage - disk-imaging - forensic-imaging - evidence-acquisition related_concepts: - Hash Functions & Digital Signatures - Digital Evidence Chain of Custody related_software: - EnCase - X-Ways Forensics icon: 💾 license: Proprietary accessType: download - name: YARA type: software description: >- Die Pattern-Matching-Engine ist der De-facto-Standard für Malware- Identifikation und Threat-Hunting. Rule-Syntax ermöglicht komplexe Signaturen: Strings, Hex-Patterns, Regular Expressions, Bedingungen. Die Community pflegt tausende Rules für bekannte Malware-Familien. Integration in Forensik-Tools macht es allgegenwärtig: Volatility für Memory-Scans, Cuckoo für Behavior-Matching, VirusTotal für Sample-Klassifikation. Modules erweitern für PE-Analyse, Krypto- Erkennung und Macho-Parsing. Die Condition-Syntax ermöglicht komplexe Logik: "any of ($a*) and filesize < 200KB". Performance-Optimierung durch Aho-Corasick-Algorithmus. Python-Bindings für Automatisierung. YARA-Editor erleichtert Rule-Entwicklung. Die False-Positive-Rate erfordert sorgfältiges Tuning. Unverzichtbar für proaktive Threat-Detection und Incident-Response. domains: - incident-response - malware-analysis phases: - examination - analysis skillLevel: intermediate url: https://virustotal.github.io/yara/ icon: 🎯 platforms: - Windows - Linux - macOS accessType: download license: BSD-3-Clause knowledgebase: false tags: - cli - yara-scan - signature-analysis - regex-search - cross-platform - memory-signatures - pattern-matching - rule-based - module-support - python-bindings - community-rules - performance-optimized related_concepts: - Regular Expressions (Regex) - Hash Functions & Digital Signatures related_software: - Volatility 3 - Cuckoo Sandbox 3 - Loki - name: X-Ways Forensics type: software description: >- Forensik-Suite mit hochoptimierten Algorithmen für Multi-Terabyte-Image-Analyse und simultane Evidence-Verarbeitung mehrerer Datenträger parallel. Gallery-View mit Skin-Tone-Detection für CSAM-Ermittlungen, X-Tensions-Plugin-System automatisiert wiederkehrende Analysen und Custom-Workflows. Physical-Search durchsucht über Sektorgrenzen hinweg, Registry-Report-Generator extrahiert Windows-Artefakte strukturiert. Timeline-Engine mit Millisekunden-Präzision korreliert Events über alle Evidenzen. Hex-Editor zeigt Rohdaten parallel zur interpretierten Ansicht, Template-Support dekodiert proprietäre Dateiformate automatisch. url: https://www.x-ways.net/forensics/ skillLevel: expert domains: - static-investigations - incident-response - fraud-investigation phases: - examination - analysis platforms: - Windows tags: - gui - commercial - keyword-search - fast-scan - court-admissible - dongle-license - hex-editor - gallery-view - x-tensions - physical-search - registry-analysis - template-support related_concepts: - Digital Evidence Chain of Custody related_software: - WinHex - EnCase - FTK Imager icon: 🔬 license: Proprietary accessType: commercial - name: Eric Zimmerman Tools type: software description: >- Windows-Artefakt-Spezialist-Suite von Eric Zimmerman dekodiert moderne Windows-10/11-Strukturen mit unübertroffener Präzision und Detail-Ebene. ShellBags Explorer rekonstruiert Folder-Access-History, PECmd parst Prefetch-Files für Application-Execution-Evidence, AmcacheParser identifiziert Software-Installation-Timestamps. Registry Explorer mit Advanced-Bookmarks und Live-System-Analysis-Capabilities für Running-System-Forensics. Timeline Explorer korreliert CSV-Output aller Tools in unified Super-Timeline mit Multi-Source-Event-Correlation. KAPE-Integration orchestriert Tool-Collection automatisch, ständige Updates für Windows-11-Features, Cloud-Artefakte (OneDrive, Teams) und Enterprise-Environments. url: https://ericzimmerman.github.io/ skillLevel: intermediate domains: - incident-response - static-investigations - malware-analysis phases: - examination - analysis platforms: - Windows tags: - gui - artifact-parser - shellbags - prefetch-viewer - timeline - jumplist - registry-analysis - mft-parser - batch-processing - cloud-artifacts - community-driven - free-tools - scenario:windows-registry - scenario:persistence - artifact-extraction - windows-forensics related_concepts: - Digital Evidence Chain of Custody related_software: - KAPE icon: 🧰 license: MIT accessType: download - name: Regular Expressions (Regex) type: concept description: >- Die universelle Mustererkennungssprache ermöglicht komplexe Textsuchen und Datenextraktion in der digitalen Forensik. Von einfachen Wildcards bis zu komplexen Capture-Groups: IP-Adressen (\d{1,3}\.){3}\d{1,3}, E-Mail-Adressen, Kreditkarten, Bitcoin-Adressen. Essentiell für Log-Analyse, YARA-Rules, Grep-Searches und Data-Carving. Die Syntax variiert zwischen Tools (PCRE, Python, grep), aber Grundkonzepte sind universal. Quantifizierer (*, +, ?, {n,m}), Zeichenklassen ([a-z], \d, \w), Anchors (^, $), Lookarounds für kontextuelle Matches. Online-Tester wie regex101.com beschleunigen Entwicklung. Performance-Fallen bei komplexen Patterns beachten. Integration in alle Major-Forensik-Tools macht Regex-Kenntnisse unverzichtbar. Der Unterschied zwischen einem guten und großartigen Forensiker liegt oft in der Regex-Beherrschung. skillLevel: intermediate url: https://regexr.com/ icon: 🔤 domains: - incident-response - static-investigations - malware-analysis - fraud-investigation - network-forensics phases: - examination - analysis tags: - regex-search - string-search - log-parser - automation-ready - pattern-matching - data-extraction - text-processing - capture-groups - lookarounds - performance-critical knowledgebase: true - name: SQL type: concept description: >- Die Structured Query Language ist das Rückgrat moderner Datenanalyse in der digitalen Forensik. SQLite-Datenbanken dominieren mobile Forensik: WhatsApp-Chats, Browser-History, App-Daten. Grundlegende Queries (SELECT, JOIN, WHERE) bis zu komplexen Analysen mit Window-Functions und CTEs. Forensik-spezifische Patterns: Timeline-Reconstruction mit ORDER BY timestamp, Kommunikations-Analyse mit SELF-JOINs, Anomalie- Erkennung mit GROUP BY/HAVING. Tools wie DB Browser for SQLite visualisieren Strukturen. Vorsicht bei WAL-Mode und gelöschten Records. Python-Integration (sqlite3) für Automatisierung. NoSQL- Grundlagen werden wichtiger (MongoDB in Malware). Die Fähigkeit, aus Rohdaten Erkenntnisse zu extrahieren, macht SQL zur Kernkompetenz. Unterschätzt aber unverzichtbar für moderne Ermittlungen. skillLevel: intermediate url: https://www.w3schools.com/sql/ icon: 🗃️ domains: - incident-response - static-investigations - fraud-investigation - mobile-forensics - cloud-forensics phases: - examination - analysis tags: - sqlite-viewer - correlation-engine - mobile-app-data - browser-history - data-extraction - timeline-queries - join-operations - aggregate-analysis - wal-analysis - python-integration knowledgebase: true - name: Hash Functions & Digital Signatures type: concept description: >- Kryptographische Hash-Funktionen und digitale Signaturen bilden das Fundament der digitalen Beweissicherung. MD5 (veraltet aber verbreitet), SHA-1, SHA-256/512 für Integritätsprüfung. Kollisionsresistenz gewährleistet Eindeutigkeit. Forensische Anwendungen: Datenträger- Verifizierung vor/nach Imaging, Deduplizierung mit Hash-Sets (NSRL), Known-Bad-Identifikation (Malware, CSAM). Rainbow-Tables für Passwort-Cracking. Fuzzy-Hashing (ssdeep) für Ähnlichkeitsanalyse. Digitale Signaturen authentifizieren Software und Dokumente. Certificate-Chain-Analyse bei APT-Investigations. Timestamping für Chain-of-Custody. Die Mathematik dahinter ist komplex, aber Anwendung ist essentiell. Tools berechnen automatisch, aber Verständnis der Prinzipien unterscheidet Profis von Amateuren. Blockchain als verteilte Hash-Kette revolutioniert Evidence-Management. skillLevel: advanced url: https://en.wikipedia.org/wiki/Cryptographic_hash_function icon: 🔐 domains: - incident-response - static-investigations - malware-analysis - mobile-forensics - cloud-forensics phases: - data-collection - examination tags: - hashing - integrity-check - chain-of-custody - standards-compliant - deduplication - known-bad-detection - fuzzy-hashing - digital-signatures - timestamping - blockchain-evidence knowledgebase: true - name: Digital Evidence Chain of Custody type: concept description: >- Die lückenlose Dokumentation digitaler Beweise von der Sicherstellung bis zur Gerichtsverhandlung. Kernprinzipien: Authentizität, Integrität, Nachvollziehbarkeit, Nicht-Abstreitbarkeit. Praktische Umsetzung durch Hash-Verifizierung, Write-Blocker, detaillierte Dokumentation aller Schritte. Formulare dokumentieren Wer/Was/Wann/Wo/Warum. Fotografische Dokumentation der Hardware. Versiegelte Beweismitteltaschen mit Tamper-Evidence. Digitale CoC durch Blockchain-Timestamping. ISO/IEC 27037 als internationaler Standard. Gerichtliche Anforderungen variieren nach Jurisdiktion. Fehler in der CoC können zur Beweisverwerfung führen. Automatisierung durch LIMS (Laboratory Information Management Systems). Die CoC ist kein technisches sondern ein prozedurales Thema - oft unterschätzt aber entscheidend für erfolgreiche Verfahren. skillLevel: advanced url: >- https://www.unodc.org/e4j/en/cybercrime/module-6/key-issues/handling-of-digital-evidence.html icon: ⛓️ domains: - incident-response - static-investigations - fraud-investigation - mobile-forensics - cloud-forensics phases: - data-collection - examination - analysis - reporting tags: - chain-of-custody - standards-compliant - court-admissible - audit-trail - documentation - hash-verification - tamper-evidence - iso-27037 - legal-compliance - process-management knowledgebase: true - name: MSAB XRY type: software description: >- Mobile-Forensik-Suite mit Spezialisierung auf chinesische Smartphones und Hardware-Vielfalt durch regelmäßige Exploit-Updates alle 6-8 Wochen. Drone-Module extrahiert spezifische Flugdaten von DJI und Parrot-Geräten für Luftfahrt-Ermittlungen, XRY Camera identifiziert Device-Models aus Bildern automatisch. PIN-Code-Breaker-Hardware knackt 4-6 stellige Zugangscodes durch Brute-Force-Methoden physisch. XAMN-Elements analysiert Kommunikations-Verbindungen zwischen mehreren Geräten für komplexe Netzwerk-Forensik. Cloud-Extraction für 30+ Services, EU-basierte Alternative mit transparenterer Verkaufspolitik und GDPR-Compliance im Vergleich zu US-amerikanischen Konkurrenten. url: https://www.msab.com/product/xry-extract/ skillLevel: beginner domains: - mobile-forensics - static-investigations - fraud-investigation phases: - data-collection - examination - analysis platforms: - Windows tags: - gui - commercial - mobile-app-data - physical-copy - decryption - court-admissible - drone-forensics - chinese-phones - pin-cracking - cloud-extraction - link-analysis - eu-based related_concepts: - SQL - Digital Evidence Chain of Custody related_software: - Cellebrite UFED - Oxygen Forensic Suite - Magnet AXIOM icon: 📱 license: Proprietary accessType: download - name: OSFMount icon: 💿 type: software description: >- Das kostenlose Windows-Tool mountet Forensik-Images als virtuelle Laufwerke für komfortable Analyse ohne Vollinstallation einer Forensik-Suite. Unterstützt RAW (dd), E01 (EnCase), AFF, VHD, VMDK und weitere Formate. Write-Cache-Modus schützt Original-Images vor Veränderung. RAM-Disk-Feature für Performance bei kleinen Images. Die Plugin-Architektur erweitert für exotische Formate. Besonders praktisch: Partition-Selection bei Multi-Partition-Images, automatische Offset-Erkennung, Unterstützung für Disk- und Memory-Images. Der Image-Conversion-Wizard wandelt zwischen Formaten. Integration mit Windows Explorer für gewohnte Navigation. Mounting von Volume Shadow Copies. Die Freeware-Lizenz macht es zur ersten Wahl für Budget- bewusste Teams. Limitiert bei verschlüsselten Images, glänzt bei Standard-Aufgaben. Perfekt für schnelle Triage oder wenn kommerzielle Tools nicht verfügbar sind. domains: - incident-response - static-investigations phases: - examination platforms: - Windows related_software: - FTK Imager skillLevel: beginner accessType: download url: https://www.osforensics.com/tools/mount-disk-images.html license: Proprietary knowledgebase: false tags: - gui - virtual-machine - ewf-support - raw-image-support - write-blocker - triage - format-conversion - vss-support - partition-selection - ram-disk - explorer-integration - free-tool related_concepts: - Digital Evidence Chain of Custody - name: Live Memory Acquisition Procedure icon: 🧠 type: method description: >- Die forensisch korrekte Sicherung des Arbeitsspeichers laufender Systeme erfordert systematisches Vorgehen zur Minimierung der Artefakt-Kontamination. Kritische Entscheidung: Priorisierung flüchtiger Beweise vs. System-Stabilität. Tool-Auswahl nach OS: WinPmem (Windows), LiME (Linux), osxpmem (macOS). Vorbereitung: Tool auf externem Medium, Admin-Rechte sichern, Ziel-Storage mit ausreichend Platz. Durchführung: Dokumentation des System-Zustands, Tool-Ausführung mit minimalen Befehlen, Hash-Generierung sofort. Besondere Herausforderungen: Kernel-Schutz-Mechanismen (PatchGuard, Secure Boot), Anti-Forensik-Malware, Virtualisierte Umgebungen. Die ersten Sekunden kontaminieren unweigerlich - Transparenz in der Dokumentation essentiell. Post-Akquisition: Volatility-Profil erstellen, Timeline der Sammlung, Vergleich mit Disk-Artefakten. Der Unterschied zwischen verwertbaren und wertlosen Memory-Dumps liegt oft in der Methodik. domains: - incident-response - static-investigations - malware-analysis phases: - data-collection related_software: - WinPmem - LiME - Volatility 3 skillLevel: advanced url: >- https://www.nist.gov/publications/guide-integrating-forensic-techniques-incident-response knowledgebase: false tags: - live-acquisition - scenario:memory_dump - chain-of-custody - standards-compliant - contamination-aware - tool-selection - kernel-protection - anti-forensics - documentation-critical - volatility-compatible related_concepts: - Digital Evidence Chain of Custody - name: Android Logical Imaging icon: 📱 type: method description: >- Die forensische Datenextraktion von Android-Geräten ohne Rooting oder Exploits - ideal für Legacy-Geräte und BYOD-Szenarien. Nutzt ADB (Android Debug Bridge) für autorisierten Zugriff. Vorbereitung: USB-Debugging aktivieren, ADB-Autorisierung, OEM-spezifische Tricks (Samsung Smart Switch, LG Mobile Switch). Extraktion: ADB backup für App-Daten, Pull-Befehle für zugängliche Bereiche (/sdcard, /data/media), Content Provider Queries für Kontakte/SMS. Parsing: Android Backup Extractor für .ab-Files, SQLite-Analyse der Datenbanken, XML-Auswertung der Preferences. Limitierungen: Keine System-Apps, verschlüsselte Bereiche unzugänglich, neuere Android-Versionen (12+) stark eingeschränkt. Spezial-Techniken: Downgrade-Attacks, Sideloading forensischer Apps, Screen-Recording für UI-basierte Extraktion. Der Sweet-Spot: Android 4-8 Geräte mit schwachen Sicherheitsmechanismen. Dokumentation der Berechtigungen und Nutzer-Autorisierung für Gerichtsverwertbarkeit essentiell. domains: - mobile-forensics - static-investigations phases: - data-collection related_software: - Android Studio - ADB - ALEAPP - Android Backup Extractor skillLevel: advanced url: https://www.scirp.org/journal/paperinformation?paperid=132631 knowledgebase: true tags: - cli - logical-copy - mobile-app-data - triage - adb-based - legacy-devices - content-providers - backup-extraction - permission-based - court-considerations related_concepts: - SQL - Digital Evidence Chain of Custody - name: ALEAPP icon: 📱 type: software description: >- Android Logs Events And Protobuf Parser automatisiert die Extraktion forensischer Artefakte aus Android-Geräten. Parst über 200 App-Datenbanken und System-Logs in übersichtliche HTML-Reports. Von WhatsApp-Chats über Google-Maps-Timeline bis zu gelöschten SQLite-Records - ALEAPP findet versteckte Beweise. Die Timeline-Funktion korreliert Aktivitäten über alle Apps. Besonders wertvoll: Protobuf-Dekodierung für moderne Apps, Analyse von Well-Being-Daten, Batteriestatistiken für Aktivitätsmuster. Unterstützt physische Dumps, logische Extractions und sogar Teilbackups. Die Plugin-Architektur erlaubt Erweiterungen für neue Apps. Ständige Updates durch die aktive Community halten mit Android-Entwicklungen Schritt. Der generierte Report ist gerichtsfest strukturiert mit Quellenangaben zu jedem Artefakt. Integration mit iLEAPP und VLEAPP für Cross-Device-Analysen. domains: - incident-response - static-investigations - mobile-forensics - fraud-investigation phases: - examination - analysis platforms: - Windows - Linux - macOS related_software: - iLEAPP - VLEAPP - Autopsy skillLevel: intermediate accessType: download url: https://github.com/abrignoni/ALEAPP license: MIT knowledgebase: false tags: - cli - mobile-app-data - artifact-parser - timeline - html-export - sqlite-viewer - protobuf-parser - whatsapp-analysis - google-artifacts - battery-stats - well-being-data - cross-platform - artifact-extraction - mobile-analysis related_concepts: - SQL - name: iLEAPP icon: 🍎 type: software description: >- iOS Logs, Events, And Plists Parser extrahiert forensische Schätze aus iPhone-Backups und physischen Dumps. Über 350 Artefakt-Parser dekodieren iOS-Geheimnisse: gelöschte iMessages, Safari-History, Screen-Time-Daten, AirDrop-Transfers. Die KnowledgeC-Analyse rekonstruiert App-Nutzungsmuster minutengenau. Besonders mächtig: Parsing von Unified Logs für System-Events, Health-Daten-Extraktion, Significant-Locations mit Karten-Visualisierung. Die HTML-Reports sind durchsuchbar und gerichtsfest aufbereitet. Neue Features: iOS 17 Support, Live-Photos-Metadaten, Apple-Pay-Transaktionen. Die ständigen Updates halten mit Apples Verschleierungstaktiken Schritt. PowerLog-Parser zeigt Batterie-Events für Aktivitätsanalyse. Die modulare Architektur erlaubt Custom-Parser für proprietäre Apps. Cross-Referenzierung mit macOS-Artefakten über Continuity. Ein Muss für jeden iOS-Forensiker. domains: - incident-response - static-investigations - mobile-forensics - fraud-investigation phases: - examination - analysis platforms: - Windows - Linux - macOS related_software: - ALEAPP - VLEAPP - Cellebrite UFED skillLevel: intermediate accessType: download url: https://github.com/abrignoni/iLEAPP license: MIT knowledgebase: false tags: - cli - mobile-app-data - artifact-parser - timeline - html-export - deleted-file-recovery - knowledgec-parser - unified-logs - health-data - screen-time - imessage-recovery - ios-forensics related_concepts: - SQL - name: VLEAPP icon: 🚗 type: software description: >- Vehicle Logs, Events, And Properties Parser erschließt die digitale Blackbox moderner Fahrzeuge. Extrahiert Daten aus Infotainment-Systemen, Telematik- Modulen und verbundenen Smartphones. CAN-Bus-Logs enthüllen Geschwindigkeit, Bremsverhalten, Airbag-Events für Unfallrekonstruktion. Die GPS-Timeline zeigt Routen mit Stopps und Fahrtzeiten. Besonders wertvoll: Bluetooth- Verbindungsprotokolle identifizieren Fahrer, CarPlay/Android-Auto-Daten, gespeicherte WLAN-Hotspots. Unterstützt Tesla, BMW, Mercedes, VW-Gruppe und erweitert ständig. Die Kontaktlisten-Extraktion findet synchronisierte Telefonbücher. USB-Historie zeigt angeschlossene Geräte. Event-Data-Recorder parsing für Crash-Forensik. Die HTML-Reports visualisieren Bewegungsprofile auf Karten. Unersetzlich für Unfälle, Diebstähle und Alibis. Die wachsende Fahrzeug-Forensik-Community teilt Parser für neue Modelle. domains: - static-investigations - ics-forensics - fraud-investigation phases: - examination - analysis platforms: - Windows - Linux - macOS related_software: - ALEAPP - iLEAPP skillLevel: intermediate accessType: download url: https://github.com/abrignoni/VLEAPP license: MIT knowledgebase: false tags: - cli - artifact-parser - geolocation - timeline - html-export - system-metadata - vehicle-forensics - can-bus-data - infotainment - crash-data - bluetooth-connections - gps-tracking - name: dd type: software description: >- Unix-Standard für bit-genaue Datenträger-Kopien seit 1974 mit absolut minimalistischem System-Footprint für kontaminationsfreie Akquisition. Wichtigste forensische Parameter: conv=noerror,sync für graceful Bad-Sector-Handling, bs=4M für optimale I/O-Performance, status=progress für Fortschrittsanzeige. Pipe-Capability zu Hash-Tools ermöglicht simultane Verifizierung ohne Intermediate-Storage. Funktioniert auf jedem Unix-System ohne Installation oder Dependencies. Zero-Kontamination durch Pure-Read-Access ohne Metadata-Modifikation. Network-Imaging via netcat für Remote-Acquisition über SSH-Tunnels. Split-Output für FAT32-Limits, Signal-Handling für graceful Interruption und Resume-Capability. url: https://www.gnu.org/software/coreutils/dd skillLevel: intermediate domains: - incident-response - static-investigations phases: - data-collection platforms: - Linux - macOS tags: - cli - physical-copy - raw-image-support - scenario:disk_imaging - zero-footprint - offline-mode - bit-for-bit - pipe-capable - network-imaging - unix-standard - minimal-contamination - performance-tuning - disk-imaging - bit-copy related_concepts: - Digital Evidence Chain of Custody related_software: - dcfldd - dc3dd - ewfacquire icon: 💾 license: GPL-3.0 - name: dcfldd type: software description: >- Defense Computer Forensics Lab DD erweitert klassisches dd um essenzielle forensische Features für professionelle Imaging-Workflows. Simultane Multi-Hash-Berechnung (MD5, SHA1, SHA256) während des Imaging-Prozesses ohne Performance-Einbußen oder zusätzliche Passes. Split-on-the-fly für Multi-Volume-Archives ohne Zwischenspeicherung, Pattern-Wiping für DoD 5220.22-M-konforme sichere Löschung. Status-Output zeigt Transfer-Geschwindigkeit, verbleibende Zeit und ETA-Berechnung. Block-Level-Hashing ermöglicht granulare Integritätsprüfung einzelner Disk-Sektoren für Partial-Corruption-Detection. Verify-Funktion prüft geschriebene Daten sofort durch Read-Back-Verification. url: https://github.com/resurrecting-open-source-projects/dcfldd skillLevel: intermediate domains: - incident-response - static-investigations phases: - data-collection platforms: - Linux tags: - cli - physical-copy - hashing - scenario:disk_imaging - compression - integrity-check - split-output - status-display - pattern-wipe - verify-mode - block-hashing - progress-reporting related_concepts: - Hash Functions & Digital Signatures - Digital Evidence Chain of Custody related_software: - dd - dc3dd - FTK Imager icon: 🔐 license: GPL-2.0 accessType: download - name: ewfacquire type: software description: >- Command-line Imaging-Tool aus der libewf-Bibliothek erstellt forensische Images im industry-standard Expert Witness Format (E01/Ex01) mit vollständiger Metadata-Preservation. Generiert segmentierte Archive mit simultaner MD5/SHA1-Hash-Verifizierung und optionaler zlib/bzip2-Kompression für Storage-Optimization. Besonders wertvoll für Linux-basierte Imaging-Workflows ohne GUI-Overhead und Memory-intensive Operations. Unterstützt umfassende Case-Metadaten: Examiner-Informationen, Case-Notizen, Evidence-Description und Chain-of-Custody-Documentation. Error-Granularity für defekte Sektoren mit detailliertem Bad-Block-Logging. Cross-Platform-Alternative zu proprietären Windows-Tools für Open-Source-Forensik-Laboratorien. url: https://github.com/libyal/libewf skillLevel: intermediate domains: - incident-response - static-investigations phases: - data-collection platforms: - Linux - macOS tags: - cli - physical-copy - ewf-support - compression - chain-of-custody - scenario:disk_imaging - error-handling - segment-files - metadata-storage - hash-verification - resume-capability - cross-tool-compatible related_concepts: - Hash Functions & Digital Signatures - Digital Evidence Chain of Custody related_software: - FTK Imager - EnCase - dd icon: 💾 license: LGPL-3.0 accessType: download - name: Guymager type: software description: >- Linux-Imaging-Tool maximiert Performance durch intelligentes Multi-Threading und optimierte I/O-Operationen für schnelle Disk-Acquisition. Qt-basierte GUI macht forensisches Imaging auch für Linux-Neulinge zugänglich ohne Command-Line-Expertise. Gleichzeitiges Schreiben mehrerer Output-Formate (RAW + EWF) ohne Performance-Verlust durch parallele Writer-Threads. FIFO-Ring-Buffer-Architektur ermöglicht Pipe-Operationen für Network-Imaging über SSH oder netcat. Automatische Bad-Block-Erkennung mit detailliertem Sector-Error-Logging, HPA/DCO-Detection warnt vor versteckten Disk-Bereichen. USB-Write-Blocker-Support für Hardware-Level-Protection, Resume-Capability für unterbrochene Long-Running-Images. url: https://guymager.sourceforge.io/ skillLevel: novice domains: - incident-response - static-investigations phases: - data-collection platforms: - Linux tags: - gui - physical-copy - multithreaded - hashing - scenario:file_recovery - ewf-support - performance-optimized - bad-sector-handling - hpa-dco-detection - simultaneous-output - progress-estimation - low-resource related_concepts: - Hash Functions & Digital Signatures - Digital Evidence Chain of Custody related_software: - FTK Imager - dc3dd - ddrescue icon: 💿 license: GPL-2.0 accessType: download - name: Fuji icon: 🗻 type: software description: >- Das clevere macOS-Tool umgeht Apples restriktive Sicherheitsmechanismen für forensisch saubere Datenträger-Akquisition. Nutzt undokumentierte APIs für Raw-Device-Zugriff ohne Kernel-Extensions. Besonders wertvoll seit macOS Big Sur mit verstärktem System Integrity Protection (SIP). Die Target-Disk-Mode-Alternative für moderne Macs ohne Firewire. Unterstützt APFS-Container-Imaging inklusive verschlüsselter Volumes (mit Passwort). Live-Imaging von System-Volumes ohne Reboot möglich. Die minimale Footprint kontaminiert das Zielsystem kaum. Besonders clever: Umgehung der Read-Only-System-Volume-Beschränkungen. Hash-Verifizierung integriert für forensische Standards. Die Active-Development durch macOS-Forensik- Community garantiert Updates für neue OS-Versionen. Perfekt für Incident Response auf Macs ohne teure kommerzielle Tools. Die Kommandozeile ermöglicht Scripting für Massenakquisitionen. domains: - incident-response - static-investigations phases: - data-collection platforms: - macOS related_software: - dd - FTK Imager skillLevel: intermediate accessType: download url: https://github.com/Lazza/Fuji license: GPL-3.0 knowledgebase: false tags: - cli - live-acquisition - physical-copy - apfs - scenario:disk_imaging - zero-footprint - sip-bypass - encrypted-volume - container-imaging - minimal-contamination - scripting-capable - macos-specific related_concepts: - Digital Evidence Chain of Custody - name: Rapid Incident Response Triage on macOS icon: 🚨 type: method description: >- Spezialisierte Methodik für schnelle forensische Triage auf macOS-Systemen optimiert für Enterprise-Incident-Response. Priorisiert flüchtige Artefakte und kritische Indicators of Compromise (IOCs) für Entscheidungen in unter 60 Minuten. Sammlung ohne Full-Disk-Imaging: Prozesslisten, Netzwerk- verbindungen, LaunchAgents/Daemons, Quarantine-Events, TCC-Datenbank. Besondere macOS-Artefakte: Unified Logs, FSEvents, Spotlight-Metadaten, XProtect-Detections. Tools wie Aftermath oder osquery automatisieren Datensammlung. Die Methodik adressiert macOS-spezifische Herausforderungen: SIP, Gatekeeper, Code-Signing-Verifizierung. Timeline-Erstellung aus ASL/ULS für Ereigniskorrelation. Besonders wertvoll für MDM-verwaltete Flotten mit hunderten Macs. Die Dokumentation für Remote-Collection via SSH/ARD. Post-Triage-Entscheidung: Full-Forensics oder Neuinstallation. Anpassbar für verschiedene Bedrohungsszenarien von Malware bis Insider-Threats. domains: - incident-response - static-investigations - malware-analysis phases: - data-collection - examination related_software: - Aftermath - osquery - Fuji skillLevel: intermediate url: >- https://www.sans.org/white-papers/rapid-incident-response-on-macos-actionable-insights-under-hour/ tags: - triage - fast-scan - apfs - selective-imaging - macos-artifacts - unified-logs - launch-agents - quarantine-events - remote-collection - mdm-compatible - timeline-focused - sip-aware related_concepts: - Digital Evidence Chain of Custody - name: Aftermath icon: 🎯 type: software description: >- Jamfs Open-Source-Juwel für macOS-Forensik sammelt systematisch Artefakte ohne Full-System-Image. Optimiert für Incident-Response mit minimalem System-Impact. Extrahiert kritische Daten: laufende Prozesse, Netzwerk- verbindungen, installierte Software, Persistence-Mechanismen. Besonders wertvoll: Unified-Log-Parser für System-Events, Browser-Artefakte aller Major-Browser, Quick-Look-Thumbnails, FSEvents für Dateiaktivitäten. Die modulare Architektur erlaubt selektive Sammlung. Output in strukturierten JSON/CSV für einfache Analyse. Zeitstempel-Normalisierung für Timeline-Erstellung. Unterstützt moderne macOS-Security-Features: TCC-Permissions, Code-Signing-Status, XProtect-Matches. Die Remote- Collection via MDM/SSH skaliert auf Unternehmensflotten. Besonders clever: Sammlung von Cloud-Synchronisations-Artefakten (iCloud, Dropbox). Regelmäßige Updates für neue macOS-Versionen. Die Alternative zu teuren kommerziellen Mac-Forensik-Suiten. domains: - incident-response - static-investigations - malware-analysis phases: - data-collection - examination platforms: - macOS related_software: - osquery - KAPE skillLevel: intermediate accessType: download url: https://github.com/jamf/aftermath/ license: Apache-2.0 knowledgebase: false tags: - cli - triage - system-metadata - apfs - time-normalization - structured-output - unified-log-parser - browser-artifacts - persistence-checks - tcc-analysis - remote-capable - json-export related_concepts: - Digital Evidence Chain of Custody - name: RegRipper type: software description: >- Windows-Registry-Analyse-Framework mit über 300 spezialisierten Plugins für automatisierte Artefakt-Extraktion: USB-Device-Historie, installierte Software-Timestamps, User-Login-Activity, Malware-Persistence-Mechanisms. Profile-System gruppiert Plugins systematisch nach Untersuchungstyp: Malware-Detection, User-Activity-Reconstruction, Network-Configuration-Analysis. Timeline-Plugins generieren chronologische Registry-Change-Sequences, automatische Korrelation zwischen verschiedenen Hive-Files. Plugin-Dokumentation erklärt forensische Relevanz und Interpretation jedes extrahierten Artefakts detailliert. Active-Community teilt kontinuierlich neue Plugins für emerging Threats und aktuelle Windows-Versionen. url: https://github.com/keydet89/RegRipper3.0 skillLevel: intermediate domains: - incident-response - static-investigations - malware-analysis phases: - examination - analysis platforms: - Windows - Linux tags: - cli - registry-hives - plugin-support - scenario:windows-registry - usb-history - artifact-parser - timeline-analysis - malware-detection - user-activity - batch-processing - profile-based - community-plugins - scenario:persistence related_concepts: - Digital Evidence Chain of Custody related_software: - Eric Zimmerman Tools icon: 🔑 license: MIT accessType: download - name: Strings type: software description: >- Extrahiert lesbare Textfragmente aus Binärdateien für initiale Malware-Analyse und Artefakt-Triage ohne aufwändige Reverse-Engineering-Tools. Findet Command-and-Control-URLs, hardcodierte Passwörter, Dateipfade und Debug-Nachrichten in verschleierten oder gepackten Malware-Samples. Unicode-Unterstützung für internationale Zeichensätze, Offset-Anzeige ermöglicht Hex-Editor-Korrelation. Pipe-Integration mit grep und awk für erweiterte Mustersuche. Unverzichtbar für Quick-Wins bei kryptischen Binärdateien. url: https://docs.microsoft.com/en-us/sysinternals/downloads/strings skillLevel: novice domains: - incident-response - malware-analysis - static-investigations phases: - examination platforms: - Windows - Linux - macOS tags: - cli - string-search - binary-decode - triage - cross-platform - fast-scan - unicode-support - pattern-extraction - malware-triage - c2-discovery - password-finding - pipe-friendly related_concepts: - Regular Expressions (Regex) icon: 🔤 license: Proprietary/GPL - name: PhotoRec type: software description: >- Signature-Based File-Carving-Tool rekonstruiert gelöschte Files durch Header/Footer-Pattern-Matching unabhängig vom Dateisystem-Zustand oder Partition-Table-Corruption. Unterstützt über 300 File-Formats: Images (JPEG, PNG, TIFF), Documents (PDF, DOC, XLS), Archives (ZIP, RAR), Videos (AVI, MP4) und Custom-Signatures. Read-Only-Operation gewährleistet forensische Evidence-Integrity, funktioniert bei beschädigten, formatierten oder korrupten Dateisystemen. Paranoid-Mode scannt jeden einzelnen Sektor für Maximum-Recovery-Rate bei fragmentierten Files. Konfigurierbare File-Extensions und Custom-Signature-Development für proprietäre Formats. Companion-Software TestDisk repariert Partition-Tables und Boot-Sectors für Filesystem-Recovery-Scenarios. url: https://www.cgsecurity.org/wiki/PhotoRec skillLevel: beginner domains: - incident-response - static-investigations - fraud-investigation phases: - examination platforms: - Windows - Linux - macOS tags: - gui - file-carving - deleted-file-recovery - scenario:file_recovery - signature-analysis - cross-platform - filesystem-agnostic - multimedia-recovery - partition-recovery - read-only-mode - batch-capable - custom-signatures related_concepts: - Digital Evidence Chain of Custody icon: 📸 license: GPL-2.0 accessType: download - name: Thumbcache Viewer type: software description: >- Windows-Thumbnail-Cache-Analysis-Tool extrahiert Miniaturansichten aller betrachteten Images aus versteckten thumbcache_*.db-Dateien für Deleted-Content-Recovery. Beweist unwiderlegbar Image-Presence auf System auch nach Original-File-Deletion durch Thumbnail-Persistence in Cache-Database. Multiple-Resolution-Support (32, 96, 256, 1024 Pixel) zeigt verschiedene Detail-Levels und Access-Patterns. EXIF-Metadata-Preservation in Thumbnails ermöglicht GPS-Location-Recovery und Camera-Identification. Timestamp-Analysis rekonstruiert Image-Viewing-Timeline und User-Activity-Patterns. Batch-Processing-Mode für Multiple-Cache-Files, Hash-Export für CSAM-Database-Matching und Content-Correlation. HTML-Report-Generation für Court-Presentation mit Embedded-Thumbnails und Forensic-Metadata-Tables. url: https://thumbcacheviewer.github.io/ skillLevel: beginner domains: - static-investigations - fraud-investigation - incident-response phases: - examination - analysis platforms: - Windows tags: - gui - deleted-file-recovery - metadata-parser - triage - system-metadata - thumbnail-analysis - exif-extraction - csam-investigation - timeline-creation - batch-processing - html-reporting - hash-export related_concepts: - Digital Evidence Chain of Custody icon: 🖼️ license: GPL-3.0 accessType: download - name: MaxMind GeoIP type: software description: >- Die Geolocation-Datenbank-Lösung übersetzt IP-Adressen in geografische Standorte für Threat-Intelligence und Incident-Attribution. GeoLite2 (kostenlos) bietet Stadt-Level-Genauigkeit für die meisten IPs weltweit. Die kommerzielle GeoIP2 erhöht Präzision und fügt ISP/Organisation-Daten hinzu. Besonders wertvoll: VPN/Proxy-Erkennung identifiziert verschleierte Verbindungen, Anonymous-IP-Datenbank für Tor/Hosting-Provider, Accuracy- Radius zeigt Konfidenz. Die wöchentlichen Updates halten mit IP-Allokationen Schritt. APIs für alle Major-Programmiersprachen ermöglichen Integration in Forensik-Workflows. Bulk-Processing für Log-Analyse. Die historischen Datenbanken ermöglichen Geolocation zum Tatzeitpunkt. GDPR-konform durch Verzicht auf Tracking. Der Offline-Modus schützt sensible Ermittlungsdaten. Integration in Splunk, ELK, und andere SIEMs. Die Genauigkeit variiert nach Region - Europa/USA präziser als Entwicklungsländer. Standard für Geo-Attribution in der Forensik. domains: - incident-response - fraud-investigation - network-forensics phases: - analysis skillLevel: beginner url: https://www.maxmind.com/ icon: 🌍 platforms: - Windows - Linux - macOS accessType: download license: GeoLite2 EULA / Commercial knowledgebase: false tags: - api - geolocation - data-enrichment - cross-platform - automation-ready - offline-mode - vpn-detection - proxy-identification - bulk-processing - accuracy-metrics - historical-data - gdpr-compliant - name: SIFT Workstation type: software description: >- SANS Investigative Forensic Toolkit vereint über 500 kurierte Open-Source-Tools in optimierter Ubuntu-Distribution für professionelle DFIR-Teams. Vorinstalliert und konfiguriert: Autopsy für Disk-Analysis, Volatility für Memory-Forensik, Plaso für Timeline-Generation, Registry-Tools für Windows-Artefakte. DFIR-Menüstruktur gruppiert Tools logisch nach Untersuchungsphasen und Use-Cases. mount-image-pro automatisiert Evidence-Mounting mit Write-Protection, SIFT-CLI verwaltet Tool-Updates zentral. REMnux-Integration für nahtlose Malware-Analyse-Workflows, kostenlose Workbooks und Cheat-Sheets führen durch typische Untersuchungsszenarien. VM-Images und WSL2-Support für flexible Deployment-Optionen. url: https://www.sans.org/tools/sift-workstation/ skillLevel: intermediate domains: - incident-response - static-investigations - malware-analysis - network-forensics - mobile-forensics platforms: - OS tags: - gui - cli - cross-platform - write-blocker - live-acquisition - signature-updates - tool-collection - documentation-rich - training-focused - vm-ready - wsl2-compatible - community-maintained related_software: - REMnux - CAINE - Kali Linux icon: 🧰 license: Free / Mixed accessType: download - name: Tsurugi Linux type: software description: >- Spezialisierte Forensik-Distribution kombiniert Mobile- und Malware-Analyse-Tools mit einzigartigen Hardware-Integration-Features für professionelle Ermittlungen. Integrierter Hardware-Write-Blocker verhindert Evidence-Kontamination automatisch, Bento-Menü organisiert Tools nach japanischer Effizienz-Philosophie systematisch. Android-Forensik-Suite mit ADB-Automatisierung und Root-Detection, iOS-Backup-Analyzer mit Keychain-Extraktion, umfangreiche Malware-Sandbox für Dynamic-Analysis. Performance-Kernel speziell für Forensik-Hardware optimiert, 64-Bit-Only-Architektur nutzt modernen RAM voll aus. Stealth-Mode deaktiviert alle Netzwerk-Interfaces, Unterstützung asiatischer Zeichensätze für internationale Ermittlungen. url: https://tsurugi-linux.org/ skillLevel: intermediate domains: - incident-response - static-investigations - malware-analysis - mobile-forensics platforms: - OS tags: - gui - write-blocker - live-acquisition - triage - forensic-snapshots - selective-imaging - mobile-focused - malware-sandbox - asian-language - hardware-writeblock - performance-kernel - stealth-mode related_software: - CAINE - Kali Linux icon: ⛩️ license: GPL / Mixed accessType: download - name: Parrot Security OS type: software description: >- Privacy-fokussierte Forensik-Distribution mit eingebautem Anonymisierungs-Framework für verdeckte Ermittlungen und Undercover-Operations. AnonSurf routet kompletten Traffic durch Tor-Netzwerk mit DNS-Leak-Protection, AppArmor-Mandatory-Access-Control härtet System gegen Exploits und Malware. Rolling-Release-Model hält 600+ Tools kontinuierlich aktuell ohne komplette Neuinstallation. Ressourcenschonender MATE-Desktop läuft flüssig auf älteren Forensik-Laptops und Field-Equipment. Docker-Support für sichere Tool-Isolation und Malware-Sandboxing, ARM-Versionen für Raspberry Pi und Mobile-Forensik-Einsätze. Live-Boot mit Encrypted-Persistence für sichere Feldarbeit. url: https://parrotsec.org/ skillLevel: intermediate domains: - incident-response - static-investigations - malware-analysis - network-forensics platforms: - OS tags: - gui - cli - live-acquisition - encrypted-traffic - secure-sharing - anonymous-analysis - privacy-focused - tor-integration - rolling-release - lightweight - arm-support - docker-ready related_software: - Kali Linux icon: 🦜 license: GPL-3.0 accessType: download - name: LibreOffice type: software description: >- Analysiert umfangreiche Ermittlungsdaten durch leistungsstarke Pivot-Tabellen und Filteroptionen für forensische Auswertungen. Verarbeitet CSV-Logs, Datenbank-Exporte und Timeline-Daten für komplexe Korrelationsanalysen. Calc erstellt aussagekräftige Diagramme aus Beweismitteln, Writer generiert gerichtsfeste Berichte mit strukturiertem Inhaltsverzeichnis. Importiert beschädigte oder proprietäre Dateiformate, die kommerzielle Office-Pakete ablehnen. Makro-Sprache automatisiert wiederkehrende Analysen. url: https://www.libreoffice.org/ skillLevel: novice domains: - incident-response - static-investigations - malware-analysis - fraud-investigation - network-forensics - mobile-forensics - cloud-forensics - ics-forensics phases: - examination - analysis - reporting platforms: - Windows - Linux - macOS tags: - gui - reporting - csv-export - cross-platform - macro-automation - visualization - document-analysis - metadata-viewer - portable-version - format-converter - pdf-creation - free-alternative related_software: - Microsoft Office 365 icon: 📄 license: Mozilla Public License Version 2.0 accessType: download - name: Microsoft Office 365 type: software description: >- Transformiert forensische Massendaten durch Power Query in strukturierte Analysen für umfangreiche Ermittlungen. Power Pivot verarbeitet Millionen von Log-Einträgen, Excel-Makros automatisieren wiederkehrende Auswertungen. Kollaborationsfunktionen ermöglichen Echtzeit-Teamarbeit bei komplexen Fällen, Cloud-Speicher sichert große Beweissammlungen. Advanced eDiscovery für Compliance-Untersuchungen, OneNote strukturiert Screenshots und Notizen. KI-gestützte Editorfunktionen verbessern Berichtsqualität. url: https://www.office.com/ skillLevel: novice domains: - incident-response - static-investigations - malware-analysis - fraud-investigation - network-forensics - mobile-forensics - cloud-forensics - ics-forensics phases: - examination - analysis - reporting platforms: - Windows - macOS - Web tags: - gui - web-interface - commercial - collaboration - visualization - cloud-artifacts - power-query - ediscovery - version-control - team-integration - mobile-apps - automation-capable related_software: - LibreOffice icon: 📊 license: Proprietary accessType: commercial - name: EnCase type: software description: >- Etablierte Forensik-Suite für Enterprise-Level-Investigations kombiniert Disk-Imaging, Evidence-Processing und Case-Management in integrierter Plattform. EnScript-Programmiersprache automatisiert komplexe Analysen und Custom-Workflows für wiederkehrende Untersuchungsschritte. Evidence-Processor verarbeitet Batch-Analysen multipler Images parallel, Timeline-Engine korreliert Events über alle Evidenzen. Physical-Analyzer-Modul extrahiert Smartphone-Daten durch Logical- und Physical-Acquisition-Methoden. Hash-Library-Integration für Known-Bad-Detection und NSRL-Filtering. Case-Management skaliert auf Großverfahren mit gerichtsfester Dokumentation und Audit-Trails. Dongle-Schutz und hohe Lizenzkosten (20.000€+) limitieren auf Enterprise-Umgebungen. url: https://www.opentext.com/products/encase-forensic skillLevel: intermediate domains: - static-investigations - incident-response - mobile-forensics phases: - data-collection - examination - analysis - reporting platforms: - Windows tags: - gui - commercial - scripting - court-admissible - case-management - dongle-license - enscript - evidence-processor - batch-capable - certification-path - legacy-standard - enterprise-scale related_concepts: - Digital Evidence Chain of Custody related_software: - FTK Imager - X-Ways Forensics - Autopsy icon: 🔍 license: Proprietary accessType: commercial - name: FRED type: software description: >- Hardware-Forensik-Workstation ermöglicht simultanes Imaging von 8 Evidenzen durch Hot-Swap-UltraBay und integrierte Write-Blocker für SATA/IDE/USB/FireWire. Hardware-Hash-Acceleration beschleunigt MD5/SHA-Verifizierung, Touchscreen-Konsole steuert Parallel-Processing ohne Host-System-Belastung. Field-Kit-Version mit 4-Bay-Kapazität für Vor-Ort-Akquisition, modulares Design erlaubt RAID-Controller-Upgrades für NAS-Forensik. url: https://www.digitalintelligence.com/products/fred/ skillLevel: intermediate domains: - static-investigations - incident-response phases: - data-collection platforms: - Hardware tags: - gui - commercial - write-blocker - physical-copy - scenario:disk_imaging - multithreaded - hardware-solution - hot-swap - raid-recovery - parallel-imaging - touch-control - lab-equipment related_concepts: - Digital Evidence Chain of Custody icon: 🖥️ license: Proprietary accessType: commercial - name: GraphSense icon: 📊 type: software description: >- Die Open-Source-Blockchain-Analyse-Plattform aus Österreich bietet eine datenschutzfreundliche Alternative zu US-Diensten. Attributions- freie Analyse respektiert Privatsphäre während Ermittlungen. Der Clustering-Algorithmus gruppiert Adressen zu Entities basierend auf Heuristiken. TagPacks ermöglichen kollaboratives Labeling bekannter Services. Die Apache-Cassandra-Architektur skaliert auf Milliarden Transaktionen. REST-API für Tool-Integration. Unterstützt Bitcoin, Ethereum, Litecoin mit wachsender Liste. Besonders wertvoll: Graphbasierte Visualisierung von Geldflüssen, Risiko-Scores ohne externe Abhängigkeiten, Self-Hosting für sensible Ermittlungen. Die akademische Herkunft (AIT) garantiert Transparenz. Docker-Deployment vereinfacht Installation. Die Attributions-Qualität erreicht noch nicht Chainalysis-Niveau, verbessert sich aber stetig. EU-Förderung sichert Weiterentwicklung. Perfekt für Organisationen die Blockchain-Forensik ohne US-Cloud-Abhängigkeit benötigen. Die Zukunft der souveränen Krypto-Ermittlungen. domains: - static-investigations - fraud-investigation - incident-response phases: - analysis - reporting platforms: - Web related_software: - Chainalysis - Maltego - Neo4j skillLevel: intermediate accessType: server-based url: https://graphsense.org/ license: MIT knowledgebase: false tags: - web-interface - blockchain-analysis - opensource - visualization - anomaly-detection - correlation-engine - privacy-preserving - self-hosted - clustering-algorithm - tagpack-system - academic-backing - eu-compliant related_concepts: - Hash Functions & Digital Signatures - name: Gitea icon: 🍵 type: software description: >- Das federleichte Git-Repository-System perfekt für Forensik-Teams die ihre Tools und Dokumentation versionieren. Go-basierte Architektur läuft ressourcenschonend auf Raspberry Pi bis Enterprise-Server. Die intuitive Web-UI macht Git zugänglich für weniger technische Teammitglieder. Besonders wertvoll für Forensik: Versionierung von YARA-Rules, IOC-Listen, Analysis-Scripts, Case-Dokumentation. Die eingebaute CI/CD-Pipeline (Actions) automatisiert Tool-Deployments und Qualitätschecks. Issue-Tracker organisiert Ermittlungs-Tasks. Wiki dokumentiert Prozeduren. Der Code-Review-Workflow sichert Vier-Augen-Prinzip. Pull-Request-Templates standardisieren Contributions. Die API integriert mit Forensik-Workflows. Mirror-Funktionen synchronisieren externe Repositories. Niedrige Systemanforderungen erlauben Hosting im eigenen Lab. Die Migration von GitHub/GitLab ist nahtlos. Perfekt für Teams die Kontrolle über ihre Forensik- Artefakte behalten wollen ohne Cloud-Abhängigkeit. Der Community- Fork von Gogs mit aktiverer Entwicklung. domains: - incident-response - malware-analysis - static-investigations phases: - reporting platforms: - Web domain-agnostic-software: - collaboration-general skillLevel: beginner accessType: server-based url: https://gitea.io/ projectUrl: https://git.cc24.dev license: MIT statusUrl: https://status.mikoshi.de/api/badge/18/status tags: - web-interface - version-control - git-integration - collaboration - multi-user-support - automation-ready - ci-cd-actions - issue-tracking - wiki-system - code-review - api-driven - lightweight related_concepts: - Digital Evidence Chain of Custody - name: ICSpector type: software description: >- Microsofts Open-Source-Framework revolutioniert Industrial-Control-System- Forensik mit spezialisierten Tools für SCADA/PLC-Untersuchungen. Extrahiert Metadaten aus Siemens S7, Rockwell, Schneider Electric Controllern. Die Python-basierte Architektur parst proprietäre Protokolle und Dateiformate. Besonders wertvoll: Ladder-Logic-Extraktion zeigt manipulierte Programme, Configuration-Diff erkennt unauthorized Changes, Network-Capture-Analyse für ICS-Protokolle (Modbus, DNP3, IEC-104). Timeline-Rekonstruktion aus Historian-Daten. Die Plugin-Architektur erlaubt Erweiterung für neue Hersteller. Integration mit Wireshark-Dissectors. Unterstützt sowohl Live-Systeme als auch Offline-Images. Die Dokumentation erklärt ICS-Besonderheiten für IT-Forensiker. Besonders relevant nach Stuxnet und zunehmenden ICS-Angriffen. Die Community wächst mit kritischer Infrastruktur-Bedeutung. Füllt die Lücke zwischen IT- und OT-Forensik. Unverzichtbar für Kraftwerke, Wasserversorgung, Produktionsanlagen. Die Zukunft der Infrastruktur-Forensik beginnt hier. domains: - ics-forensics - incident-response - malware-analysis phases: - data-collection - examination - analysis skillLevel: advanced url: https://github.com/microsoft/ics-forensics-tools icon: 🏭 platforms: - Windows - Linux - macOS accessType: download license: MIT knowledgebase: false tags: - cli - system-metadata - artifact-parser - cross-platform - scripting - opensource - plc-analysis - scada-forensics - ladder-logic - protocol-parser - configuration-analysis - ot-security related_concepts: - Digital Evidence Chain of Custody related_software: - Wireshark - name: Impacket icon: 🔨 type: software description: >- Die Python-Bibliothek ist das Schweizer Taschenmesser für Windows- Netzwerk-Forensik und Living-off-the-Land. Über 50 Beispiel-Scripts demonstrieren mächtige Capabilities: smbexec.py für Remote-Execution, secretsdump.py extrahiert Hashes, wmiexec.py für WMI-basierte Forensik. Die Low-Level-Protokoll-Implementation ermöglicht granulare Kontrolle. Besonders wertvoll für Incident-Response: Remote-Registry-Zugriff ohne Agent, Kerberos-Ticket-Extraktion, NTLM-Relay-Detection. psexec.py als forensische Alternative zu SysInternals. Die DCSync-Funktionalität hilft bei Domain-Kompromittierungen. SMB/MSRPC-Parser für Traffic-Analyse. Integration in Forensik-Frameworks wie Volatility. Die aktive SecureAuth- Entwicklung hält mit Windows-Updates Schritt. Dokumentation erklärt Windows-Interna für Linux-Forensiker. Vorsicht: Viele Features sind dual-use - klare Policies nötig. Die ethische Nutzung unterscheidet Forensiker von Angreifern. Unverzichtbar für moderne Windows-Forensik ohne Microsoft-Tools. domains: - incident-response - network-forensics - malware-analysis phases: - data-collection - examination platforms: - Linux - Windows - macOS skillLevel: advanced accessType: download url: https://github.com/SecureAuthCorp/impacket license: Apache-2.0 knowledgebase: false tags: - cli - remote-collection - scripting - scenario:persistence - protocol-decode - live-process-view - windows-protocols - credential-extraction - lateral-movement - registry-access - wmi-forensics - python-library - scenario:credential_theft related_concepts: - Digital Evidence Chain of Custody - name: Kismet icon: 📡 type: software description: >- Der Wireless-Netzwerk-Detektor und Sniffer findet versteckte WLANs, Rogue-Access-Points und verdächtige Clients. Passives Monitoring ohne Aussenden von Probe-Requests macht es ideal für verdeckte Ermittlungen. Unterstützt 802.11a/b/g/n/ac und moderne Standards. Die GPS-Integration ermöglicht War-Driving mit präziser Standort-Zuordnung. Besonders wertvoll: Erkennung von Deauth-Attacks, Evil-Twin-APs, Client-Isolation- Bypasses. Die Plugin-Architektur erweitert für Bluetooth, Zigbee, andere Funkprotokolle. REST-API für Integration in SOC-Dashboards. Der Distributed-Mode koordiniert mehrere Sensoren. PCAP-Export für Wireshark-Analyse. Die Alert-Engine meldet Sicherheitsverletzungen. Web-UI visualisiert Netzwerk-Topologie. Besonders stark bei Firmen- WLAN-Audits und Incident-Response. Die Log-Correlation findet Zusammenhänge zwischen Events. Unterstützt Software-Defined-Radios für erweiterte Frequenzbereiche. Die Community-Entwicklung fokussiert auf Praktiker-Bedürfnisse. Standard-Tool für Wireless-Forensik weltweit. domains: - incident-response - network-forensics phases: - data-collection - examination platforms: - Linux related_software: - Aircrack-ng - WiFi Pineapple - Wireshark skillLevel: advanced accessType: download url: https://www.kismetwireless.net/ license: GPL-2.0 knowledgebase: false tags: - gui - pcap-capture - geolocation - live-acquisition - anomaly-detection - wireless-analysis - passive-monitoring - gps-mapping - multi-protocol - distributed-sensors - api-enabled - wardrive-capable - name: ArcGIS type: software description: >- Transformiert GPS-Daten, Mobilfunk-Logs und Fahrzeug-Telematik in aussagekräftige räumliche Analysen für Ermittlungen. Buffer-Analysen identifizieren Verdächtige in Tatort-Nähe, Hot-Spot-Detection findet Kriminalitätsschwerpunkte. Network-Analyst berechnet optimale Fluchtrouten, 3D-Szenen rekonstruieren Tatorte photorealistisch. Korreliert Geodaten mit Personen, Fahrzeugen und Kommunikationsmustern. Crime-Mapping-Erweiterungen speziell für Strafverfolgung entwickelt. url: https://www.esri.com/arcgis skillLevel: intermediate domains: - fraud-investigation - network-forensics phases: - reporting platforms: - Windows - macOS tags: - mapping - visualization icon: 🌍 license: Proprietary accessType: commercial - name: Binary Ninja type: software description: >- Moderne Reverse-Engineering-Plattform kombiniert traditionelle Disassembly mit fortschrittlicher Program-Analysis durch innovative Multi-Level-IR-Architecture (Intermediate Representation). Cross-Architecture-Analysis durch einheitliche Abstraktion verschiedener Instruction-Sets und Calling-Conventions. Advanced-Type-Recovery rekonstruiert C-Structures und Function-Signatures automatisch durch Data-Flow-Analysis. Plugin-API (Python/C++) ermöglicht tiefe Customization und Integration in Custom-Workflows. Cloud-Collaboration synchronisiert Binary-Analysis zwischen verteilten Teams in Real-Time. Modern-GUI mit Multiple-Workspaces, Split-Views und Customizable-Layouts übertrifft Legacy-Tools in Usability und Workflow-Efficiency. Debugger-Integration für Dynamic-Analysis-Correlation. url: https://binary.ninja skillLevel: advanced domains: - malware-analysis - static-investigations phases: - analysis platforms: - Windows - macOS - Linux tags: - reverse-engineering - decompiler icon: 🛠️ license: Proprietary accessType: commercial - name: CapLoader type: software description: >- Das Windows-Tool revolutioniert die Analyse großer PCAP-Sammlungen durch intelligente Indexierung und Flow-Rekonstruktion. Lädt Multi-GB-Captures in Sekunden und ermöglicht blitzschnelle Filterung nach Protokollen, Timeframes oder Keyword-Patterns. Besonders wertvoll: Automatische Flow-Reassembly rekonstruiert komplette TCP-Sessions, HTTP-Objects- Extraktion speichert übertragene Dateien, Credential-Harvesting findet Klartext-Passwörter in Streams. Die Timeline-Ansicht visualisiert Traffic-Patterns über Zeit. Batch-Export zu NetworkMiner oder Wireshark für Detailanalyse. Performance-optimiert für Forensiker die täglich mit großen Packet-Captures arbeiten. Integration mit NetWitness und anderen Enterprise-NSM-Lösungen. Der Workflow beschleunigt Incident- Response erheblich durch Vorsortierung relevanter Flows. skillLevel: intermediate url: https://www.netresec.com/?page=CapLoader icon: 📡 domains: - network-forensics phases: - examination - analysis tags: - pcap-analysis - flow-extraction - timeline-view - credential-extraction - file-reconstruction - batch-processing platforms: - Windows accessType: commercial license: Proprietary knowledgebase: false - name: Collabora Online type: software description: >- Ermöglicht sichere Echtzeit-Dokumentenbearbeitung für verteilte Ermittlungsteams ohne Cloud-Abhängigkeit. Erstellt gerichtsfeste Berichte mit vollständiger Versionskontrolle und Änderungshistorie. Unterstützt alle gängigen Office-Formate, integriert nahtlos in Nextcloud-Infrastrukturen. Verschlüsselte Kommunikation und granulare Berechtigungen schützen sensible Ermittlungsdaten. Offline-Fähigkeiten für abgeschottete Laborumgebungen. url: https://www.collaboraonline.com skillLevel: beginner domains: - collaboration-general phases: - reporting platforms: - Linux - Windows tags: - office - collaboration icon: 📝 license: MPL-2.0 OR AGPL-3.0 accessType: download - name: ShadowExplorer type: software description: >- Macht Windows Volume Shadow Copy Snapshots auch in Home-Editionen für forensische Analyse zugänglich. Ermöglicht komfortables Durchstöbern und Wiederherstellen früherer Dateiversionen ohne komplexe Kommandozeilen-Tools. Rekonstruiert gelöschte oder überschriebene Dateien aus automatischen Systemsicherungen. Besonders wertvoll für Zeitpunkt-basierte Analysen und Nachweis von Datenmanipulationen. Schlanke GUI für schnelle Triage klassischer Datenträgerforensik. url: https://www.shadowexplorer.com/ skillLevel: novice domains: - static-investigations - incident-response phases: - examination - analysis platforms: - Windows tags: - gui - shadow-copy - snapshot-browsing - file-recovery - previous-versions - scenario:file_recovery - point-in-time-restore related_concepts: - Digital Evidence Chain of Custody related_software: - OSFMount - PhotoRec icon: 🗂️ license: Freeware accessType: download - name: Sonic Visualiser type: software description: >- Analysiert Audio-Dateien bis auf Sample-Ebene für Authentizitätsprüfung und Manipulationserkennung in forensischen Ermittlungen. Spektrogramm-Visualisierung und FFT-basierte Analysen decken versteckte Bearbeitungen auf. Vamp-Plugin-Ökosystem erweitert Analysefähigkeiten um Beat-Detection und Pitch-Tracking. Annotation-Ebenen dokumentieren Findings mit präzisen Zeitstempeln für Gerichtspräsentationen. Export-Funktionen integrieren Ergebnisse in forensische Analyse-Pipelines. url: https://www.sonicvisualiser.org/ skillLevel: intermediate domains: - static-investigations - fraud-investigation phases: - examination - analysis - reporting platforms: - Windows - Linux - macOS tags: - gui - audio-forensics - spectrogram - plugin-support - annotation - csv-export icon: 🎵 license: GPL-2.0 accessType: download - name: Dissect type: software description: >- Python-Framework abstrahiert Windows- und Linux-Speicherabbilder in virtuelle Dateisystem-Objekte ohne vorherige Profil-Definition oder OS-spezifische Konfiguration. Modularer Hypervisor-Layer ermöglicht simultane Multi-Image-Analyse für großflächige Incident-Response-Scenarios mit einheitlicher API. Zero-Copy-Architektur beschleunigt Memory-Queries auf Multi-GB-Images durch direkten Memory-Mapping ohne Intermediate-Files. Plugin-System dekodiert Windows-Strukturen: PTEs, Handle-Tables, APC-Queues und Kernel-Objects automatisch. Besonders effizient bei Batch-Processing mehrerer Memory-Dumps parallel durch Threading-Optimierung und Resource-Sharing zwischen Analyse-Instanzen. url: https://github.com/fox-it/dissect skillLevel: advanced domains: - incident-response - malware-analysis - static-investigations phases: - examination - analysis platforms: - Windows - Linux - macOS tags: - cli - memory-analysis - plugin-support - python-library - zero-copy - profile-less related_concepts: - Regular Expressions (Regex) related_software: - Volatility 3 - Rekall icon: 🧩 license: Apache-2.0 accessType: download - name: Docker Explorer icon: 🐳 type: software description: >- Googles Forensik-Toolkit zerlegt Offline-Docker-Volumes und Overlay-Dateisysteme ohne laufenden Daemon. Es extrahiert Container-Config, Image-Layer, ENV-Variablen, Mounted-Secrets und schreibt Timeline-fähige Metadata-JSONs. Unterstützt btrfs, overlay2 und zfs Storage-Driver sowie Docker Desktop (macOS/Windows). Perfekt, um bösartige Images nach Supply-Chain-Attacken zu enttarnen oder flüchtige Container nach einem Incident nachträglich zu analysieren. skillLevel: intermediate url: https://github.com/google/docker-explorer domains: - cloud-forensics - incident-response - static-investigations phases: - data-collection - examination - analysis platforms: - Linux - macOS - Windows accessType: download license: Apache-2.0 knowledgebase: false tags: - cli - container-forensics - docker - timeline - json-export - supply-chain related_software: - Velociraptor - osquery - name: Ghiro icon: 🖼️ type: software description: >- Die Web-basierte Bild­forensik-Plattform automatisiert EXIF-Analyse, Hash-Matching, Error-Level-Evaluation (ELA) und Steganografie-Erkennung für große Dateibatches. Unterstützt Gesichts- und NSFW-Detection sowie GPS-Reverse-Geocoding für Bewegungsprofile. Reports sind gerichtsfest versioniert, REST-API und Celery-Worker skalieren auf Millionen Bilder – ideal für CSAM-Ermittlungen oder Fake-News-Prüfung. skillLevel: intermediate url: https://getghiro.org/ domains: - static-investigations - fraud-investigation - mobile-forensics phases: - examination - analysis - reporting platforms: - Web - Linux accessType: server-based license: GPL-2.0 knowledgebase: false tags: - web-interface - image-forensics - exif-analysis - steganography - nsfw-detection - batch-processing related_concepts: - Hash Functions & Digital Signatures related_software: - ExifTool - PhotoRec - name: Sherloq type: software description: >- Python-basiertes Image-Forensics-Toolkit kombiniert klassische Steganography-Detection-Techniken mit modernen Computer-Vision-Algorithmen für Manipulation-Analysis. LSB-Steganography-Detection, Palette-Analysis, DCT-Coefficient-Examination und Statistical-Tests identifizieren Hidden-Data in Images. Error-Level-Analysis (ELA) und Noise-Pattern-Examination zeigen Compression-Artifacts und Edit-Traces in JPEG-Files. Heatmap-Visualizations und Histogram-Differential-Analysis markieren Manipulation-Hotspots automatisch. Metadata-Inconsistency-Detection vergleicht EXIF-Data mit Image-Content für Authenticity-Verification. Plugin-Architecture integriert externe Tools: zsteg, binwalk, exiftool für Comprehensive-Image-Analysis-Pipeline. Essential-Complement zu Hex-Editors und Reverse-Engineering-Tools für Multimedia-Forensics. url: https://github.com/GuidoBartoli/sherloq skillLevel: intermediate domains: - malware-analysis - static-investigations phases: - examination - analysis platforms: - Windows - Linux - macOS tags: - gui - image-forensics - steganography - lsb-extraction - histogram-analysis - plugin-support related_concepts: - Regular Expressions (Regex) related_software: - Ghiro - CyberChef icon: 🔍 license: MIT accessType: download - name: Cortex type: software description: >- Automatisiert Observable-Intelligence durch über 100 integrierte Analysedienste von VirusTotal bis Shodan für beschleunigte Ermittlungen. Ein File-Hash triggert parallel AV-Scans, Sandbox-Detonation und YARA-Matching in Sekunden statt manueller Stundenarbeit. Responder-Actions ermöglichen automatische Incident-Response wie IP-Blockierung oder Host-Quarantäne. Plugin-Architektur erweitert für interne Threat-Intelligence-Quellen. Docker-Deployment skaliert Worker je nach Analyselast. url: https://strangebee.com/cortex skillLevel: intermediate domains: - incident-response - malware-analysis phases: - analysis platforms: - Linux tags: - automation - threat-intel icon: 🧩 license: AGPL v3 accessType: download - name: Elasticsearch type: software description: >- Durchsucht Petabytes forensischer Logs in Echtzeit durch verteilte Lucene-basierte Volltextsuche für moderne SOC-Infrastrukturen. JSON-native Architektur verarbeitet strukturierte und unstrukturierte Ermittlungsdaten gleichzeitig. Aggregations-Framework erstellt komplexe Timeline-Analysen, Geo-Queries korrelieren Events geografisch. Machine-Learning-Features erkennen Anomalien automatisch. Horizontal skalierbar von Single-Node bis Multi-Datacenter-Clustern. Basis für ELK-Stack und SIEM-Systeme. url: https://www.elastic.co/elasticsearch skillLevel: intermediate domains: - incident-response - network-forensics phases: - analysis platforms: - Linux - Windows tags: - search - big-data icon: 🔍 license: Elastic-2.0 OR SSPL-1.0 accessType: download - name: Elliptic type: software description: >- Die kommerzielle Blockchain-Analytics-Plattform konkurriert mit Chainalysis durch erweiterte Compliance-Features und RegTech-Integration. Clustering- Algorithmen identifizieren Services durch Transaction-Pattern-Analysis: Exchanges, Darknet-Markets, Mixers, Ransomware-Wallets. Die Compliance- Suite bietet Real-Time-Screening gegen OFAC/EU-Sanctions-Listen. Besonders stark: DeFi-Protocol-Analysis dekodiert Smart-Contract- Interactions, Cross-Chain-Tracking folgt Funds über Bridges, Investigation-Tools für Complex-Money-Laundering-Schemes. API-Integration ermöglicht Automated-AML-Workflows. Die Typology-Library kategorisiert Verdachtsmuster nach FATF-Standards. Court-Ready-Reports mit Blockchain- Evidence-Chain. Training-Programme zertifizieren Investigators. Unterstützt Bitcoin, Ethereum, und 15+ andere Blockchains. Enterprise- Deployment für Banken, Exchanges und Strafverfolgung. Der europäische Fokus macht es zur Alternative für EU-basierte Organisationen. skillLevel: intermediate url: https://www.elliptic.co icon: ₿ domains: - fraud-investigation phases: - analysis tags: - blockchain-analysis - compliance-screening - sanctions-checking - defi-analysis - cross-chain-tracking - aml-workflows - court-reporting platforms: - Web accessType: cloud license: Subscription knowledgebase: false - name: FACT type: software description: >- BSI-Framework automatisiert IoT-Firmware-Bulk-Analyse durch intelligente Extraktion von Dateisystemen, Crypto-Keys und Backdoor-Detection. Vergleicht Firmware-Versionen, identifiziert CVE-Matches und erstellt Vulnerability-Reports für Router, Smart-Devices und Embedded-Systems. skillLevel: advanced url: https://github.com/fkie-cad/FACT_core icon: 🔧 domains: - ics-forensics - malware-analysis phases: - analysis tags: - firmware - automation platforms: - Linux accessType: download license: GPL v3 knowledgebase: false - name: FOCA type: software description: >- OSINT-Tool extrahiert Metadaten aus öffentlichen Dokumenten für Infrastructure-Reconnaissance. Sammelt Mitarbeiter-Namen, Software-Versionen, interne Netzwerkpfade und erstellt Angriffsvektoren aus PDF/Office-Dateien. Perfekt für Social-Engineering-Vorbereitung und Target-Profiling. skillLevel: beginner url: https://github.com/ElevenPaths/FOCA icon: 🗂️ domains: - static-investigations - fraud-investigation phases: - examination tags: - metadata - osint platforms: - Windows accessType: download license: GPL v3 knowledgebase: false - name: Firmware Analysis Toolkit type: software description: >- Attifys Python-Framework automatisiert die komplexe Firmware-Emulation für Dynamic-Analysis von IoT-Geräten. Basiert auf Firmadyne-Research aber erweitert um praktische Exploitation-Tools. Automatischer Workflow: Binwalk-Extraction → Filesystem-Reconstruction → QEMU-Emulation → Network-Service-Discovery → Vulnerability-Scanning. Besonders wertvoll: Web-Interface-Crawler findet Admin-Panels automatisch, Default-Credential-Testing, SQL-Injection-Fuzzing der Management- Interfaces. Die ARM/MIPS-Emulation ermöglicht Interactive-Debugging mit GDB. Network-Simulation stellt Internet-Connectivity bereit. Metasploit-Integration für Automated-Exploitation. Vulnerability- Database korreliert Findings mit CVEs. Docker-Setup vereinfacht komplexe Dependencies. Die Academic-Herkunft garantiert Research-Quality aber User-Experience ist basic. Perfekt für Security-Researcher die IoT-Firmware auf Scale analysieren müssen. Ergänzt statische Tools um Dynamic-Analysis-Capabilities. skillLevel: advanced url: https://github.com/attify/firmware-analysis-toolkit icon: 📦 domains: - ics-forensics - malware-analysis phases: - analysis tags: - emulation - firmware platforms: - Linux accessType: download license: MIT knowledgebase: false - name: GCHQ Tools type: software description: >- Sammlung forensischer Werkzeuge der britischen GCHQ mit CyberChef als Kernstück für Datenmanipulation und Dekodierung. Entschlüsselt Base64, XOR-Verschlüsselung und andere Obfuskierungstechniken, extrahiert versteckte Strings aus Binärdateien. Analysiert Entropie-Muster für Verschlüsselungserkennung. Browser-basierte Bedienung ohne Installation, Rezept-System für komplexe Verarbeitungsketten. Unverzichtbar für Malware-Deobfuskation und schnelle Triage verdächtiger Artefakte. url: https://gchq.github.io/CyberChef skillLevel: beginner domains: - domain-agnostic-software phases: - analysis platforms: - Web tags: - encoding - crypto - parsing icon: 🥄 license: Apache 2.0 accessType: download - name: Gephi type: software description: >- Open-Source Graph-Visualization und Network-Analysis-Tool spezialisiert auf Large-Scale-Dataset-Processing durch Force-Atlas-Layout-Algorithmen und Community-Detection-Methods. Importiert Financial-Transaction-Data aus CSV/GEXF-Formats, identifiziert Money-Laundering-Patterns, Shell-Company-Networks und Fraud-Rings durch Statistical-Network-Analysis. Modularity-Algorithmen segmentieren große Netzwerke automatisch in Communities, Betweenness-Centrality identifiziert Key-Players und Bottlenecks. Besonders effektiv bei Datasets mit 100k+ Nodes für Financial-Crime-Investigations und Social-Network-Analysis. Dynamic-Network-Analysis für Time-Series-Data, Export-Capabilities für Report-Generation und Courtroom-Presentations. Plugin-Ecosystem erweitert Analysis-Capabilities für Domain-Specific-Use-Cases. url: https://gephi.org skillLevel: intermediate domains: - fraud-investigation - network-forensics phases: - analysis platforms: - Windows - macOS - Linux tags: - graph-analysis - visualization icon: 🕸️ license: GPL-3.0 OR CDDL-1.0 accessType: download - name: Google Earth Pro type: software description: >- Forensische Geo-Intelligence-Plattform mit historischen Satellitenbildern ab 1984 für Timeline-Analysen. Visualisiert GPS-Tracks, misst Tatort-Distanzen präzise und erstellt 3D-Rekonstruktionen. KML-Import ermöglicht Movement-Pattern-Analysis für Alibis und Bewegungsprofile. skillLevel: beginner url: https://www.google.com/earth/versions/#earth-pro icon: 🌐 domains: - fraud-investigation phases: - reporting tags: - satellite - osint platforms: - Windows - macOS accessType: download license: Freeware knowledgebase: false - name: GrayKey type: software description: >- Grayshift Technologies entwickelt die kontroverse iOS-Forensik-Lösung für Strafverfolgung - eine dedizierte Hardware-Box die iPhones durch Zero-Day-Exploits entsperrt. Die Lightning-Kabel-Verbindung umgeht Apples USB-Restricted-Mode und Secure-Enclave-Schutz. Zwei Varianten: GrayKey-On-Premises für lokale Nutzung, GrayKey-Connected mit Cloud- Updates für neueste Exploits. Unterstützt iOS 7-17 mit wechselnder Geräte-Coverage je nach verfügbaren Exploits. Die Brute-Force-Engine knackt 4-6 stellige PINs in Stunden bis Tagen. Besonders wertvoll: Partial-Extraction auch bei verschlüsselten Geräten, AFU/BFU-State- Analysis, Keychain-Decryption. Der Preis (30.000€+) und ethische Bedenken limitieren auf Strafverfolgung. Regelmäßige Exploits werden durch iOS-Updates zunichte gemacht - ein Katz-und-Maus-Spiel zwischen Apple und Grayshift. Standard-Tool in US-Polizei-Departments trotz rechtlicher und ethischer Kontroversen um Überwachungstechnologie. skillLevel: advanced url: https://grayshift.com/graykey icon: 🔑 domains: - mobile-forensics phases: - data-collection tags: - ios-unlocking - zero-day-exploits - hardware-solution - brute-force - keychain-extraction - law-enforcement platforms: - iOS accessType: hardware license: Proprietary knowledgebase: false - name: IDA Pro type: software description: >- Industry-Standard Reverse-Engineering-Platform seit über 30 Jahren mit Disassembler für 50+ Prozessor-Architekturen von x86/x64 über ARM, MIPS bis zu exotischen DSPs und Custom-Silicon. Hex-Rays Decompiler wandelt Assembly-Code in lesbaren C-Pseudocode um mit Variable-Recovery und Type-Reconstruction. Interactive Cross-References visualisieren Code-Beziehungen und Call-Graphs für komplexe Binary-Analysis. FLIRT-Signature-Datenbank identifiziert Standard-Bibliotheken und Known-Functions automatisch für Noise-Reduction. IDAPython ermöglicht tiefgreifende Automatisierung komplexer Analysen durch vollständige API-Access. Collaborative-Features für Multi-Analyst-Teams, besonders stark bei Advanced-Malware-Dekonstruktion und Zero-Day-Vulnerability-Research. url: https://hex-rays.com/ida-pro skillLevel: advanced domains: - malware-analysis - static-investigations phases: - analysis platforms: - Windows - macOS - Linux tags: - disassembler - decompiler icon: 🖥️ license: Proprietary accessType: commercial - name: Kibana type: software description: >- Verwandelt forensische Rohdaten in aussagekräftige Dashboards und Echtzeit-Analysen für Incident-Response-Teams. Timeline-Visualisierungen korrelieren Events über verschiedene Systeme, Geo-Maps zeigen Angriffs-Ursprünge. Heat-Maps identifizieren Aktivitätsmuster automatisch. Drag-and-Drop-Interface erstellt komplexe Queries ohne Programmierkenntnisse. Canvas erstellt Infografiken für Management-Reports, Machine-Learning-Integration erkennt Anomalien. Dashboard-Sharing für SOC-Teams. url: https://www.elastic.co/kibana skillLevel: beginner domains: - incident-response phases: - analysis - reporting platforms: - Linux - Windows tags: - dashboards - analytics icon: 📊 license: "Elastic\_License\_/\_SSPL" accessType: download - name: LiME type: software description: >- Linux Memory Extractor ermöglicht forensisch saubere RAM-Akquisition auf Linux-Systemen durch dynamisch ladbares Kernel-Modul. Besonders wertvoll: Zero-Contamination durch minimalen Footprint, Network-Streaming überträgt RAM direkt an Remote-Analyst ohne lokale Storage, Format-Options (Raw, Padded, ELF) für verschiedene Analysis-Tools. Die Cross-Compilation unterstützt embedded Systems und IoT-Geräte. Android-Portierung ermöglicht Mobile-Memory-Forensics. Automatische Kernel-Symbol-Resolution für Volatility-Profile-Generation. Die Installation erfordert Kernel-Headers aber der Build-Prozess ist gut dokumentiert. TCP-Dump-Integration für simultane Netzwerk-Capture. Besonders wichtig für Container-Forensik und Cloud-Incidents wo traditionelle Tools versagen. Der Standard für Linux-Memory-Acquisition in professionellen DFIR-Teams. Ergänzt Windows-Tools wie WinPmem für heterogene Umgebungen. skillLevel: advanced url: https://github.com/504ensicsLabs/LiME icon: 🧠 domains: - incident-response - mobile-forensics phases: - data-collection tags: - memory - acquisition - scenario:memory_dump - memory-analysis - ram-acquisition - kernel-module platforms: - Linux - Android accessType: download license: GPL v2 knowledgebase: false - name: Loki type: software description: >- Florian Roths Portable-IOC-Scanner bringt Enterprise-Level-Threat-Hunting auf jeden Windows-Endpoint ohne Agent-Installation. Die Python-basierte Engine scannt File-Hashes gegen NSRL-Whitelist und Custom-IOC-Sets, YARA-Rules gegen Memory und Dateisystem, Registry-Keys nach Malware- Persistence, Running-Processes nach bekannten Threats. Besonders wertvoll: Network-Share-Scanning durchsucht ganze Domänen, False-Positive-Reduction durch Whitelist-Management, Detailed-Logging für Compliance-Audits. Configuration-Files steuern Scan-Intensität vs. Performance. Integration mit MISP für IOC-Updates. Die Executable-Version läuft ohne Python-Installation. Härtungs-Checks validieren Sicherheits- Konfigurationen. Sigma-Rule-Support für Log-Analysis. Community- IOCs halten Threat-Database aktuell. Perfekt für Rapid-Response wenn vollständige EDR-Lösungen fehlen. Standard-Tool in vielen CERT-Incident-Response-Kits. Der Einstieg in professionelles Threat-Hunting ohne Budget-Hürden. skillLevel: intermediate url: https://github.com/Neo23x0/Loki icon: 🔎 domains: - incident-response phases: - examination tags: - ioc - yara platforms: - Windows - Linux accessType: download license: GPL v3 knowledgebase: false - name: Maltego type: software description: >- OSINT-Link-Analysis-Platform transformiert manuelle Recherchen in automatisierte visuelle Netzwerk-Investigations durch umfangreiche Transform-Engine-Ecosystem. Korreliert automatisch Domains, IP-Adressen, Email-Addresses, Social-Media-Accounts und Phone-Numbers für Attribution-Analysis. Machine-Learning-Enhanced-Clustering identifiziert BEC-Fraud-Networks, Botnet-Infrastructure und Multi-Stage-Attack-Campaigns. Transform-Hub erweitert Datenquellen um 100+ Commercial- und Open-Source-Intelligence-Feeds. Maltego CE bietet Community-Edition mit Basic-Transforms kostenlos, Commercial-Versions integrieren Premium-Data-Sources. Automated-Reconnaissance-Workflows für Threat-Actor-Profiling und Infrastructure-Mapping reduzieren manuelle Investigation-Time erheblich. url: https://www.maltego.com skillLevel: intermediate domains: - fraud-investigation - network-forensics phases: - analysis platforms: - Windows - macOS - Linux tags: - osint - link-analysis icon: 🌐 license: Proprietary - name: OnlyOffice type: software description: >- Kollaborative Bürosuite mit vollständiger Microsoft-Kompatibilität für forensische Berichtserstellung ohne Vendor-Lock-in. Echtzeit-Co-Editing ermöglicht simultane Reporterstellung durch mehrere Ermittler, Versionshistorie dokumentiert alle Änderungen für Audit-Trails. SSO-Integration und granulare Berechtigungen sichern Multi-User-Forensik-Workflows. Self-Hosting-Option für maximale Datenkontrolle bei sensiblen Ermittlungen. url: https://www.onlyoffice.com skillLevel: beginner domains: - collaboration-general phases: - reporting platforms: - Windows - Linux - macOS tags: - office - collaboration icon: 📄 license: AGPL-3.0 OR Apache-2.0 accessType: download - name: OpenCTI type: software description: >- Cyber-Threat-Intelligence-Plattform orchestriert strukturierte IOC-Analyse durch STIX-kompatible Knowledge-Graphs. Automatische Enrichment-Pipeline korreliert scheinbar unabhängige Indicators zu Attack-Campaigns. Confidence-Scoring gewichtet Intelligence-Qualität für präzise Threat-Attribution. skillLevel: intermediate url: https://filigran.io/platforms/opencti icon: 🗂️ domains: - incident-response phases: - analysis tags: - threat-intel - graph platforms: - Linux accessType: download license: AGPL v3 knowledgebase: false - name: Oxygen Forensic Suite type: software description: >- Mobile-Forensik-Alternative mit Deep-Extraction-Capabilities für Android-Systeme und spezialisierte Decryption-Engines für verschlüsselte Messenger. Telegram-Secret-Chat-Dekryptierung durch proprietäre Methoden und Live-Memory-Dumps von aktiven Geräten ohne Reboot-Requirement. Analysiert über 50 Cloud-Services mit Direct-API-Access ohne Premium-Pricing-Modell oder zusätzliche Lizenzkosten. Besonders stark bei chinesischen Smartphones (Xiaomi, Huawei, OnePlus) mit proprietären Security-Mechanismen und Custom-Android-Versionen. Mobile-Triage-Capability für Vor-Ort-Screening, regelmäßige Updates für neue App-Versionen und Android-Security-Patches innerhalb von 48 Stunden. url: https://www.oxygenforensics.com skillLevel: advanced domains: - mobile-forensics phases: - examination - analysis platforms: - Windows tags: - mobile - cloud - decryption icon: 📱 license: Proprietary - name: Radare2 type: software description: >- Open-Source modulares Reverse-Engineering-Framework vereint Disassembler, Debugger, Hex-Editor und Binary-Analysis-Tools in mächtiger Command-Line-Suite für Scriptable-Workflows. r2pipe-Integration bindet Framework nahtlos in Python/Go/JavaScript-Scripts für Automated-Analysis-Pipelines. Visual-Mode bietet interaktive Pseudo-GUI im Terminal mit Navigation und Editing-Capabilities. Unterstützt 20+ CPU-Architekturen von x86 über ARM bis WebAssembly für Firmware-Analysis, Embedded-Systems und CTF-Challenges. Scripting-Engine automatisiert komplexe Multi-Step-Analysen, Plugin-System erweitert Funktionalität. Active-Community-Development garantiert kontinuierliche Updates für neue Architekturen und File-Formats. Besonders stark bei Embedded-Forensics und IoT-Security-Analysis. url: https://rada.re/n/radare2.html skillLevel: advanced domains: - malware-analysis phases: - analysis platforms: - Windows - Linux - macOS tags: - reverse-engineering - scripting icon: 🗡️ license: LGPL v3 accessType: download - name: Rekall type: software description: >- Memory-Analysis-Framework mit Cloud-Scale-Capabilities und innovativer Live-Memory-Analysis über HTTP-Endpoints für Remote-Forensics. AFF4-Streaming-Support ermöglicht Untersuchung von Memory-Dumps ohne lokale Storage durch On-Demand-Block-Loading. Jupyter-Notebook-Integration schafft interaktive Speicher-Forensik-Umgebung für Collaboration zwischen Analysten und Dokumentation. Web-UI demokratisiert Memory-Forensics für nicht-technische Ermittler durch Point-and-Click-Interface. Besonders stark bei verteilten Ermittlungen und Cloud-Infrastructure-Analysis mit horizontaler Skalierung. Python-API ermöglicht Custom-Plugin-Development, obwohl Google Development 2018 zugunsten anderer Projekte einstellte. url: https://github.com/google/rekall skillLevel: advanced domains: - incident-response phases: - analysis platforms: - Windows - Linux - macOS tags: - memory - python icon: 🧬 license: Apache 2.0 accessType: download - name: Suricata type: software description: >- Multi-Threading-IDS-Engine analysiert 100Gbit-Traffic durch GPU-Acceleration und Hyperscan-Pattern-Matching für Real-Time-Threat-Detection. Lua-Scripts erstellen Custom-IOC-Detection-Logic, HTTP-Keyword-Matching extrahiert C2-Communication-Patterns. TLS-Certificate-Fingerprinting identifiziert Malware-Infrastructure, File-Extraction aus Network-Streams ermöglicht Payload-Analysis. JSON-Logs integrieren in ELK-Stack-Pipelines. url: https://suricata.io skillLevel: intermediate domains: - network-forensics phases: - analysis platforms: - Linux - Windows tags: - ids - nsm icon: 🛡️ license: GPL v2 accessType: download - name: VirusTotal type: software description: >- Google's Malware-Intelligence-Aggregation-Platform kombiniert 70+ Antivirus-Engine-Erkennungen für sofortige Multi-Vendor-Threat-Assessment von Files, URLs, IP-Addresses und Domains. Retro-Hunt-Service durchsucht historische Malware-Database mit YARA-Rules für ähnliche Samples durch Fuzzy-Hashing und Behavioral-Signatures. Interactive-Graph-View visualisiert Malware-Family-Relationships, C2-Infrastructure-Connections und Campaign-Attribution durch Metadata-Correlation. Livehunt-Service alertiert in Real-Time bei neuen YARA-Rule-Matches für proaktive Threat-Hunting und IOC-Development. Community-Intelligence erweitert Automated-Detection durch Analyst-Comments, Crowdsourced-Verdicts und Threat-Actor-Attribution-Data für Enhanced-Context. url: https://www.virustotal.com skillLevel: beginner domains: - malware-analysis phases: - examination platforms: - Web tags: - sandbox - av-scan icon: 🦠 license: Freemium knowledgebase: true - name: WinHex type: software description: >- Vielseitiger Hex-Editor mit forensischen Superkräften für Disk-Cloning, RAM-Editing und File-Recovery durch Signature-Scanning. NTFS-Alternate-Data-Streams-Support, MFT-Browser und Registry-Viewer parsen Strukturen direkt. Template-Engine automatisiert Datenstruktur-Parsing für komplexe Analysen. skillLevel: intermediate url: https://x-ways.net/winhex icon: 🗜️ domains: - static-investigations phases: - examination tags: - hex-editor - carving platforms: - Windows accessType: commercial license: Proprietary knowledgebase: false - name: WinPmem type: software description: >- Velociraptor-Memory-Imager mit flexiblem Driver-System für Windows-RAM-Akquisition. Drei Modi: Kernel-Driver für Maximum-Access, WinAPI für Modern-Windows, Live-Service für Remote-Collection. ELF64-Output mit Metadaten für Volatility-Auto-Detection, Pagefile-Integration erweitert Memory-Space. skillLevel: advanced url: https://winpmem.velocidex.com icon: 💾 domains: - incident-response phases: - data-collection tags: - memory - acquisition - scenario:memory_dump - memory-analysis - ram-acquisition - forensic-imaging platforms: - Windows accessType: download license: GPL v2 knowledgebase: false - name: Zeek type: software description: >- Protocol-Analysis-Framework dekodiert Network-Traffic in strukturierte Logs für forensische Timeline-Reconstruction: Connection-Tracking, HTTP-Transactions, DNS-Queries, TLS-Handshakes. Scripting-Language erstellt Custom-Protocol-Decoder und Behavioral-Anomaly-Detection, File-Analysis erkennt Malware-Transfers automatisch. Cluster-Deployment skaliert auf Multi-10Gbit-Links mit Load-Balancing. url: https://zeek.org skillLevel: advanced domains: - network-forensics phases: - analysis platforms: - Linux - macOS tags: - nsm - scripting icon: 📈 license: BSD accessType: download - name: osquery type: software description: >- SQL-basiertes Endpoint-Telemetry-System exposiert OS-State als querybare Tables: laufende Prozesse, Registry-Keys, Scheduled-Tasks, Network-Connections. Fleet-Manager orchestriert Hunting-Queries über tausende Endpoints parallel, Event-Framework monitored Real-Time-Changes für Persistence-Detection. Custom-Tables erweitern für Application-Logs und Cloud-Instance-Metadata-Correlation. url: https://osquery.io skillLevel: intermediate domains: - incident-response phases: - examination platforms: - Linux - Windows - macOS tags: - endpoint - sql icon: 🗄️ license: Apache 2.0 accessType: download - name: tcpdump type: software description: >- Fundamentaler Packet-Sniffer mit BPF-Filter-Syntax für chirurgisch präzise Packet-Selektion seit 1987. Memory-effiziente Capture bei High-Speed-Interfaces, Ring-Buffer-Mode rotiert automatisch. libpcap-Basis macht Captures kompatibel zu allen Analysis-Tools. Verfügbar auf jedem Unix-System. skillLevel: intermediate url: https://www.tcpdump.org icon: 🐙 domains: - network-forensics phases: - data-collection tags: - pcap - cli platforms: - Linux - macOS - BSD accessType: download license: BSD knowledgebase: false - name: x64dbg type: software description: >- Kostenloser Windows-Debugger mit moderner 64-Bit-Architektur und aktivem Plugin-Ecosystem. Anti-Anti-Debug-Plugins umgehen Evasion-Techniken, Script-Engine automatisiert repetitive Tasks. Memory-Map-Viewer, Conditional-Breakpoints und Multi-Threading-Support für moderne Malware-Dynamic-Analysis. skillLevel: advanced url: https://x64dbg.com icon: 🐛 domains: - malware-analysis phases: - analysis tags: - debugger - reverse-engineering platforms: - Windows accessType: download license: GPL v3 knowledgebase: false - name: grep type: software description: >- Filtert forensische Logs und Speicher-Dumps durch leistungsstarke reguläre Ausdrücke für präzise Beweissuche. GNU-Implementierung unterstützt drei Regex-Dialekte und Farb-Highlighting für schnelle Mustererkennung. Zero-Copy-Block-Pufferung ermöglicht Höchstgeschwindigkeit auch in riesigen Dateien. Pipe-Kompatibilität macht grep zum Grundbaustein unzähliger DFIR-Einzeiler für Artefakt-Parsing und Netzwerk-Flow-Analyse. Verfügbar auf jeder Unix-Plattform ohne Installation. url: https://www.gnu.org/software/grep/ skillLevel: beginner domains: - incident-response - static-investigations phases: - examination - analysis platforms: - Linux - macOS - Windows tags: - cli - regular-expressions - piping - filtering related_concepts: - Regular Expressions (Regex) icon: 🔍 license: "GPL\_v3" accessType: download - name: md5sum / sha256sum type: software description: >- Berechnet kryptografische Prüfsummen für Integritätsprüfung forensischer Images und Artefakte mit minimaler Systembelastung. Verifiziert Chain-of-Custody durch Hash-Vergleiche vor und nach Analysen. Stream-Filter-Fähigkeit ermöglicht simultane Hash-Berechnung während Disk-Imaging. Auf nahezu jeder Unix-Plattform vorinstalliert, daher überall verfügbar für spontane Verifizierungen. Erzeugt standardkonforme Prüfsummen für gerichtliche Verwertbarkeit. url: https://www.gnu.org/software/coreutils/ skillLevel: beginner domains: - incident-response - static-investigations - malware-analysis phases: - examination - analysis platforms: - Linux - macOS - Windows tags: - cli - hashing - integrity related_concepts: - Hash Functions & Digital Signatures icon: 🔢 license: GPL-3.0 - name: hashdeep type: software description: >- Erstellt rekursive Hash-Sammlungen für umfangreiche Datenträger-Audits mit mehreren Hash-Algorithmen parallel. Baseline-Auditing erkennt automatisch neue oder veränderte Dateien bei wiederkehrenden Untersuchungen. Multithread-Architektur beschleunigt Hash-Berechnung großer Dateimengen erheblich. Ausgabe in NIST-NSRL oder CSV-Formaten für Datenbank-Integration. Batch-Export ermöglicht automatisierte Deduplizierung und Known-Good-Filterung in Enterprise-Umgebungen. url: https://github.com/jessek/hashdeep skillLevel: intermediate domains: - static-investigations - cloud-forensics phases: - examination - analysis platforms: - Linux - macOS - Windows tags: - hashing - auditing - multihash icon: 🏷️ license: Public Domain accessType: download - name: ssdeep type: software description: >- Berechnet Fuzzy-Hashes für Ähnlichkeitsanalysen zwischen Malware-Varianten und Dokumentvorlagen ohne exakte Übereinstimmung. Context Triggered Piecewise Hashing erkennt auch teilweise veränderte Dateien zuverlässig. Ausgabe-Hashes integrieren sich in YARA-Regeln und Threat-Intelligence-Datenbanken. Unverzichtbar für Malware-Familie-Zuordnung und Kampagnen-Tracking. Ergänzt traditionelle kryptografische Hashes um Ähnlichkeitsdimension. url: https://ssdeep-project.github.io/ssdeep/ skillLevel: intermediate domains: - malware-analysis - incident-response phases: - analysis platforms: - Linux - macOS - Windows tags: - fuzzy-hashing - similarity icon: 🔍 license: "GPL\_v2" accessType: download - name: hashcat type: software description: >- Knackt Passwort-Hashes durch GPU-beschleunigte Brute-Force-Angriffe für Credential-Recovery in Ermittlungen. Unterstützt über 300 Hash-Formate von bcrypt bis Kerberos mit flexiblen Angriffsmodi. OpenCL-Backend nutzt CPUs, GPUs und FPGAs parallel für maximale Performance. Dictionary-, Mask- und Hybrid-Attacken decken verschiedene Passwort-Strategien ab. Unverzichtbar für Credential-Audits und Incident-Response bei Passwort-Diebstahl. url: https://hashcat.net/hashcat/ skillLevel: advanced domains: - incident-response - fraud-investigation phases: - analysis platforms: - Linux - Windows - macOS tags: - password-recovery - gpu-acceleration - cracking - scenario:credential_theft icon: ⚡ license: MIT accessType: download - name: Linkurious type: software description: >- Visualisiert komplexe Beziehungsnetzwerke in Betrugs- und Geldwäsche-Ermittlungen durch intuitive Graph-Analyse-Oberfläche. Überlagert Neo4j-Datenbanken mit leistungsstarken Filtern und Geo-Ansichten für versteckte Verbindungen. Zeitachsen-Analysen zeigen Entwicklung krimineller Netzwerke über Zeit. Automatisierungsvorlagen beschleunigen wiederkehrende Untersuchungen. Erstellt aussagekräftige Beweisgrafiken für Gerichtspräsentationen. Speziell für Finanzermittlungen und Anti-Geldwäsche-Compliance entwickelt. url: https://linkurious.com/ skillLevel: intermediate domains: - fraud-investigation - network-forensics - incident-response phases: - analysis - reporting platforms: - Web - Linux tags: - graph-visualisierung - link-analysis - aml - fraud icon: 🕸️ license: Proprietary accessType: commercial - name: Android Studio type: software description: >- Analysiert Android-APK-Dateien und erstellt forensische Re-Packaging-Umgebungen für Mobile-Malware-Untersuchungen. Integrierter Geräte-Emulator ermöglicht sichere Malware-Detonation ohne Hardware-Gefährdung. Gradle-Build-System rekompiliert modifizierte Apps für Behavioral-Analysis. Profiler und Debugging-Tools tracken verdächtige Aktivitäten in Echtzeit. Layout-Inspector analysiert UI-Manipulation-Techniken. ADB-Integration für direkte Geräte-Forensik und App-Extraktion. url: https://developer.android.com/studio skillLevel: intermediate domains: - mobile-forensics - malware-analysis phases: - examination - analysis platforms: - Windows - macOS - Linux tags: - ide - android - emulator - debugging icon: 📱 license: Freeware accessType: download - name: ADB type: software description: >- Kommuniziert mit Android-Geräten für forensische Datenextraktion über USB oder Netzwerk ohne Root-Zugriff. Erstellt logische Backups von App-Daten, installiert forensische Analysewerkzeuge, erfasst Live-Logcats für Incident-Response. Port-Weiterleitung ermöglicht sichere Remote-Analyse. File-Transfer-Funktionen extrahieren Beweise direkt vom Gerät. Shell-Access für erweiterte Forensik-Kommandos. Unverzichtbar für Mobile-Incident-Response und App-Entwicklungs-Forensik. url: https://developer.android.com/tools/adb skillLevel: intermediate domains: - mobile-forensics - incident-response phases: - data-collection - examination platforms: - Windows - macOS - Linux tags: - cli - mobile - device-management - extraction icon: 🔌 license: Freeware accessType: download - name: dc3dd type: software description: >- Erstellt militärstandard-konforme Festplatten-Images mit detailliertem forensischen Logging für Strafverfolgung. Simultane Multi-Hash-Berechnung und segmentweise Verifizierung gewährleisten Beweisintegrität. Umfassendes Error-Logging dokumentiert jeden Sektor-Lesefehler für Chain-of-Custody-Compliance. Pattern-Fill-Funktionen für DoD-konforme sichere Löschung. Split-Archive-Unterstützung mit Resume-Fähigkeit für unterbrochene Long-Running-Images. url: https://sourceforge.net/projects/dc3dd/ skillLevel: intermediate domains: - incident-response - static-investigations phases: - data-collection platforms: - Linux - Windows tags: - disk-imaging - hashing - wiping - logging - cli related_concepts: - Hash Functions & Digital Signatures icon: 💾 license: "GPL\_v2" accessType: download - name: ddrescue type: software description: >- Rettet Daten von beschädigten Datenträgern durch intelligente Multi-Pass-Strategie für schwierige forensische Akquisitionen. Sichert zunächst alle lesbaren Bereiche, bevor problematische Sektoren mehrfach versucht werden. Map-File protokolliert jeden Leseversuch für Resume-Fähigkeit ohne erneute Medien-Belastung. Fill-Modus bereitet schwierige Bereiche für nachträgliche Dateisystem-Reparaturen vor. Unverzichtbar für defekte Beweismittel-Datenträger. url: https://www.gnu.org/software/ddrescue/ skillLevel: intermediate domains: - static-investigations - fraud-investigation phases: - data-collection platforms: - Linux - macOS - Windows tags: - data-recovery - disk-imaging - map-file - cli - scenario:disk_imaging icon: 🛟 license: "GPL\_v2+" accessType: download - name: REMnux type: software description: >- Ubuntu-basierte Malware-Analyse-Distribution vereint kuratierte Reverse-Engineering-Tools in sofort einsatzbereiter VM-Umgebung. Vorkonfigurierte Integration von Ghidra, Radare2, Volatility und Netzwerk-Analyse-Tools spart Stunden manueller Installation. Spezialisierte Malware-Detonation-Umgebung mit Netzwerk-Simulation und Traffic-Analyse. Regelmäßige Updates halten Tool-Sammlung aktuell. Docker-Integration für sichere Malware-Sandboxing. Paketverwaltung vereinfacht Tool-Erweiterung. url: https://remnux.org/ skillLevel: intermediate domains: - malware-analysis - incident-response - network-forensics phases: - examination - analysis platforms: - Linux tags: - linux-distro - toolkit - reverse-engineering - virtualization icon: 🐧 license: mixed-oss accessType: download - name: Android Backup Extractor type: software description: >- Entpackt und entschlüsselt Android-Backup-Archive aus ADB-Kommandos für forensische App-Daten-Analyse ohne Root-Zugriff. Integrierte AES-Routinen dekryptieren passwortgeschützte Backups automatisch. Extrahiert versteckte App-Sandboxes und Systemdaten aus .ab-Dateien. Java-basierte Architektur funktioniert plattformübergreifend. Batch-Processing für Multiple-Device-Analysen. Unverzichtbares Werkzeug für Mobile-Forensik bei eingeschränkten Extraktionsmöglichkeiten. url: https://github.com/nelenkov/android-backup-extractor skillLevel: intermediate domains: - mobile-forensics - static-investigations phases: - examination - analysis platforms: - Windows - Linux - macOS tags: - cli - backup - encryption - artifact-extraction - android - scenario:file_recovery icon: 📦 license: Apache-2.0 accessType: download - name: CAINE type: software description: >- Ubuntu-basierte Live-Forensik-Distribution bündelt über 150 Werkzeuge in schreibgeschützter Umgebung für kontaminationsfreie Ermittlungen. UnBlock-GUI ermöglicht gezieltes Aufheben der Write-Block-Funktion für einzelne Geräte. UEFI-Support und Kernel 6.8 gewährleisten moderne Hardware-Kompatibilität. Forensics-Menü organisiert Tools nach Untersuchungsphasen. Live-Boot ohne Installation schützt Host-System vor Kontamination. url: https://www.caine-live.net/ skillLevel: beginner domains: - incident-response - static-investigations - network-forensics - mobile-forensics phases: - data-collection - examination - analysis platforms: - Linux tags: - live-distro - imaging - write-blocking - gui - cli - scenario:disk_imaging icon: 💿 license: "LGPL\_2.1+" accessType: download - name: Aircrack-ng type: software description: >- Umfassende WLAN-Forensik-Suite analysiert 802.11-Verkehr und identifiziert Sicherheitsverletzungen in drahtlosen Netzwerken. Airodump-ng sammelt Pakete und deckt versteckte Netzwerke auf, Aireplay-ng injiziert Deauth-Frames für Handshake-Erfassung. WEP-Schlüssel-Rekonstruktion in Minuten, WPA2-PSK-Recovery mit Dictionary-Angriffen. Rogue-Access-Point-Erkennung und Client-Probing-Analyse für Bewegungsprofile. GPU-Beschleunigung via hashcat für moderne Verschlüsselungsstandards. url: https://www.aircrack-ng.org/ skillLevel: advanced domains: - network-forensics - incident-response phases: - data-collection - analysis platforms: - Windows - Linux - macOS - BSD tags: - cli - wireless - packet-capture - injection - cracking - scenario:credential_theft icon: 📦 license: "GPL\_v2\_(+\_BSD/OpenSSL\_components)" accessType: download - name: WiFi Pineapple type: software description: >- Spezialisierte Rogue-Access-Point-Hardware für WLAN-Penetrationstests und forensische Netzwerk-Analyse. PineAP-Suite führt automatische Reconnaissance durch, erfasst Handshakes und Enterprise-Credentials. Gezielte Client-Filterung und Cloud-C2-Fernsteuerung für diskrete Operationen. Browser-basierte GUI vereinfacht komplexe WLAN-Angriffe. Mark VII und Enterprise-Modelle für verschiedene Einsatzszenarien. Unverzichtbar für WLAN-Sicherheitsbewertungen und Incident-Response. url: https://shop.hak5.org/products/wifi-pineapple skillLevel: intermediate domains: - network-forensics - incident-response phases: - data-collection - analysis platforms: - Web - Hardware tags: - rogue-ap - wireless - man-in-the-middle - gui - web-interface - scenario:remote_access icon: 📡 license: Proprietär - name: Network Protocols & Packet Analysis type: concept description: >- Fundamentale Kenntnisse der Netzwerkprotokolle von Layer 2-7 für Traffic-Forensik und Incident-Response. TCP/IP-Grundlagen, HTTP/HTTPS-Header-Analyse, DNS-Tunneling-Erkennung, und Protokoll-Anomalie-Detection. Session-Rekonstruktion aus PCAP-Dateien, Payload-Extraktion und C2-Kommunikations-Patterns. Verschlüsselte Protokolle wie TLS, SSH, VPN-Traffic-Charakteristika. OSI-Model-Verständnis essentiell für Netzwerk-Forensik und APT-Hunting. skillLevel: intermediate url: https://www.iana.org/protocols icon: 🌐 domains: - incident-response - network-forensics - malware-analysis - cloud-forensics phases: - examination - analysis tags: - protocol-analysis - packet-inspection - session-reconstruction - c2-analysis - traffic-patterns - network-baseline - payload-extraction - anomaly-detection knowledgebase: true - name: File Systems & Storage Forensics type: concept description: >- Tiefgreifendes Verständnis von Dateisystem-Strukturen für forensische Datenrekonstruktion. NTFS-Metadaten ($MFT, $LogFile, $UsnJrnl), ext4-Journaling, APFS-Snapshots und HFS+-Forensik. Slack-Space-Analyse, Bad-Cluster-Hiding, Alternate-Data-Streams und versteckte Partitionen. Deleted-File-Recovery durch Inode-Strukturen, File-Carving-Prinzipien und Timestamp-Manipulation-Detection. Cloud-Storage-Forensik für OneDrive, Google Drive, Dropbox-Artefakte. Volume-Shadow-Copy-Analyse für Windows-Timeline-Rekonstruktion. skillLevel: intermediate url: https://forensicswiki.xyz/wiki/index.php?title=File_Systems icon: 💾 domains: - static-investigations - incident-response - mobile-forensics - cloud-forensics phases: - examination - analysis tags: - filesystem-analysis - metadata-extraction - deleted-data-recovery - slack-space - journaling-analysis - timestamp-forensics - partition-analysis - cloud-storage knowledgebase: true - name: Timeline Analysis & Event Correlation type: concept description: >- Methodische Korrelation zeitbasierter Artefakte für Incident-Rekonstruktion und Beweisführung. Super-Timeline-Erstellung aus heterogenen Quellen, Zeitstempel-Normalisierung und Timezone-Handling. Pivot-Point-Identifikation, Activity-Gap-Analyse und Behavioral-Pattern-Erkennung. Correlation-Techniken zwischen System-Events, User-Activity und Network-Connections. Anti-Forensik-Detection durch Timeline-Inconsistencies. Automated-Timeline- Processing und Machine-Learning-basierte Anomalie-Erkennung für Enterprise-Scale-Investigations. skillLevel: advanced url: https://www.sans.org/white-papers/digital-forensics-timeline-analysis/ icon: ⏰ domains: - incident-response - static-investigations - network-forensics - cloud-forensics phases: - analysis - reporting tags: - timeline-correlation - event-sequencing - temporal-analysis - super-timeline - pivot-points - behavioral-patterns - anomaly-detection - anti-forensics-detection knowledgebase: true - name: Memory Forensics & Process Analysis type: concept description: >- Volatile-Memory-Strukturen und Process-Internals für Advanced-Malware-Detection. Virtual-Memory-Layout, Process-Injection-Techniken, DLL-Hollowing und Process-Ghosting-Erkennung. Kernel-Structures-Analysis, System-Call-Hooking und Rootkit-Detection-Methoden. Memory-Dump-Acquisition-Strategien, Address-Space-Reconstruction und Encrypted-Memory-Handling. Cross-Platform-Memory-Forensik für Windows, Linux, macOS-Systeme. Live-Memory-Analysis vs. Dead-Memory-Investigation-Tradeoffs. skillLevel: advanced url: >- https://volatility-labs.blogspot.com/2012/10/movp-31-memory-forensics-taxonomy.html icon: 🧠 domains: - incident-response - malware-analysis - static-investigations phases: - examination - analysis tags: - memory-structures - process-injection - rootkit-detection - kernel-analysis - address-space - live-analysis - malware-hiding - system-internals knowledgebase: true - name: hdiutil type: software description: >- macOS-nativer Disk-Image-Manager erstellt und mountet DMG, ISO, IMG-Dateien für forensische Analyse. Besonders wertvoll: Sparse-Image-Creation für Live-Collection, Checksum-Verifizierung mit CRC32/MD5, Read-Only-Mounting verhindert Beweis-Kontamination. Komprimierung und Verschlüsselung für sichere Evidence-Storage. Integration in Automator-Workflows für Batch-Processing. Der Standard für macOS-Imaging ohne externe Tools. skillLevel: intermediate url: https://ss64.com/osx/hdiutil.html icon: 💿 domains: - incident-response - static-investigations phases: - data-collection - examination platforms: - macOS accessType: built-in license: Proprietary knowledgebase: false tags: - cli - disk-imaging - mounting - apfs - compression - encryption - checksum - sparse-images related_concepts: - Hash Functions & Digital Signatures - Digital Evidence Chain of Custody related_software: - dd - Fuji - name: asr type: software description: >- Apple Software Restore führt Block-Level-Restores von macOS-Images durch und ermöglicht forensisches Cloning ganzer Volumes. Besonders bei APFS-Container-Forensik wertvoll: Bit-genaue Duplikation inklusive Metadaten, Snapshot-Preservation und FileVault-Verschlüsselung. Network-Restore-Fähigkeiten für Remote-Imaging. Der Low-Level-Zugriff umgeht Dateisystem-Beschränkungen für saubere Akquisition. skillLevel: advanced url: https://ss64.com/osx/asr.html icon: 🔄 domains: - incident-response - static-investigations phases: - data-collection platforms: - macOS accessType: built-in license: Proprietary knowledgebase: false tags: - cli - disk-imaging - cloning - apfs - filevault - network-restore - block-level related_concepts: - Digital Evidence Chain of Custody related_software: - hdiutil - dd - name: plutil type: software description: >- Property-List-Parser konvertiert zwischen XML, Binary und JSON-Formaten für macOS-Artefakt-Analyse. Extrahiert Konfigurationsdaten aus Apps, System-Preferences und versteckten Plist-Files. Besonders wertvoll: Binary-Plist-Dekodierung ohne Xcode, Syntax-Validation für korrupte Files, Batch-Conversion für Massen-Analyse. Command-Line-Integration in Forensik-Scripts. Unverzichtbar für macOS-Application-Forensik. skillLevel: beginner url: https://ss64.com/osx/plutil.html icon: 📋 domains: - static-investigations - incident-response phases: - examination - analysis platforms: - macOS accessType: built-in license: Proprietary knowledgebase: false tags: - cli - plist-parser - xml-conversion - json-export - artifact-extraction - batch-processing - macos-artifacts related_concepts: - File Systems & Storage Forensics related_software: - ExifTool - name: spotlight_parser type: software description: >- Python-Framework analysiert macOS-Spotlight-Index für versteckte Dateimetadaten und Suchhistorie. Extrahiert gelöschte Referenzen, Volltext-Indizes und User-Search-Patterns aus .store-Datenbanken. Rekonstruiert File-Timeline auch nach Löschung, identifiziert externe Volume-Verbindungen. Besonders wertvoll für User-Activity-Tracking und Data-Exfiltration-Nachweis auf macOS-Systemen. skillLevel: intermediate url: https://github.com/ydkhatri/spotlight_parser icon: 🔍 domains: - static-investigations - incident-response phases: - examination - analysis platforms: - macOS - Linux - Windows accessType: download license: MIT knowledgebase: false tags: - cli - spotlight-analysis - metadata-parser - deleted-file-recovery - search-history - python-tool - macos-artifacts - user-activity related_concepts: - File Systems & Storage Forensics related_software: - ALEAPP - iLEAPP - name: FSEventsParser type: software description: >- Dekodiert macOS-FSEvents-Logs für vollständige Dateisystem-Aktivitäts-Timeline ohne Lücken. Trackt Datei-Creation, Modification, Deletion und Movement auch bei gelöschten Files. Besonders wertvoll: Millisecond-Precision-Timestamps, Volume-übergreifende Tracking, Correlation mit anderen Artefakten. Python-basierte Parsing-Engine für Command-Line-Integration. Standard-Tool für macOS-Timeline-Forensik und Incident-Reconstruction. skillLevel: intermediate url: https://github.com/dlcowen/FSEventsParser icon: 📊 domains: - static-investigations - incident-response phases: - examination - analysis platforms: - macOS - Linux - Windows accessType: download license: GPL-3.0 knowledgebase: false tags: - cli - timeline-analysis - filesystem-monitoring - python-tool - macos-artifacts - deleted-file-recovery - high-precision - correlation-engine related_concepts: - Timeline Analysis & Event Correlation - File Systems & Storage Forensics related_software: - Plaso (log2timeline) - Timesketch - name: chainbreaker type: software description: >- Python-Tool extrahiert Passwörter, Zertifikate und Schlüssel aus macOS-Keychain-Dateien für Credential-Recovery. Dekryptiert sowohl Login- als auch System-Keychains mit User-Passwort oder Master-Key. Besonders wertvoll: WiFi-Passwort-Extraktion, Certificate-Chain-Analysis, Secure-Notes-Dekodierung. Batch-Processing für Enterprise-Deployments. Export in strukturierte Formate für weitere Analyse. Standard für macOS-Credential-Forensik. skillLevel: advanced url: https://github.com/n0fate/chainbreaker icon: ⛓️ domains: - static-investigations - incident-response phases: - examination - analysis platforms: - macOS - Linux - Windows accessType: download license: GPL-3.0 knowledgebase: false tags: - cli - credential-extraction - keychain-analysis - password-recovery - certificate-analysis - python-tool - macos-artifacts - wifi-passwords related_concepts: - Hash Functions & Digital Signatures related_software: - hashcat - name: UnifiedLogReader type: software description: >- Alpha-Stadium-Parser für macOS-Unified-Logging-System analysiert strukturierte Logd-Datenbanken für System-Event-Reconstruction. Extrahiert versteckte Debug-Messages, Kernel-Events und App-Crashes aus tracev3-Files. Besonders wertvoll bei Malware-Persistenz-Analysis und System-Tampering-Detection. Korreliert Events über Process-Boundaries hinweg. Experimentelle Software mit begrenzter Stability aber einzigartige Capabilities. skillLevel: expert url: https://github.com/ydkhatri/UnifiedLogReader icon: 📜 domains: - incident-response - malware-analysis phases: - examination - analysis platforms: - macOS - Linux - Windows accessType: download license: MIT knowledgebase: false tags: - cli - log-parser - unified-logs - python-tool - macos-artifacts - system-events - kernel-analysis - experimental related_concepts: - Timeline Analysis & Event Correlation related_software: - Plaso (log2timeline) - Aftermath - name: xmount type: software description: >- Virtuelles Dateisystem mountet forensische Images als Block-Devices für Live-Analyse ohne Extraktion. Unterstützt EWF, AFF, RAW und DMG-Formate mit gleichzeitiger Konvertierung zwischen Formaten. Besonders wertvoll: Cache-System beschleunigt wiederholte Zugriffe, Write-Cache simuliert beschreibbare Images für Tests. FUSE-basierte Architektur für Linux/macOS-Integration. Perfekt für Timeline-Tools die direkten Disk-Zugriff benötigen. skillLevel: intermediate url: https://www.pinguin.lu/xmount icon: 🗄️ domains: - static-investigations - incident-response phases: - examination - analysis platforms: - Linux - macOS accessType: download license: GPL-3.0 knowledgebase: false tags: - cli - virtual-filesystem - image-mounting - format-conversion - fuse-based - cache-system - write-simulation - cross-format related_concepts: - File Systems & Storage Forensics related_software: - OSFMount - ewfmount - name: ewfmount type: software description: >- FUSE-Wrapper mountet Expert-Witness-Format-Images als reguläre Files für Standard-Tool-Zugriff. Teil der libewf-Suite ermöglicht Read-Only-Access auf E01/Ex01-Segmente ohne Vollextraktion. Besonders praktisch: Integration in Standard-Workflows, Performance-Optimierung für große Archives, Metadata-Preservation. Cross-Platform-Verfügbarkeit für heterogene Lab-Umgebungen. Alternative zu proprietären Mounting-Tools. skillLevel: beginner url: https://github.com/libyal/libewf/wiki/Mounting icon: 📁 domains: - static-investigations - incident-response phases: - examination platforms: - Linux - macOS accessType: download license: LGPL-3.0 knowledgebase: false tags: - cli - ewf-mounting - fuse-filesystem - read-only - segment-handling - cross-platform - libewf-suite - performance-optimized related_concepts: - Digital Evidence Chain of Custody related_software: - xmount - ewfacquire - name: iPhone Backup Extractor type: software description: >- Kommerzielle iOS-Backup-Analysis-Suite extrahiert Daten aus iTunes/Finder-Backups inklusive verschlüsselter Archives. Dekodiert App-Sandboxes, Keychain-Items und gelöschte SQLite-Records für umfassende iOS-Forensik. Besonders wertvoll: GUI für nicht-technische Ermittler, automatische App-Erkennung, Timeline-Export. Unterstützt iOS 3-17 mit regelmäßigen Updates. Premium-Features für Location-Data und Advanced-Recovery. skillLevel: beginner url: https://www.3utools.com/iphone-backup-extractor/ icon: 📱 domains: - mobile-forensics - static-investigations phases: - examination - analysis platforms: - Windows - macOS accessType: commercial license: Proprietary knowledgebase: false tags: - gui - ios-backup - commercial - keychain-extraction - app-analysis - timeline-export - encrypted-backup - sqlite-recovery related_concepts: - SQL - Hash Functions & Digital Signatures related_software: - iLEAPP - Cellebrite UFED - name: tmutil type: software description: >- Time-Machine-Utility steuert macOS-Backup-System und analysiert Snapshot-Strukturen für forensische Timeline-Reconstruction. Listet verfügbare Backups, vergleicht Versionen und extrahiert historische File-States. Besonders wertvoll: Point-in-Time-Recovery für Evidence, Metadata-Analyse von Backup-Changes, APFS-Snapshot-Integration. Thin-Backup-Analysis reduziert Storage-Overhead. Command-Line-Access für Scripting-Integration. skillLevel: intermediate url: https://ss64.com/osx/tmutil.html icon: ⏰ domains: - static-investigations - incident-response phases: - examination - analysis platforms: - macOS accessType: built-in license: Proprietary knowledgebase: false tags: - cli - backup-analysis - snapshot-examination - apfs-snapshots - version-comparison - timeline-reconstruction - point-in-time-recovery - metadata-analysis related_concepts: - Timeline Analysis & Event Correlation - File Systems & Storage Forensics related_software: - ShadowExplorer - hdiutil - name: macOS Target Disk Mode Acquisition type: method description: >- Forensische Datensammlung über Target Disk Mode (TDM) durch Drücken der T-Taste beim Boot-Vorgang. Das Asservat verhält sich wie eine externe Festplatte über Firewire/Thunderbolt-Verbindung. Vollständiges Verfahren: 1) Hardware-Schreibblocker anschließen, 2) T-Taste beim Boot drücken, 3) Ziel-Mac per Firewire/Thunderbolt verbinden, 4) Imaging mit dd/hdiutil durchführen. Limitierungen: nur erste Festplatte verfügbar, Firmware-Passwort blockiert TDM, Benutzerpasswort für FileVault-Entschlüsselung erforderlich. url: https://cloud.cc24.dev/f/32324 skillLevel: intermediate domains: - incident-response - static-investigations phases: - data-collection platforms: - macOS tags: - live-acquisition - target-disk-mode - hardware-connection - write-blocker-required - firmware-limitation - password-dependent - scenario:disk_imaging related_concepts: - Digital Evidence Chain of Custody related_software: - dd icon: 🎯 - name: macOS Auto-Mount Prevention type: method description: >- Verhinderung automatischen Mountens durch temporäres Deaktivieren des Disk Arbitrators. Verfahren: 1) 'sudo launchctl unload /System/Library/LaunchDaemons/com.apple.diskarbitrationd.plist' ausführen, 2) Datenträger anschließen (kein diskutil verfügbar), 3) Imaging durchführen, 4) 'sudo launchctl load /System/Library/LaunchDaemons/com.apple.diskarbitrationd.plist' zur Reaktivierung. Alternative zu Hardware-Schreibblockern für forensisch saubere Anbindung. url: https://cloud.cc24.dev/f/32324 skillLevel: intermediate domains: - incident-response - static-investigations phases: - data-collection platforms: - macOS tags: - write-blocker - disk-arbitrator - system-modification - contamination-prevention - sudo-required - manual-mounting related_concepts: - Digital Evidence Chain of Custody icon: 🚫 - name: macOS Property List Analysis type: method description: >- Systematische Auswertung von Apple Property List Dateien (Plist) in XML- und Binärformat für Konfigurationsdaten und Systemeinstellungen. Konvertierung zwischen Formaten mit plutil-Tool, strukturierte Analyse des binären Objektaufbaus mit 8-Byte-Header, variabler Objekttabelle, Offset-Tabelle und 32-Byte-Trailer. Extraktion forensischer Artefakte aus Systemkonfigurationen, Anwendungseinstellungen und Benutzeraktivitäten. url: https://cloud.cc24.dev/f/32324 skillLevel: intermediate domains: - static-investigations - incident-response - mobile-forensics phases: - examination - analysis platforms: - macOS tags: - plist-analysis - binary-decode - configuration-parsing - system-metadata - artifact-extraction - format-conversion - xml-parsing icon: 📋 knowledgebase: true - name: macOS Spotlight Forensic Analysis type: method description: >- Tiefgehende Auswertung der Spotlight-Indexdatenbanken (.store-Dateien) für umfassende Dateimetadaten und Aktivitätsnachweise. Extraktion von Öffnungshäufigkeiten, letzten Zugriffsdaten und versteckten Metadaten die im normalen Dateisystem nicht verfügbar sind. Fundorte: /.Spotlight-V100/Store-V2//.store und ~/Library/Metadata/CoreSpotlight/. Analyse erfordert spezielle Python-Parser für proprietäres undokumentiertes Format. url: https://cloud.cc24.dev/f/32324 skillLevel: advanced domains: - static-investigations - incident-response phases: - examination - analysis platforms: - macOS tags: - spotlight-analysis - metadata-extraction - timeline-analysis - file-activity - indexing-forensics - database-parsing - python-tools related_concepts: - Timeline Analysis & Event Correlation icon: 🔍 knowledgebase: true - name: macOS FSEvents Analysis type: method description: >- Forensische Auswertung von FSEvents-Logs für historische Dateisystemänderungen seit macOS 10.7. Fundort: /.fseventsd/xxxxxxxxxx (gzip-komprimiert). Dateiname entspricht letzter Event-ID + 1. Dekomprimierung und Parsing für chronologische Rekonstruktion von Datei-/Ordner-Operationen. Besonderheit: alphabetische statt chronologische Speicherung erfordert spezielle Parser für zeitbasierte Analyse und Aktivitätsmuster-Erkennung. url: https://cloud.cc24.dev/f/32324 skillLevel: intermediate domains: - static-investigations - incident-response phases: - examination - analysis platforms: - macOS tags: - fsevents-analysis - filesystem-monitoring - historical-analysis - gzip-decompression - timeline-reconstruction - file-operations - activity-tracking related_concepts: - Timeline Analysis & Event Correlation - File Systems & Storage Forensics icon: 📁 knowledgebase: true - name: macOS Keychain Forensic Analysis type: method description: >- Extraktion und Entschlüsselung von Passwörtern aus macOS Keychain-Dateien (~/Library/Keychains/*) für Zugangsdaten-Recovery. Auf T2/M1-Systemen Hardware-Bindung durch HEK-Schlüssel, Entschlüsselung nur mit bekanntem Benutzerpasswort möglich. Neuere Versionen: Export-Funktion deaktiviert, Alternative über Safari-Password-Manager (CSV-Export) oder Python-Chainbreaker-Tools für Offline-Analyse. url: https://cloud.cc24.dev/f/32324 skillLevel: advanced domains: - static-investigations - incident-response - fraud-investigation phases: - examination - analysis platforms: - macOS tags: - keychain-analysis - password-extraction - hardware-encryption - credential-recovery - t2-m1-limitations - python-tools - access-restriction related_concepts: - Hash Functions & Digital Signatures icon: 🔐 knowledgebase: true - name: macOS Unified Log Analysis type: method description: >- Dekodierung und Analyse des Apple Unified Logging (AUL) ab macOS 10.12 für systemweite Event-Korrelation. Datenquellen: /var/db/diagnostics/Persist/ (tracev3-Dateien), /var/db/diagnostics/Special/ und /var/db/uuidtext. Analyse mit 'log show', 'log collect', Predicate-Filter für gezielte Suchen. Offline-Analyse erfordert Übertragung der Verzeichnisse auf Analyse-Mac oder Virtualisierung des Zielsystems. url: https://cloud.cc24.dev/f/32324 skillLevel: advanced domains: - incident-response - static-investigations phases: - examination - analysis platforms: - macOS tags: - unified-logging - tracev3-parsing - predicate-filters - subsystem-analysis - binary-log-format - timeline-creation - system-monitoring related_concepts: - Timeline Analysis & Event Correlation icon: 📊 knowledgebase: true - name: macOS DMG Image Mounting type: method description: >- Forensisch sauberes Mounting von Mac Disk Images mit Write-Protection. Verfahren: 1) DMG-Datei als 'geschützt' markieren (Schloss-Icon), 2) 'hdiutil attach -shadow' für Shadow-File-Erstellung, 3) 'mdutil -i on' für Spotlight-Indexierung ohne Original-Änderung. Alternative: RAW/E01-Images mit xmount zu DMG konvertieren. Ermöglicht native macOS-Tool-Nutzung und Spotlight-Durchsuchbarkeit bei forensischer Integrität. url: https://cloud.cc24.dev/f/32324 skillLevel: intermediate domains: - static-investigations - incident-response phases: - examination - analysis platforms: - macOS tags: - dmg-mounting - write-protection - shadow-files - spotlight-indexing - image-conversion - forensic-imaging - read-only-access related_concepts: - Digital Evidence Chain of Custody related_software: - OSFMount icon: 💿 - name: macOS Time Machine Backup Analysis type: method description: >- Forensische Auswertung von Time Machine Backups für historische Systemzustände. Bis macOS 10.x: HFS+-Sparse-Bundle mit Hardlinks, ab BigSur: APFS-Snapshots. Analyse-Befehle: 'tmutil listbackups', 'tmutil listlocalsnapshots', 'tmutil destinationinfo'. Backup-Struktur: stündlich (24h), täglich (1 Monat), wöchentlich (permanent). Auswertung der backup_manifest.plist für Snapshot-IDs und Timeline-Rekonstruktion. url: https://cloud.cc24.dev/f/32324 skillLevel: intermediate domains: - static-investigations - incident-response phases: - examination - analysis platforms: - macOS tags: - time-machine-analysis - backup-forensics - sparse-bundle - apfs-snapshots - hardlink-analysis - historical-recovery - manifest-parsing related_concepts: - Timeline Analysis & Event Correlation - File Systems & Storage Forensics icon: ⏰ knowledgebase: true - name: iOS Backup Forensic Analysis type: method description: >- Extraktion und Analyse von iTunes/iCloud-Backups für iOS-Geräte-Forensik. Fundorte: Windows: /Users/[User]/AppData/Roaming/Apple Computer/MobileSync/Backup/, macOS: ~/Library/Application Support/MobileSync/Backup/. UDID-basierte Ordnerstruktur (SHA1 aus Seriennummer/IMEI/MAC), GUID-benannte Dateien enthalten iOS-Dateisystem-Inhalte. Analyse von Info.plist, Manifest.plist, Status.plist für Backup-Metadaten. url: https://cloud.cc24.dev/f/32324 skillLevel: intermediate domains: - mobile-forensics - static-investigations phases: - examination - analysis platforms: - macOS tags: - ios-backup-analysis - udid-decoding - manifest-parsing - app-data-recovery - backup-decryption - mobile-artifacts - itunes-backup related_concepts: - SQL - Digital Evidence Chain of Custody related_software: - Cellebrite UFED icon: 📱 knowledgebase: true - name: macOS iCloud Artifact Analysis type: method description: >- Systematische Auswertung von iCloud-Synchronisations-Artefakten im lokalen Dateisystem. Fundorte: ~/Library/Application Support/iCloud/Accounts (iCloud-ID), ~/Library/Mobile Documents/ (synchronisierte Dateien), ~/Library/SyncedPreferences/ (App-Einstellungen), ~/Library/Application Support/CloudDocs/ (client.db/server.db). Extraktion der account.1-Datei und .DS_Store-Analyse für Cloud-Aktivitätsnachweise ohne direkten iCloud-Zugriff. url: https://cloud.cc24.dev/f/32324 skillLevel: advanced domains: - cloud-forensics - static-investigations phases: - examination - analysis platforms: - macOS tags: - icloud-forensics - cloud-synchronization - mobile-documents - token-extraction - sync-analysis - cloud-artifacts - metadata-analysis related_concepts: - Hash Functions & Digital Signatures icon: ☁️ knowledgebase: true - name: macOS Communication App Analysis type: method description: >- Forensische Untersuchung nativer macOS Kommunikations-Apps für Nachrichtenverlauf. Messages: chat.db-SQLite-Datenbank (Tabellen: chat, messages, handle, attachments), Attachments-Verzeichnis. Mail: Envelope Index-Datenbank, .emlx-Dateien, Accounts-SQLite. Kontakte: AddressBook-v22.abcddb, MailRecents-v4.abcdmr. FaceTime: Plist-Konfigurationen mit Anruflisten. Korrelation zwischen Apps und iOS-Synchronisation. url: https://cloud.cc24.dev/f/32324 skillLevel: intermediate domains: - static-investigations - fraud-investigation - incident-response phases: - examination - analysis platforms: - macOS tags: - communication-analysis - chat-db-analysis - message-recovery - attachment-extraction - contact-analysis - ios-synchronization - sqlite-parsing related_concepts: - SQL - Timeline Analysis & Event Correlation icon: 💬 knowledgebase: true - name: Windows Passwort-Umgehung via Utilman-Ersetzung type: method description: >- Boot mit Linux-Live-System (z.B. Kali Linux), Mount der Windows-Partition, Backup von C:\Windows\System32\Utilman.exe erstellen, Utilman.exe durch cmd.exe überschreiben, Windows-Neustart, Klick auf Erleichterte Bedienung (Uhr-Symbol) öffnet CMD mit Systemrechten, "net user USERNAME NEUES_PASSWORT" eingeben für Passwort-Reset. Nach Anmeldung Original-Utilman.exe wiederherstellen. Funktioniert bei allen Windows-Versionen ohne BitLocker. url: https://cloud.cc24.dev/f/32333 skillLevel: intermediate domains: - incident-response - static-investigations phases: - data-collection platforms: - Windows tags: - password-bypass - system-access - utilman-replacement - live-boot - administrator-rights - net-user-command - linux-tools related_concepts: - Digital Evidence Chain of Custody related_software: - Kali Linux icon: 🔓 - name: RDP Cache Analyse type: method description: >- Systematische Extraktion von RDP-Cache-Dateien aus C:\Users\XXX\AppData\Local\Microsoft\Terminal Server Client\Cache für Lateral-Movement-Nachweis. 64x64-Bitmap-Fragmente mit speziellen Tools extrahieren und zu Bildschirm-Screenshots rekonstruieren. Registry-Analyse von MRU-Einträgen unter HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default für RDP-Server-Historie und UsernameHint-Extraktion aus \Servers-Schlüssel. Korrelation mit Event-Logs für vollständige RDP-Timeline. url: https://cloud.cc24.dev/f/32333 skillLevel: advanced domains: - incident-response - network-forensics - malware-analysis phases: - examination - analysis platforms: - Windows tags: - rdp-cache - lateral-movement - terminal-server - bitmap-analysis - mru-analysis - apt-investigation - network-intrusion - cache-forensics related_concepts: - Timeline Analysis & Event Correlation related_software: - RegRipper - Eric Zimmerman Tools - bmc-tools icon: 🖥️ knowledgebase: true - name: Windows Event Log Forensische Analyse type: method description: >- Dekodierung binärer EVT/EVTX-Logs durch Korrelation mit Message-Table- Ressourcen in System-DLLs. Event-ID-Mapping über Registry-Einträge in HKLM\System\CurrentControlSet\Services\EventLog für Template-Zuordnung. Wichtige Event-IDs: 4624/4625 (Logon Success/Fail), 4778/4779 (RDP Connect/Disconnect), 7034-7045 (Service-Events). Timeline-Erstellung mit Plaso, XML-Export für strukturierte Analyse, Korrelation zwischen Security.evtx, System.evtx und Application.evtx für vollständige Systemaktivitäts-Rekonstruktion. url: https://cloud.cc24.dev/f/32333 skillLevel: intermediate domains: - incident-response - static-investigations - network-forensics phases: - examination - analysis platforms: - Windows tags: - event-logs - evt-analysis - evtx-analysis - timeline-analysis - logon-analysis - rdp-sessions - service-analysis - message-tables - xml-parsing related_concepts: - Timeline Analysis & Event Correlation related_software: - Plaso (log2timeline) - Eric Zimmerman Tools - Timesketch icon: 📊 knowledgebase: true - name: USB-Gerät Analyse unter Windows type: method description: >- Registry-Extraktion aus SYSTEM\CurrentControlSet\Enum\USBSTOR für Hersteller/Produkt/Version-Identifikation und Unique-Serial-Numbers (ohne & im 2. Zeichen). First/Last-Connection-Zeiten aus Properties 0064/0066/0067-Registry-Werten. Setupapi.dev.log-Analyse für Initial- Installation-Timestamps. Volume-Serial-Number-Korrelation zwischen ENDMgmt-Registry und LNK-Dateien für Device-File-Zuordnung. MountedDevices-Registry für Laufwerksbuchstaben-Historie. url: https://cloud.cc24.dev/f/32333 skillLevel: intermediate domains: - static-investigations - incident-response - fraud-investigation phases: - examination - analysis platforms: - Windows tags: - usb-forensics - registry-analysis - pnp-logs - volume-serial - mounted-devices - setupapi-analysis - device-identification - connection-timeline - lnk-correlation related_concepts: - Timeline Analysis & Event Correlation - Digital Evidence Chain of Custody related_software: - RegRipper - Eric Zimmerman Tools - USBDeview icon: 🔌 knowledgebase: true - name: Windows Registry Tiefenanalyse type: method description: >- REGF/CREG-Format-Parsing von Registry-Hives (SYSTEM, SOFTWARE, SAM, SECURITY, NTUSER.DAT) für Systemkonfiguration und User-Activity. LastWrite-Timestamp-Analyse für Key-Änderungszeiten (Nanosekunden seit 1601). Autorun-Location-Enumeration in Run/RunOnce-Schlüsseln für Persistenz-Mechanismen. Network-Signatures für WLAN-Historie, MRU-Listen für Recent-Activities, UserAssist-ROT13-Dekodierung für GUI-Starts, ShellBags für Folder-Access, 64-Bit-Support über Wow6432Node-Analyse. url: https://cloud.cc24.dev/f/32333 skillLevel: intermediate domains: - static-investigations - incident-response - malware-analysis phases: - examination - analysis platforms: - Windows tags: - registry-analysis - hive-parsing - lastwrite-timestamps - autorun-detection - mru-analysis - userassist-decoding - shellbags-analysis - wow6432node - rot13-decoding - persistence-analysis related_concepts: - Timeline Analysis & Event Correlation related_software: - RegRipper - Eric Zimmerman Tools - Registry Explorer icon: 📜 knowledgebase: true - name: Volume Shadow Copy Forensische Analyse type: method description: >- VSS-Snapshot-Auflistung mit "vssadmin list shadows /for=C:", Zugriff via mklink-Verknüpfung: "mklink /d c:\vss-test \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\". Imaging mit dd: "dd if=\\.\HarddiskVolumeShadowCopy4 of=shadowcopy.dd". X-Ways-Integration über Dateiüberblick erweitern → gründliche Dateisystem-Datenstruktur-Suche → SC-Attribut-Filterung für Shadow-Copy-Dateien. Copy-on-Write-Prinzip: nur Änderungen seit letztem Snapshot gespeichert. Gelöschte Dateien bleiben in Snapshots erhalten. url: https://cloud.cc24.dev/f/32333 skillLevel: intermediate domains: - static-investigations - incident-response - fraud-investigation phases: - examination - analysis platforms: - Windows tags: - shadow-copy-analysis - vss-forensics - snapshot-recovery - vssadmin-commands - mklink-access - copy-on-write - historical-analysis - deleted-file-recovery - x-ways-integration - sc-filtering related_concepts: - Timeline Analysis & Event Correlation - File Systems & Storage Forensics related_software: - ShadowExplorer - X-Ways Forensics - dd icon: 📸 - name: Windows Netzwerk-Forensik mit PowerShell type: method description: >- Live-System-Netzwerk-Sammlung: Get-NetAdapter für Interface-Liste, Get-NetIPAddress für IP-Konfiguration, Get-NetTCPConnection für aktive Verbindungen, Get-NetUDPEndpoint für UDP-Ports, Get-NetNeighbor für ARP-Tabelle, Get-NetRoute für Routing-Informationen. Get-NetAdapterStatistics für Traffic-Volumina, Get-NetAdapterHardwareInfo für Hardware-Details. Batch-Sammlung mit | Export-Csv für strukturierte Ausgabe. Korrelation mit Registry-Daten unter NetworkList für historische Profile. url: https://cloud.cc24.dev/f/32333 skillLevel: intermediate domains: - incident-response - network-forensics phases: - data-collection - examination platforms: - Windows tags: - powershell-forensics - network-analysis - live-analysis - netadapter-cmdlets - tcp-connections - routing-analysis - neighbor-discovery - traffic-statistics - cmdlet-scripting related_concepts: - Network Protocols & Packet Analysis related_software: - Wireshark icon: 🌐 - name: UserAssist Forensische Analyse type: method description: >- ROT13-Dekodierung von NTUSER.DAT\Software\Microsoft\Windows\ CurrentVersion\Explorer\UserAssist\{GUID}\Count für Desktop-GUI-Programme. GUID-Kategorien: CEBFF5CD (Executable), F4E57C4B (Shortcut), 75048700 (Active Desktop-XP). Jeder Eintrag enthält Ausführungs-Count und Last-Execution-Time. ROT13-Dekodierung: A→N, B→O etc. Automated-Tools für Batch-Dekodierung verfügbar. Registry-Explorer zeigt Last-Write-Time des UserAssist-Keys für Timeline-Korrelation. url: https://cloud.cc24.dev/f/32333 skillLevel: intermediate domains: - static-investigations - incident-response phases: - examination - analysis platforms: - Windows tags: - userassist-analysis - rot13-decoding - gui-tracking - execution-frequency - registry-analysis - desktop-programs - timeline-analysis - ntuser-dat - guid-analysis related_concepts: - Timeline Analysis & Event Correlation related_software: - RegRipper - Eric Zimmerman Tools - UserAssist GUI icon: 🖱️ - name: Shell Bags Analyse type: method description: >- Ordnerzugriffs-Historie aus USRCLASS.DAT\Local Settings\Software\ Microsoft\Windows\Shell\Bags (Explorer) und NTUSER.DAT\Software\ Microsoft\Windows\Shell\BagMRU (Desktop). Jeder Bag enthält Folder-Settings und Zugriffs-Timestamps. BagMRU zeigt chronologische MRU-Liste mit letzten Ordner-Öffnungen. Nachweis gelöschter Verzeichnisse durch Registry-Persistenz nach Folder-Deletion. Netzwerk-Share-Zugriffe und USB-Pfade werden ebenfalls geloggt. url: https://cloud.cc24.dev/f/32333 skillLevel: intermediate domains: - static-investigations - incident-response - fraud-investigation phases: - examination - analysis platforms: - Windows tags: - shellbags-analysis - folder-access - network-shares - deleted-directories - usrclass-dat - ntuser-dat - explorer-forensics - access-timeline - data-exfiltration related_concepts: - Timeline Analysis & Event Correlation - File Systems & Storage Forensics related_software: - Eric Zimmerman Tools - RegRipper - ShellBags Explorer icon: 📁 - name: LNK-Dateien Forensische Analyse type: method description: >- Shortcut-Analyse aus %USERPROFILE%\AppData\Roaming\Microsoft\Windows\ Recent\ für File-Access-Historie. Jede LNK-Datei enthält: Target-Path, Working-Directory, Creation/Modification/Access-Times der Zieldatei, Volume-Serial-Number, Network-Share-Info, Host-Name. LNK-Creation-Time = erste Datei-Öffnung, LNK-Modification-Time = letzte Öffnung. Besonderheit: LNK-Dateien für Netzwerk-Dateien bleiben auch nach Original-Löschung bestehen und zeigen Remote-Zugriffe. url: https://cloud.cc24.dev/f/32333 skillLevel: beginner domains: - static-investigations - incident-response - fraud-investigation phases: - examination - analysis platforms: - Windows tags: - lnk-analysis - shortcut-forensics - file-access-history - volume-information - network-shares - target-metadata - remote-files - mac-timestamps - serial-numbers related_concepts: - Timeline Analysis & Event Correlation - File Systems & Storage Forensics related_software: - Eric Zimmerman Tools icon: 🔗 - name: Prefetch-Dateien Forensische Analyse type: method description: >- Programm-Execution-Nachweis durch C:\Windows\Prefetch\*.pf-Analyse. Dateiformat: EXENAME-HASH.pf mit Last-Execution-Time (Modification-Date), Run-Count, Referenced-Files/Directories. Creation-Time = erste Ausführung. Kapazitäten: 128 Files (XP/7), 1024 Files (Win8+). Hash basiert auf Executable-Path, nicht Content - Path-Änderung erzeugt neue PF-Datei. Prefetch-Status: Registry HKLM\SYSTEM\CurrentControlSet\Control\ Session Manager\Memory Management\PrefetchParameters. url: https://cloud.cc24.dev/f/32333 skillLevel: intermediate domains: - incident-response - malware-analysis - static-investigations phases: - examination - analysis platforms: - Windows tags: - prefetch-analysis - program-execution - execution-frequency - last-execution-time - file-handles - malware-evidence - performance-cache - hash-calculation - capacity-limits related_concepts: - Timeline Analysis & Event Correlation related_software: - Eric Zimmerman Tools icon: ⚡ - name: Jump Lists Forensische Analyse type: method description: >- Windows 7+ Taskbar-Recent-Items aus %USERPROFILE%\AppData\Roaming\ Microsoft\Windows\Recent\AutomaticDestinations\*.automaticDestinations-ms. AppID-basierte Dateinamen (z.B. 1bc392b3d42b9fb2.automaticDestinations-ms für Notepad). Jede Datei enthält LNK-Streams für Recent-Documents. Creation-Time = erste App-Nutzung, Modification-Time = letztes Document-Opening. Internal-LNK-Parsing zeigt accessed Files mit Timestamps und Paths. url: https://cloud.cc24.dev/f/32333 skillLevel: intermediate domains: - static-investigations - incident-response - fraud-investigation phases: - examination - analysis platforms: - Windows tags: - jump-lists - taskbar-forensics - automatic-destinations - appid-analysis - lnk-correlation - user-workflow - document-access - chronological-analysis - windows7-plus related_concepts: - Timeline Analysis & Event Correlation related_software: - Eric Zimmerman Tools icon: 📋 - name: Thumbcache Analyse type: method description: >- Thumbnail-Extraktion aus %USERPROFILE%\AppData\Local\Microsoft\Windows\ Explorer\thumbcache_*.db (Vista+) für Image-Viewing-Evidence. ThumbnailCacheID-Korrelation mit Windows.edb SystemIndex_0A-Tabelle für Original-Filename-Recovery. Thumbcache-Größen: 32, 96, 256, 1024 Pixel. XP: thumbs.db pro Verzeichnis mit direkten Dateinamen. Netzwerk-Shares erzeugen weiterhin thumbs.db-Dateien auch unter Win10. Thumbnails bleiben nach Original-File-Deletion erhalten. url: https://cloud.cc24.dev/f/32333 skillLevel: intermediate domains: - static-investigations - fraud-investigation - mobile-forensics phases: - examination - analysis platforms: - Windows tags: - thumbcache-analysis - thumbnail-forensics - image-viewing - thumbnailcacheid - windows-edb - systemindex-correlation - deleted-images - csam-investigation - content-awareness - thumbs-db related_concepts: - File Systems & Storage Forensics related_software: - Thumbcache Viewer icon: 🖼️ - name: Windows Zone Identifier Analyse type: method description: >- NTFS-Alternate-Data-Stream-Analyse für Download-Attribution: filename:Zone.Identifier mit ZoneId-Werten: 0=Local, 1=Intranet, 2=Trusted Sites, 3=Internet, 4=Restricted Sites. Browser-Downloads erhalten automatisch Zone.Identifier-Markierung. Analyse mit "dir /R" oder "more filename:Zone.Identifier". Streams-Tool zeigt alle ADS eines Verzeichnisses. Registry-Policies können Zone-Marking deaktivieren. url: https://cloud.cc24.dev/f/32333 skillLevel: intermediate domains: - incident-response - malware-analysis - static-investigations phases: - examination - analysis platforms: - Windows tags: - zone-identifier - alternate-data-streams - download-attribution - security-zones - ntfs-forensics - browser-markings - malware-sources - web-attacks - origin-tracking related_concepts: - File Systems & Storage Forensics related_software: - Strings - Streams icon: 🌐 - name: Outlook Attachments Forensische Analyse type: method description: >- OLK-Cache-Analyse aus %USERPROFILE%\AppData\Local\Microsoft\Windows\ INetCache\Content.Outlook\[Random-GUID]\ für temporäre Attachments. Registry-Pfad-Ermittlung: HKCU\Software\Microsoft\Office\{VERSION}\ Outlook\Security\OutlookSecureTempFolder. Versions-Mapping: 12.0=2007, 14.0=2010, 15.0=2013, 16.0=365. Opened/Deleted-Attachments bleiben im Cache bis Outlook-Restart. Filename-Original-Names meist erhalten. Integration mit PST-Analysis für E-Mail-Context-Correlation. url: https://cloud.cc24.dev/f/32333 skillLevel: beginner domains: - static-investigations - incident-response - fraud-investigation phases: - examination - analysis platforms: - Windows tags: - outlook-forensics - email-attachments - olk-cache - inetcache-analysis - registry-paths - temporary-files - attachment-timeline - pst-integration - email-investigation related_concepts: - Timeline Analysis & Event Correlation related_software: - libpff/pffexport icon: 📧 - name: Office Files MRU Forensische Analyse type: method description: >- Microsoft Office Recent-Files aus NTUSER.DAT\Software\Microsoft\ Office\{VERSION}\UserMRU\LiveID_####\FileMRU. Versions-Codes: 10.0=XP, 11.0=2003, 12.0=2007, 14.0=2010, 15.0=365, 16.0=365. LiveID-Integration zeigt Cloud-Account-Binding. MRU-Liste-Analyse für chronologische Dokument-Zugriffe mit Last-Access-Timestamps. Application-spezifische Unterschlüssel für Word, Excel, PowerPoint. Integration mit Recent-Folders für vollständige Office-Usage-Timeline. url: https://cloud.cc24.dev/f/32333 skillLevel: beginner domains: - static-investigations - incident-response - fraud-investigation phases: - examination - analysis platforms: - Windows tags: - office-mru - recent-documents - registry-analysis - version-specific - liveid-integration - filemru-analysis - document-access - productivity-patterns - cloud-accounts related_concepts: - Timeline Analysis & Event Correlation related_software: - RegRipper - Eric Zimmerman Tools icon: 📄 - name: Recent Dateien Registry-Analyse type: method description: >- RecentDocs-Analyse aus NTUSER.DAT\Software\Microsoft\Windows\ CurrentVersion\Explorer\RecentDocs für 150 zuletzt geöffnete Files/Folders. MRU-Binary-Liste zeigt chronologische Reihenfolge (jüngste=0). Extension-Unterschlüssel (*.pdf, *.docx) für Filetype-spezifische Historie. Folder-Unterschlüssel für Directory-Access. LastWrite-Time des Keys = letzte Datei-Öffnung dieser Extension. Binary-Data enthält Unicode-Filename-Strings. url: https://cloud.cc24.dev/f/32333 skillLevel: beginner domains: - static-investigations - incident-response - fraud-investigation phases: - examination - analysis platforms: - Windows tags: - recent-docs - registry-analysis - mru-lists - file-access-history - extension-tracking - folder-access - lastwrite-correlation - user-activity - chronological-analysis related_concepts: - Timeline Analysis & Event Correlation related_software: - RegRipper - Eric Zimmerman Tools icon: 📂 - name: Windows Anmeldeverfahren Forensische Analyse type: method description: >- Authentication-Mechanismus-Analyse: NTLM Challenge-Response vs. Kerberos Ticket-Granting für Domain-Environments. Event-Log-Analysis für Logon-Types: 2=Interactive Console, 3=Network, 4=Batch, 5=Service, 7=Unlock, 8=Network Cleartext, 9=New Credentials, 10=Remote Interactive (RDP), 11=Cached Interactive. Registry-Analysis für Cached-Domain-Credentials unter SECURITY\Cache und Authentication- Packages in LSA. Smartcard/Biometric-Evidence in specialized Event-Logs. url: https://cloud.cc24.dev/f/32333 skillLevel: advanced domains: - incident-response - static-investigations - network-forensics phases: - examination - analysis platforms: - Windows tags: - authentication-analysis - logon-types - interactive-logon - smartcard-analysis - biometric-analysis - network-logon - ntlm-analysis - kerberos-analysis - cached-credentials - event-correlation related_concepts: - Timeline Analysis & Event Correlation - Network Protocols & Packet Analysis icon: 🔐 knowledgebase: true - name: OpenSave MRU Forensische Analyse type: method description: >- Shell-Dialog-basierte File-History aus NTUSER.DAT\Software\Microsoft\ Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU (XP) bzw. OpenSavePIDlMRU (Win7+). "*"-Subkey = alle Dateien, Extension-Subkeys (*.txt, *.jpg) = filetype-spezifisch. Binary-MRU-Data enthält File-Paths und Shell-Item-IDs. LastWrite-Time = letzte Dialog-Usage dieser Extension. Covers alle Anwendungen die Standard-Windows- File-Dialogs verwenden (nicht Browser-Downloads). url: https://cloud.cc24.dev/f/32333 skillLevel: intermediate domains: - static-investigations - incident-response - fraud-investigation phases: - examination - analysis platforms: - Windows tags: - opensave-mru - shell-dialogs - file-access-tracking - comdlg32-analysis - extension-specific - registry-timestamps - user-interaction - dialog-boxes - application-forensics related_concepts: - Timeline Analysis & Event Correlation related_software: - RegRipper - Eric Zimmerman Tools icon: 💾 - name: Last-Visited MRU Forensische Analyse type: method description: >- Application-zu-Path-Korrelation aus NTUSER.DAT\Software\Microsoft\ Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU (XP) bzw. LastVisitedPidlMRU (Win7+). Binary-Data-Format: Executable-Name + Opened-Path-String. Beispiel: notepad.exe → C:\Users\Rob\Desktop zeigt von wo Notepad gestartet wurde. MRU-Reihenfolge = chronologische App-Launches mit File-Dialog-Usage. Malware-Launch-Directory- Attribution für Portable-Executables oder Removable-Media-Starts. url: https://cloud.cc24.dev/f/32333 skillLevel: intermediate domains: - incident-response - malware-analysis - static-investigations phases: - examination - analysis platforms: - Windows tags: - lastvisited-mru - application-paths - executable-tracking - launch-directories - malware-origins - portable-apps - execution-timeline - path-correlation - startup-analysis related_concepts: - Timeline Analysis & Event Correlation related_software: - RegRipper - Eric Zimmerman Tools icon: 🗂️ - name: IE History Laufwerkszugriffe Analyse type: method description: >- Non-Browser-File-Access via IE-History in index.dat (IE6-9) bzw. WebCacheV*.dat (IE10+) unter %USERPROFILE%\AppData\Local\Microsoft\ Windows\WebCache\. file:///-URL-Entries zeigen lokale Dateizugriffe und UNC-Network-Share-Access auch ohne Browser-Usage. URL-Format: file:///C:/path/file.ext oder file://server/share/file. Timestamp-Analysis für File-Access-Timeline unabhängig von Explorer-Recent-Lists. WebCacheView-Tool für structured Database-Export. url: https://cloud.cc24.dev/f/32333 skillLevel: intermediate domains: - static-investigations - incident-response - network-forensics phases: - examination - analysis platforms: - Windows tags: - ie-history - file-protocol - local-file-access - unc-shares - index-dat - webcache-analysis - non-browser-access - timeline-reconstruction - network-shares - remote-files related_concepts: - Timeline Analysis & Event Correlation - Network Protocols & Packet Analysis related_software: - WebCacheView icon: 🌐 - name: bmc-tools type: software description: >- Extrahiert RDP-Bitmap-Cache-Fragmente aus Windows Terminal Server Client Cache für Remote-Desktop-Session-Rekonstruktion. Parst bcache*.bmc und cache*.bin Dateien durch Python-Framework mit automatischer Tile-Dekompression und Collage-Generation. Unterstützt alle RDP-Versionen und Qualitätsstufen (bcache2/22/24). Besonders wertvoll: versteckte Remote-Aktivitäten ohne Server-Logs rekonstruieren, KAPE-Integration für Batch-Processing, Export in Standard-Bildformate. skillLevel: intermediate url: https://github.com/ANSSI-FR/bmc-tools domains: - incident-response - network-forensics - static-investigations phases: - examination - analysis platforms: - Windows - Linux - macOS tags: - cli - rdp-analysis - bitmap-extraction - remote-session - python-tool - collage-generation - lateral-movement - cache-forensics - terminal-server - scenario:remote_access related_concepts: - Timeline Analysis & Event Correlation related_software: - RdpCacheStitcher icon: 🖥️ license: GPL-3.0 accessType: download - name: USBDeview type: software description: >- Analysiert USB-Geräte-Historie für Datenträger-Forensik und Incident-Response durch detaillierte Device-Information-Extraktion. Zeigt aktuell verbundene und früher genutzte USB-Devices mit Hersteller-Details, Seriennummern, Installation-Timestamps. Speed-Test-Feature für USB-Performance-Analyse, Remote-System-Unterstützung für Netzwerk-Forensik. Besonders wertvoll: USB-Autorun-Detection, Device-Management und Export in strukturierte Formate für Timeline-Korrelation. skillLevel: beginner url: https://www.nirsoft.net/utils/usb_devices_view.html domains: - static-investigations - incident-response - fraud-investigation phases: - examination - analysis platforms: - Windows tags: - gui - usb-forensics - device-history - serial-numbers - installation-timeline - speed-testing - autorun-detection - remote-analysis - csv-export - scenario:file_recovery related_concepts: - Timeline Analysis & Event Correlation - Digital Evidence Chain of Custody related_software: - USBLogView icon: 🔌 license: Freeware accessType: download - name: ShellBags Explorer type: software description: >- GUI-basierte Shellbags-Analyse für Windows-Folder-Access-Rekonstruktion durch Registry-Hive-Parsing von USRCLASS.DAT und NTUSER.DAT. Visualisiert Verzeichnisstrukturen mit First/Last-Interaction-Timestamps, zeigt gelöschte Ordner-Zugriffe und externe Device-Verbindungen. Besonders wertvoll: Timeline-Export für Korrelations-Analyse, Batch-Processing mehrerer Hives, detaillierte Shellbag-Properties für forensische Dokumentation. skillLevel: intermediate url: https://ericzimmerman.github.io/ domains: - static-investigations - incident-response - fraud-investigation phases: - examination - analysis platforms: - Windows tags: - gui - shellbags-analysis - folder-access - registry-analysis - timeline-creation - deleted-directories - external-devices - batch-processing - eric-zimmerman - scenario:file_recovery related_concepts: - Timeline Analysis & Event Correlation - File Systems & Storage Forensics related_software: - Eric Zimmerman Tools - Registry Explorer icon: 📁 license: MIT accessType: download - name: UserAssist GUI type: software description: >- Dekodiert ROT13-verschlüsselte UserAssist-Registry-Einträge für GUI-Program-Execution- Tracking unter Windows. Zeigt Program-Pfade, Ausführungsanzahl und Last-Execution- Times für Desktop-Programme und Shortcuts. Besonders wertvoll: unterscheidet zwischen direkter .exe-Ausführung und Shortcut-Starts, exportiert Daten für Timeline-Analyse, erkennt Malware-Execution-Patterns automatisch. skillLevel: beginner url: https://blog.didierstevens.com/programs/userassist/ domains: - static-investigations - incident-response - malware-analysis phases: - examination - analysis platforms: - Windows tags: - gui - userassist-analysis - rot13-decoding - program-execution - registry-analysis - execution-frequency - shortcut-tracking - malware-detection - didier-stevens - scenario:persistence related_concepts: - Timeline Analysis & Event Correlation related_software: - Registry Explorer - Eric Zimmerman Tools icon: 🖱️ license: Freeware accessType: download - name: Registry Explorer type: software description: >- Erweiterte Registry-Analyse-Plattform mit Multi-Hive-Support und forensischen Plugins für Windows-Artefakt-Extraktion. Lädt Transaction-Logs für Live-Registry- Reconstruction, zeigt gelöschte Keys/Values, bietet forensische Bookmarks für kritische Registry-Locations. Besonders wertvoll: Plugin-System für automatisierte Artefakt-Parsing, Locked-File-Handling, Search-Funktionen und Export-Capabilities für strukturierte Analyse-Workflows. skillLevel: intermediate url: https://ericzimmerman.github.io/ domains: - static-investigations - incident-response - malware-analysis phases: - examination - analysis platforms: - Windows tags: - gui - registry-analysis - multi-hive-support - plugin-system - transaction-logs - deleted-keys - forensic-bookmarks - locked-files - search-capabilities - eric-zimmerman related_concepts: - Timeline Analysis & Event Correlation related_software: - Eric Zimmerman Tools - RegRipper icon: 📜 license: MIT accessType: download - name: Streams type: software description: >- Sysinternals-Tool detektiert NTFS-Alternate-Data-Streams für versteckte Malware- und Daten-Identifikation. Zeigt alle Streams pro Datei/Verzeichnis mit Größen- Informationen, unterstützt rekursive Verzeichnis-Scans. Besonders wertvoll: Malware-Hiding-Detection in ADS, Zone.Identifier-Analyse für Download-Attribution, Command-Line-Integration für Batch-Processing und Security-Audits. skillLevel: beginner url: https://learn.microsoft.com/en-us/sysinternals/downloads/streams domains: - incident-response - malware-analysis - static-investigations phases: - examination - analysis platforms: - Windows tags: - cli - alternate-data-streams - ntfs-forensics - malware-detection - zone-identifier - hidden-data - sysinternals - security-audit - download-attribution - recursive-scan related_concepts: - File Systems & Storage Forensics related_software: - AlternateStreamView icon: 💾 license: Microsoft accessType: download - name: WebCacheView type: software description: >- Analysiert Internet Explorer WebCache-Datenbanken (WebCacheV*.dat) für Browser- Forensik ab IE10/Edge. Extrahiert Historie, Downloads, Cookies und Cache-Einträge aus ESE-Database-Format. Besonders wertvoll: lokale Datei-Zugriffe über file:///- Protocol, InPrivate-Session-Detection, Timeline-Export für Korrelations-Analyse und strukturierte Datenausgabe für forensische Dokumentation. skillLevel: beginner url: https://www.nirsoft.net/utils/web_cache_view.html domains: - static-investigations - incident-response - fraud-investigation phases: - examination - analysis platforms: - Windows tags: - gui - web-cache-analysis - internet-explorer - edge-browser - ese-database - download-history - cookies-analysis - file-protocol - inprivate-detection - nirsoft related_concepts: - Timeline Analysis & Event Correlation related_software: - BrowsingHistoryView - IECacheView icon: 🌐 license: Freeware accessType: download - name: libpff/pffexport type: software description: >- Open-Source-Bibliothek für PST/OST-Forensik mit detaillierter Personal-Folder- File-Analyse und Deleted-Item-Recovery. Exportiert E-Mails, Kontakte, Kalender aus Microsoft-Outlook-Dateien ohne Outlook-Installation. Besonders wertvoll: Low-Level-MAPI-Property-Zugriff, gefälschte E-Mail-Detection durch Metadaten- Analyse, Cross-Platform-Support und Integration in forensische Toolchains. skillLevel: advanced url: https://github.com/libyal/libpff domains: - static-investigations - fraud-investigation - incident-response phases: - examination - analysis platforms: - Windows - Linux - macOS tags: - cli - pst-analysis - ost-forensics - email-forensics - deleted-recovery - mapi-properties - outlook-forensics - cross-platform - libyal - falsification-detection related_concepts: - Timeline Analysis & Event Correlation - Digital Evidence Chain of Custody related_software: - Outlook Forensic Toolbox icon: 📧 license: LGPL-3.0 accessType: download - name: Linux Netzwerk-Konfiguration Analyse type: method description: >- Systematische Auswertung von /etc/network/interfaces (Debian/Ubuntu), /etc/sysconfig/network (SUSE), /etc/NetworkManager (WLAN) für Netzwerk-Timeline-Reconstruction. Static/Dynamic-IP-Analysis, Gateway-Configuration, WLAN-SSID-History und Interface-Status-Tracking. url: https://cloud.cc24.dev/f/32342 skillLevel: intermediate domains: - incident-response - network-forensics phases: - examination - analysis tags: - network-configuration - interface-analysis - wlan-analysis - ip-configuration - gateway-analysis related_concepts: - Network Protocols & Packet Analysis - name: Linux File Access Timestamp Analyse type: method description: >- Dateizugriffs-Rekonstruktion durch stat, ls -l, date -r für Access/Modify/Change-Time-Analysis. Filesystem-Metadaten-Extraction, Touch-Command-Detection, Root-Manipulation-Identification. Correlation mit System-Logs für vollständige File-Activity-Timeline. url: https://cloud.cc24.dev/f/32342 skillLevel: beginner domains: - static-investigations - incident-response phases: - examination - analysis tags: - file-timestamps - metadata-analysis - access-time - modification-time - filesystem-analysis related_concepts: - File Systems & Storage Forensics - Timeline Analysis & Event Correlation - name: Linux Package Management Forensik type: method description: >- APT/RPM-Paketmanager-Analyse für Software-Installation-Timeline und Integrity-Verification. Repository-Source-Analysis, Package-History- Reconstruction, Dependency-Tracking, Malicious-Package-Detection durch Signature-Verification und Update-Pattern-Analysis. url: https://cloud.cc24.dev/f/32342 skillLevel: intermediate domains: - incident-response - malware-analysis phases: - examination - analysis tags: - package-analysis - software-timeline - installation-history - dependency-tracking - integrity-verification related_concepts: - Hash Functions & Digital Signatures - Timeline Analysis & Event Correlation - name: Linux Namespace Container-Forensik type: method description: >- Container-Isolation-Analysis durch Mount-, UTS-, IPC-, PID-, Network-, User-Namespace-Examination. Unshare-Command-Analysis, Process-Container- Mapping, Resource-Limitation-Detection via /sys/fs/cgroup für Container-Escape-Investigation und Privilege-Escalation-Detection. url: https://cloud.cc24.dev/f/32342 skillLevel: expert domains: - incident-response - malware-analysis phases: - examination - analysis tags: - container-analysis - namespace-isolation - privilege-escalation - process-isolation - container-escape - cgroup-analysis related_concepts: - Memory Forensics & Process Analysis - name: Docker Container Forensische Analyse type: method description: >- Docker-Image/Container-Layer-Analysis für Containerized-Application- Forensics. Dockerfile-Reconstruction, Image-History-Analysis, Container-Runtime-Investigation, Volume-Mount-Analysis und Network-Bridge-Examination für Container-Security-Incident-Response. url: https://cloud.cc24.dev/f/32342 skillLevel: advanced domains: - incident-response - cloud-forensics - malware-analysis phases: - examination - analysis tags: - container-forensics - docker-analysis - image-analysis - layer-analysis - volume-analysis - containerized-malware related_concepts: - Memory Forensics & Process Analysis related_software: - Docker Explorer - name: Linux System Monitoring Forensik type: method description: >- Live-System-Überwachung durch ps, top, htop für Process-Analysis und Malware-Detection. SHA256-Hash-Verification von System-Binaries, Update-Status-Verification, Hidden-Process-Detection und Resource-Usage-Anomaly-Analysis für APT-Investigation. url: https://cloud.cc24.dev/f/32342 skillLevel: intermediate domains: - incident-response - malware-analysis phases: - examination - analysis tags: - process-monitoring - hash-verification - malware-detection - system-integrity - anomaly-detection - apt-investigation related_concepts: - Hash Functions & Digital Signatures - Memory Forensics & Process Analysis related_software: - hashdeep - md5sum / sha256sum - name: DNS Filtering Analysis (Linux) type: method description: >- /etc/hosts-File-Analysis für DNS-Manipulation-Detection und Domain-Blocking-Investigation. Static-DNS-Entry-Analysis, Malware-DNS-Hijacking-Detection, Sinkhole-Configuration-Analysis für Network-Traffic-Redirection-Investigation und Anti-Malware-Verification. url: https://cloud.cc24.dev/f/32342 skillLevel: beginner domains: - incident-response - network-forensics - malware-analysis phases: - examination - analysis tags: - dns-analysis - hosts-file - domain-blocking - dns-hijacking - traffic-redirection - sinkhole-analysis related_concepts: - Network Protocols & Packet Analysis - name: Linux Route Filtering Forensik type: method description: >- Routing-Table-Analysis durch route-Command für Network-Traffic-Flow- Investigation. Static-Route-Configuration-Analysis, Gateway-Manipulation- Detection, Traffic-Filtering-Verification für Network-Isolation-Analysis und Lateral-Movement-Investigation. url: https://cloud.cc24.dev/f/32342 skillLevel: intermediate domains: - incident-response - network-forensics phases: - examination - analysis tags: - routing-analysis - traffic-filtering - gateway-analysis - network-isolation - lateral-movement - route-manipulation related_concepts: - Network Protocols & Packet Analysis - name: GnuPG Verschlüsselungs-Forensik type: method description: >- OpenPGP-Encryption-Analysis für verschlüsselte Kommunikation und File-Protection-Investigation. Public/Private-Key-Analysis, Signature-Verification, Encrypted-Message-Recovery-Techniques und Key-Ring-Analysis für Cryptographic-Evidence-Processing. url: https://cloud.cc24.dev/f/32342 skillLevel: advanced domains: - static-investigations - incident-response phases: - examination - analysis tags: - encryption-analysis - pgp-analysis - key-analysis - signature-verification - encrypted-communications - cryptographic-evidence related_concepts: - Hash Functions & Digital Signatures - name: X.509 Certificate Analysis type: method description: >- SSL/TLS-Certificate-Forensik für HTTPS-Communication-Analysis und PKI-Investigation. Certificate-Chain-Verification, CA-Trust-Analysis, Certificate-Metadata-Extraction, Expired/Revoked-Certificate-Detection für Network-Security-Incident-Analysis. url: https://cloud.cc24.dev/f/32342 skillLevel: intermediate domains: - incident-response - network-forensics phases: - examination - analysis tags: - certificate-analysis - ssl-tls-analysis - pki-analysis - trust-verification - network-security - https-analysis related_concepts: - Hash Functions & Digital Signatures - Network Protocols & Packet Analysis - name: USB Device Forensic Analysis (Linux) type: method description: >- USB-Hardware-Forensik durch usbauth-Framework für Device-Access-Control- Analysis. USB-Device-History-Reconstruction, Vendor/Product-ID-Analysis, Port-Binding-Investigation und Device-Type-Classification für Hardware-Based-Attack-Investigation und Data-Exfiltration-Analysis. url: https://cloud.cc24.dev/f/32342 skillLevel: intermediate domains: - incident-response - static-investigations phases: - examination - analysis tags: - usb-forensics - hardware-analysis - device-history - access-control - data-exfiltration - hardware-attacks related_concepts: - Timeline Analysis & Event Correlation - name: Linux Live-Boot Forensik-Umgebung type: method description: >- Kontaminationsfreie Systemuntersuchung durch Boot von USB/DVD ohne Festplatten-Zugriff. Forensics-Mode deaktiviert automatisches Mounting und Netzwerk-Services. Ermöglicht saubere Evidence-Akquisition ohne Host-System-Veränderungen. Alle Änderungen sind nach Ausschalten gelöscht. url: https://cloud.cc24.dev/f/32342 skillLevel: beginner domains: - incident-response - static-investigations phases: - data-collection - examination tags: - live-acquisition - write-blocker - contamination-prevention - forensic-imaging - read-only-access related_concepts: - Digital Evidence Chain of Custody related_software: - Kali Linux - SIFT Workstation - CAINE - name: Linux Festplatten-Partitionierung type: method description: >- Systematische Datenträger-Aufteilung mit fdisk (MBR) oder gdisk (GPT) für forensische Imaging-Workflows. Unterstützt DOS-, GPT-, SGI- und Sun-Partitionierungen. Kombiniert mit mkfs für Dateisystem-Erstellung. Essentiell für Evidence-Storage und Analyse-Partitionen. url: https://cloud.cc24.dev/f/32342 skillLevel: intermediate domains: - incident-response - static-investigations phases: - data-collection - examination tags: - disk-partitioning - gpt-analysis - mbr-analysis - filesystem-creation - evidence-storage related_concepts: - File Systems & Storage Forensics - Digital Evidence Chain of Custody related_software: - dd - FTK Imager - name: Linux Benutzer- und Rechteverwaltung type: method description: >- Systematische Analyse von /etc/passwd, /etc/shadow und /etc/group für User-Activity-Reconstruction. Zahlencodierung (chmod 755) und Symbolic-Notation (rwxr-xr-x) für Dateiberechtigungen. Includes setuid, setgid und sticky-bit Analyse für Privilege-Escalation-Detection. url: https://cloud.cc24.dev/f/32342 skillLevel: intermediate domains: - incident-response - static-investigations - malware-analysis phases: - examination - analysis tags: - user-analysis - permission-analysis - privilege-escalation - system-metadata - access-control related_concepts: - File Systems & Storage Forensics - Timeline Analysis & Event Correlation related_software: - grep - strings - name: Linux Log-Analyse Methodik type: method description: >- Strukturierte Auswertung von /var/log/* für Incident-Timeline-Reconstruction. Unix-Time-Konvertierung, Kernel-Ring-Buffer-Analyse mit dmesg, Authentication-Logs in auth.log/secure. Korrelation zwischen System-, Kernel- und Application-Logs für vollständige Event-Sequencing. url: https://cloud.cc24.dev/f/32342 skillLevel: intermediate domains: - incident-response - static-investigations - network-forensics phases: - examination - analysis tags: - log-analysis - timeline-analysis - unix-time - kernel-analysis - authentication-logs - syslog-analysis related_concepts: - Timeline Analysis & Event Correlation related_software: - grep - Plaso (log2timeline) - name: Linux Shell-Historie Forensik type: method description: >- Bash-History-Analyse aus ~/.bash_history für Command-Execution-Timeline. Erkennung von Anti-Forensik-Techniken: geleerte History, Softlinks auf /dev/null, manipulierte Timestamps. Korrelation mit Login-Logs für vollständige User-Activity-Reconstruction ohne Zeitstempel. url: https://cloud.cc24.dev/f/32342 skillLevel: intermediate domains: - incident-response - static-investigations - malware-analysis phases: - examination - analysis tags: - command-history - user-activity - anti-forensics-detection - bash-analysis - timeline-reconstruction - indicator-of-compromise related_concepts: - Timeline Analysis & Event Correlation related_software: - grep - strings - name: Git Repository Forensik type: method description: >- Versionskontroll-System-Analyse für Source-Code-Forensik und Entwickler-Activity-Tracking. Branch-Timeline-Reconstruction, Commit-Hash-Verifizierung, Merge-Conflict-Analysis. Collaborative- Workflow-Investigation über Remote-Repositories und Pull-Requests. url: https://cloud.cc24.dev/f/32342 skillLevel: advanced domains: - incident-response - static-investigations - malware-analysis phases: - examination - analysis tags: - version-control - source-code-analysis - developer-tracking - commit-analysis - collaboration-forensics - hash-verification related_concepts: - Hash Functions & Digital Signatures - Timeline Analysis & Event Correlation related_software: - Gitea - name: iptables Firewall-Forensik type: method description: >- Netzwerk-Traffic-Filtering-Analysis durch iptables-Rules-Reconstruction. INPUT/OUTPUT/FORWARD-Chain-Analysis, ACCEPT/DROP/REJECT-Actions, Port-based und IP-based Filtering. Regel-Persistence-Verification und Anti-Evasion-Configuration für Incident-Response. url: https://cloud.cc24.dev/f/32342 skillLevel: advanced domains: - incident-response - network-forensics phases: - examination - analysis tags: - firewall-analysis - network-filtering - traffic-analysis - rule-analysis - packet-filtering - network-security related_concepts: - Network Protocols & Packet Analysis - name: LUKS Disk-Encryption Analysis type: method description: >- Linux Unified Key Setup Verschlüsselungs-Forensik für encrypted Partitions und Container. Cryptsetup-based Key-Slot-Analysis, Metadata-Header-Examination, Passphrase-Recovery-Techniques. Integration mit Filesystem-Mounting für decrypted Evidence-Access. url: https://cloud.cc24.dev/f/32342 skillLevel: expert domains: - static-investigations - incident-response phases: - examination - analysis tags: - disk-encryption - key-analysis - encrypted-storage - partition-analysis - cryptographic-analysis - access-recovery related_concepts: - Hash Functions & Digital Signatures - File Systems & Storage Forensics - name: Linux Secure File Deletion Verification type: method description: >- Forensische Verifikation sicherer Löschvorgänge durch Overwrite-Pattern- Analysis. Unterscheidung zwischen rm (Filesystem-Entry-Deletion) und shred (Multi-Pass-Overwriting). Recovery-Verification und Anti-Forensik- Detection bei unvollständigen Secure-Wipe-Operationen. url: https://cloud.cc24.dev/f/32342 skillLevel: intermediate domains: - static-investigations - incident-response phases: - examination - analysis tags: - secure-deletion - data-recovery - overwrite-analysis - anti-forensics - file-system-analysis - data-sanitization related_concepts: - File Systems & Storage Forensics related_software: - PhotoRec - dd - name: Linux Process Memory Analysis type: method description: >- Live-System-Speicher-Untersuchung durch /proc-Filesystem-Analysis. Process-State-Examination, Memory-Maps-Analysis, Open-Files-Detection via /proc/PID/. Kernel-Module-Verification und Hidden-Process-Detection für Rootkit-Analysis ohne Memory-Dump-Tools. url: https://cloud.cc24.dev/f/32342 skillLevel: advanced domains: - incident-response - malware-analysis phases: - examination - analysis tags: - process-analysis - memory-analysis - proc-filesystem - rootkit-detection - live-analysis - kernel-analysis related_concepts: - Memory Forensics & Process Analysis domains: - id: incident-response name: Incident Response & Breach-Untersuchung - id: static-investigations name: Datenträgerforensik & Ermittlungen - id: malware-analysis name: Malware-Analyse & Reverse Engineering - id: fraud-investigation name: Betrugs- & Finanzkriminalität - id: network-forensics name: Netzwerk-Forensik & Traffic-Analyse - id: mobile-forensics name: Mobile Geräte & App-Forensik - id: cloud-forensics name: Cloud & Virtuelle Umgebungen - id: ics-forensics name: Industrielle Kontrollsysteme (ICS/SCADA) phases: - id: data-collection name: Datensammlung description: >- Sicherung digitaler Beweise durch Imaging, Remote Collection und Live-Akquisition - id: examination name: Auswertung description: >- Extraktion und initiale Analyse von Artefakten, Parsing von Datenstrukturen - id: analysis name: Analyse description: >- Tiefgehende Untersuchung, Korrelation von Beweisen und Rekonstruktion von Ereignissen - id: reporting name: Bericht & Präsentation description: Dokumentation der Findings, Visualisierung und gerichtsfeste Aufbereitung domain-agnostic-software: - id: collaboration-general name: Übergreifend & Kollaboration description: Cross-Domain-Tools für Teamwork und Case-Management - id: specific-os name: Spezialisierte Betriebssysteme description: Forensik-optimierte Linux-Distributionen und Live-Systeme scenarios: - id: scenario:disk_imaging icon: 💽 friendly_name: Datenträger sichern - id: scenario:memory_dump icon: 🧠 friendly_name: RAM-Speicher analysieren - id: scenario:file_recovery icon: 🗑️ friendly_name: Gelöschte Dateien wiederherstellen - id: scenario:browser_history icon: 🌍 friendly_name: Browser-Verlauf untersuchen - id: scenario:credential_theft icon: 🔑 friendly_name: Gestohlene Zugangsdaten finden - id: scenario:remote_access icon: 📡 friendly_name: Fernzugriffe nachweisen - id: scenario:persistence icon: ♻️ friendly_name: Persistenz-Mechanismen aufdecken - id: scenario:windows-registry icon: 📜 friendly_name: Windows Registry analysieren skill_levels: {}