mstoeck3/forensic-pathways
2
0
Fork 0
Code Issues 3 Pull Requests Projects Releases Activity
forensic-pathways/src/data/tools.yaml

7322 lines
240 KiB
YAML
Raw Blame History

This file contains invisible Unicode characters

This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

tools:
- name: Autopsy
type: software
description: >-
Die bekannte Open-Source-Forensik-Suite vereint hunderte Analyse-Module
unter einer intuitiven Oberfläche. Exzellent für Timeline-Rekonstruktion
durch automatische Korrelation von Dateisystem-Artefakten,
Registry-Einträgen und Log-Dateien. Das integrierte Keyword-Search-Modul
findet Beweise in gelöschten Dateien, Slack-Space und unallokierten
Bereichen. Die TSK-basierte Engine unterstützt alle gängigen Dateisysteme
von NTFS über ext4 bis APFS. Besonders wertvoll: Die PhotoRec-Integration
für signaturbasiertes Carving und die automatische Hash-Analyse gegen NSRL
und eigene Datenbanken. Plugins erweitern die Funktionalität für
Spezialfälle wie Smartphone-Forensik oder Cloud-Artefakte.
skillLevel: intermediate
url: https://www.autopsy.com/
icon: 🔍
domains:
- incident-response
- static-investigations
- malware-analysis
- mobile-forensics
- cloud-forensics
- fraud-investigation
phases:
- examination
- analysis
- reporting
tags:
- gui
- timeline
- file-carving
- keyword-search
- plugin-support
- opensource
- hash-analysis
- deleted-data
- artifact-extraction
- multi-user
- case-management
- report-generation
- tsk-framework
- scenario:disk_imaging
- scenario:file_recovery
- scenario:browser_history
related_concepts:
- SQL
- Hash Functions & Digital Signatures
- Digital Evidence Chain of Custody
related_software:
- Plaso (log2timeline)
- PhotoRec
- RegRipper
platforms:
- Windows
- Linux
accessType: download
license: Apache-2.0
knowledgebase: false
- name: Thorium
icon: ⚛️
type: software
description: >-
CISAs portable Hybrid-Analyse-Tool für die schnelle Untersuchung von Windows-
Systemen auf bösartige Aktivitäten. Scannt mit kuratierten YARA- und
Sigma-Regeln Arbeitsspeicher, Prozesse, Dateisystem, Netzwerkverbindungen und
Systemprotokolle. Ideal für schnelle Triage im Incident Response, sowohl live als auch
auf gemounteten Images. Die Ausgabe erfolgt in strukturierten JSON-Reports.
domains:
- incident-response
- malware-analysis
phases:
- examination
- analysis
platforms:
- Linux
related_software:
- Loki
- YARA
- Velociraptor
skillLevel: intermediate
accessType: download
url: https://github.com/cisagov/thorium
license: MIT
knowledgebase: false
tags:
- cli
- triage
- fast-scan
- ioc-matching
- yara-scan
- sigma-rules
- memory-analysis
- process-analysis
- filesystem-scanning
- log-analysis
- portable
- name: Volatility 3
type: software
description: >-
Memory-Forensik-Framework mit automatischer OS-Erkennung für Windows,
Linux, macOS RAM-Dumps analysiert über 100 Plugins für Prozess-Extraktion,
DLL-Injections, Netzwerk-Sockets, Registry-Hives und Rootkit-Artefakte.
Native Python-3-Architektur mit YARA-Integration für
Memory-Pattern-Matching und Timeline-Export in strukturierte Formate. Neue
Plugins erkennen Process-Hollowing, Kernel-Hooks und
Persistence-Mechanismen automatisch. Symbol-basierte Analyse beschleunigt
Multi-GB-Dump-Verarbeitung durch optimierte Memory-Parsing-Algorithmen.
Cloud-Storage-Support ermöglicht verteilte Analyse großer Memory-Images.
url: https://www.volatilityfoundation.org/
skillLevel: advanced
domains:
- incident-response
- static-investigations
- malware-analysis
- network-forensics
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
tags:
- cli
- plugin-support
- scripting
- memory-timeline
- process-analysis
- network-artifacts
- rootkit-detection
- code-injection
- yara-integration
- python-api
- scenario:memory_dump
- opensource
- memory-analysis
- ram-dump
related_concepts:
- Hash Functions & Digital Signatures
- Regular Expressions (Regex)
related_software:
- YARA
- Rekall
- WinPmem
- LiME
icon: 🧠
license: VSL
accessType: download
- name: MISP
type: software
description: >-
Threat-Intelligence-Sharing-Platform für strukturiertes IOC-Management
durch standardisierte Attribute: IP-Adressen, Domains, Datei-Hashes,
YARA-Rules, Malware-Samples mit Metadaten-Anreicherung. Galaxies und
Taxonomien klassifizieren Bedrohungen nach MITRE ATT&CK-Framework und
Kill-Chain-Phasen. Föderierte Architektur ermöglicht selektives
Intelligence-Sharing zwischen vertrauenswürdigen Partnern durch
Tagging-System. Correlation-Engine findet automatisch Zusammenhänge
zwischen scheinbar unabhängigen Incidents. Integriert mit Firewalls ind
SIEMS, die mit MISP-Anreicherungen gefüttert werden können.
url: https://misp-project.org/
skillLevel: intermediate
domains:
- incident-response
- static-investigations
- malware-analysis
- network-forensics
- cloud-forensics
- fraud-investigation
phases:
- data-collection
- examination
- analysis
platforms:
- Web
tags:
- web-interface
- IOC-matching
- taxonomies
- api
- threat-scoring
- collaboration
- correlation-engine
- galaxy-clusters
- warninglists
- zeromq-feed
- stix-export
- federation
related_concepts:
- Hash Functions & Digital Signatures
related_software:
- Cortex
- OpenCTI
icon: 🌐
projectUrl: https://misp.cc24.dev
statusUrl: https://status.mikoshi.de/api/badge/34/status
license: AGPL-3.0
accessType: server-based
knowledgebase: true
- name: DFIR-IRIS
icon: 🌺
type: software
description: >-
Collaborative Incident Response Management Platform für strukturierte
DFIR-Case-Organisation. Zentralisiert alle Aspekte einer Untersuchung:
Assets, IOCs, Tasks, Timeline, Evidence-Tracking. Multi-User-Environment
mit granularen Permissions für verschiedene Analysten-Rollen. Besonders
wertvoll: Case-Templates standardisieren Workflows, automatische IOC-
Enrichment via MISP/OpenCTI, integrierte Timeline-Visualisierung,
Evidence-Chain-of-Custody-Tracking. Plugin-System erweitert für Custom-
Integrations. RESTful API für Tool-Orchestrierung. Dashboard zeigt Case-
Status und Team-Workload. Notes-System dokumentiert Findings strukturiert.
Reporting-Engine generiert Executive-Summaries. Die Web-basierte
Architektur skaliert von kleinen Teams bis Enterprise-SOCs. Docker-
Deployment vereinfacht Installation. Besonders stark bei komplexen,
langwierigen Ermittlungen mit mehreren Beteiligten. Open-Source
Alternative zu kommerziellen Case-Management-Systemen.
domains:
- incident-response
- static-investigations
- malware-analysis
- fraud-investigation
- network-forensics
- mobile-forensics
- cloud-forensics
phases:
- data-collection
- examination
- analysis
- reporting
platforms:
- Web
related_software:
- MISP
- OpenCTI
domain-agnostic-software:
- collaboration-general
skillLevel: intermediate
accessType: server-based
url: https://dfir-iris.org/
license: LGPL-3.0
knowledgebase: false
tags:
- web-interface
- case-management
- collaboration
- multi-user-support
- api
- workflow
- timeline-view
- ioc-tracking
- evidence-management
- reporting
- plugin-support
- docker-ready
related_concepts:
- Digital Evidence Chain of Custody
- name: Timesketch
type: software
description: >-
Google's Timeline-Analyse-Platform meistert Millionen von korrelierten
Events durch skalierende Elasticsearch-Backend-Architektur für
umfangreiche Zeitlinienanalysen. Plaso-Integration parst automatisch über
300 verschiedene Log-Formate in einheitliche Timeline mit standardisierten
Attributen. Statistische Analysen und Plugins zur Datenanreicherung wie
maxming GeoIP und MISP sind verfügbar. Sigma-Rules werden direkt auf
Timelines angewendet für automatisierte Detektion von Anomalien,
Login-Brute-Force, Lateral-Movement und Data-Exfiltration-Patterns.
Kollaborative Funktionen: Gemeinsames Bearbeiten, Analystenkommentare,
"Stories" für Management-Berichterstattung.
url: https://timesketch.org/
skillLevel: intermediate
domains:
- incident-response
- static-investigations
- network-forensics
- cloud-forensics
- fraud-investigation
phases:
- analysis
- reporting
platforms:
- Web
tags:
- web-interface
- timeline
- collaboration
- visualization
- timeline-correlation
- timeline-view
- elasticsearch-backend
- plaso-integration
- sigma-rules
- heatmaps
- anomaly-detection
- narrative-documentation
- timeline-analysis
- collaborative-analysis
related_concepts:
- Regular Expressions (Regex)
related_software:
- Plaso (log2timeline)
- Elasticsearch
- Kibana
icon: ⏱️
projectUrl: https://timesketch.cc24.dev
statusUrl: https://status.mikoshi.de/api/badge/37/status
license: Apache-2.0
accessType: server-based
- name: Wireshark
type: software
description: >-
Netzwerk-Protokoll-Analyzer dekodiert Ethernet bis zu ICS-Protokollen mit
mächtiger
Display-Filter-Syntax für präzise Paket-Selektion. Follow-Stream rekonstruiert komplette
TCP-Sessions, HTTP-Uploads, FTP-Transfers. Expert-Info identifiziert Anomalien wie
Retransmissions, Malformed Packets. Export-Objekte extrahiert übertragene Dateien aus
HTTP, SMB, TFTP. TLS-Decryption mit Private Keys oder SSLKEYLOGFILE. Lua- und C-Plugin-API
für Custom-Dissectors.
url: https://www.wireshark.org/
skillLevel: intermediate
domains:
- incident-response
- malware-analysis
- network-forensics
- cloud-forensics
- ics-forensics
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
tags:
- gui
- protocol-decode
- packet-filtering
- pcap-capture
- cross-platform
- session-reconstruction
- display-filters
- follow-stream
- expert-info
- statistics
- coloring-rules
- tls-decryption
- network-analysis
- packet-analysis
- traffic-analysis
related_concepts:
- Regular Expressions (Regex)
related_software:
- NetworkMiner
- tcpdump
- Arkime
icon: 🦈
license: GPL-2.0
accessType: download
- name: Magnet AXIOM
type: software
description: >-
Umfassende Digital-Investigation-Plattform kombiniert Akquisition, Analyse
und Reporting in integrierter Suite für End-to-End-Forensik komplexer
Fälle. AXIOM Process sammelt Artefakte von über 300 Datenquellen:
Desktop-Computer, Mobile Devices, Cloud Services, IoT-Geräte mit
automatischer Parser-Erkennung. KI-gestützte Artifact-Categorization
klassifiziert verdächtige Inhalte automatisch und reduziert manuelle
Review-Zeit drastisch. Internet Evidence Finder (IEF) Engine extrahiert
Web-Artefakte aus allen Major-Browsern, Magnet.AI beschleunigt
CSAM-Detection durch Machine Learning. Connections-View visualisiert
Kommunikations-Patterns zwischen Personen, Parallel-Processing-Engine
analysiert Terabytes in Stunden.
url: https://www.magnetforensics.com/products/magnet-axiom/
skillLevel: beginner
domains:
- incident-response
- static-investigations
- mobile-forensics
- cloud-forensics
- fraud-investigation
phases:
- data-collection
- examination
- analysis
- reporting
platforms:
- Windows
tags:
- gui
- commercial
- cloud-artifacts
- mobile-app-data
- automation-ready
- court-admissible
- ai-categorization
- ief-engine
- connections-view
- timeline-analysis
- csam-detection
- parallel-processing
related_concepts:
- Digital Evidence Chain of Custody
- Hash Functions & Digital Signatures
related_software:
- GrayKey
- Cellebrite UFED
icon: 🧲
license: Proprietary
accessType: commercial
- name: Cellebrite UFED
type: software
description: >-
Entsperrt aktuelle iPhones und Android-Flaggschiffe durch
Zero-Day-Exploits und proprietäre Bypass-Methoden für Physical-Extraction
sensibler Daten. Logical Plus erweitert Standard-iTunes-Backups um
gelöschte SQLite-Records und App-Sandbox-Inhalte. Advanced Services
greifen auf kontinuierlich aktualisiertes Exploit-Labor für neueste und
resistente Geräte-Modelle zurück. Physical Analyzer visualisiert
extrahierte Daten mit interaktiver Timeline-Ansicht, Geo-Location-Maps und
Social-Network-Relationship-Graphen. Project-VIC Integration erkennt CSAM
automatisch durch Hash-Matching, Cloud-Analyzer-Lizenz ermöglicht direkten
Zugriff auf 50+ Cloud-Services ohne Device-Dependency.
url: https://cellebrite.com/en/ufed/
skillLevel: beginner
domains:
- static-investigations
- mobile-forensics
- fraud-investigation
phases:
- data-collection
- examination
- analysis
platforms:
- Windows
tags:
- gui
- commercial
- mobile-app-data
- decryption
- physical-copy
- dongle-license
- zero-day-exploits
- cloud-analyzer
- project-vic
- timeline-view
- geo-mapping
- advanced-services
related_concepts:
- SQL
- Digital Evidence Chain of Custody
related_software:
- Magnet AXIOM
- Oxygen Forensic Suite
- MSAB XRY
icon: 📱
license: Proprietary
accessType: commercial
- name: Cuckoo Sandbox 3
icon: 🥚
type: software
description: >-
Die automatisierte Malware-Analyse-Umgebung führt Schadsoftware
kontrolliert in isolierten VMs aus und dokumentiert jede Aktion. Version 3
vom CERT-EE modernisiert die Architektur mit Python 3, verbesserter
Evasion-Resistenz und Cloud-Scale-Fähigkeiten. Behavioral Analysis trackt
API-Calls, Registry-Änderungen, Datei-Operationen und
Netzwerk-Kommunikation. PCAP-Recording für vollständige Traffic-Analyse.
Memory-Dumps werden automatisch mit Volatility analysiert. Simulated
Services täuschen Internet-Konnektivität vor. Anti-Anti-VM umgeht moderne
Sandbox-Erkennung. Distributed-Mode analysiert hunderte Samples parallel.
Die Reporting-Engine generiert detaillierte JSON/HTML-Reports mit MITRE
ATT&CK Mapping. YARA-Integration für Signatur-Matching. REST-API für
Integration in CI/CD-Pipelines. Die komplexe Installation erfordert
Virtualisierungs-Expertise, belohnt aber mit industrieller
Malware-Analyse-Kapazität.
domains:
- incident-response
- malware-analysis
phases:
- examination
- analysis
platforms:
- Linux
- Web
related_software:
- YARA
- Volatility 3
- MISP
- VirusTotal
skillLevel: advanced
accessType: server-based
url: https://github.com/cert-ee/cuckoo3
license: GPL-3.0
knowledgebase: false
tags:
- web-interface
- sandboxing
- behavioral-analysis
- malware-unpacking
- virtual-analysis
- sandbox-reports
- api-monitoring
- network-capture
- memory-analysis
- mitre-attack
- distributed-analysis
- anti-evasion
related_concepts:
- Regular Expressions (Regex)
- name: Ghidra
type: software
description: >-
Reverse-Engineering-Framework mit fortschrittlichem Decompiler für
Assembly-zu-C-Code-Transformation und Cross-Architecture-Binary-Analyse
von Malware und Firmware. Unterstützt 30+ Prozessor-Architekturen von
x86/x64 über ARM, MIPS bis zu exotischen Embedded-CPUs und DSPs.
Ghidra-Server ermöglicht kollaborative Team-Analyse mit Versionskontrolle
und Shared-Projects. PCode als Intermediate Language vereinheitlicht
Multi-Architecture-Analysen durch abstrakte Darstellung. Function-Graph
visualisiert Control-Flow interaktiv, Script-Manager automatisiert mit
Python/Java komplexe Reverse-Engineering-Tasks. Pattern-Matching
identifiziert bekannte Funktionen automatisch.
url: https://ghidra-sre.org/
skillLevel: expert
domains:
- malware-analysis
- ics-forensics
- static-investigations
phases:
- analysis
platforms:
- Windows
- Linux
- macOS
tags:
- gui
- binary-decode
- malware-unpacking
- cross-platform
- scripting
- opensource
- decompiler
- multi-architecture
- collaborative
- function-graph
- pattern-matching
- version-tracking
related_concepts:
- Regular Expressions (Regex)
related_software:
- IDA Pro
- Radare2
- x64dbg
- Binary Ninja
icon: 🔮
license: Apache-2.0
accessType: download
- name: Plaso (log2timeline)
type: software
description: >-
Industrieller Timeline-Generator extrahiert Zeitstempel aus hunderten
heterogener Artefakt-Typen für lückenlose Digital-Activity-Rekonstruktion
komplexer Incidents. Spezialisierte Parser für Windows Event Logs,
Registry-Hives, Prefetch-Files, Browser-History, Mobile-App-Databases,
Cloud-Service-Logs und Linux-System-Logs. Storage-Architektur verarbeitet
Massendaten effizient durch SQLite-Backend und Memory-Optimization.
Zeitstempel-Normalisierung konvertiert verschiedene Formate und Zeitzonen
automatisch in UTC für einheitliche Timeline. Analysis-Plugins erkennen
Anti-Forensik-Techniken wie Timestomping und Clock-Manipulation. Modulare
Parser-Architektur ermöglicht einfache Erweiterung für proprietäre oder
neue Log-Formate.
url: https://plaso.readthedocs.io/
skillLevel: intermediate
domains:
- incident-response
- static-investigations
- network-forensics
- cloud-forensics
- mobile-forensics
phases:
- data-collection
- examination
platforms:
- Windows
- Linux
- macOS
tags:
- cli
- timeline
- log-parser
- cross-platform
- timeline-merge
- time-normalization
- artifact-parser
- elasticsearch-export
- docker-support
- timestomping-detection
- modular-parsers
- batch-processing
- timeline-analysis
- forensic-timeline
related_concepts:
- Regular Expressions (Regex)
related_software:
- Timesketch
- Autopsy
- Plaso (log2timeline)
icon:
license: Apache-2.0
accessType: download
- name: CyberChef
type: software
description: >-
Daten-Manipulations-Framework mit 400+ Operations für Encoding,
Verschlüsselung, Analyse und
Transformation durch visuelle Rezept-Verkettung. Base64 dekodieren → XOR entschlüsseln →
Strings extrahieren → Hashes berechnen in einem Workflow. Magic-Mode erkennt automatisch
Encodings, Entropy-Visualisierung identifiziert verschlüsselte Bereiche. Offline-Fähigkeit
im Browser macht es DSGVO-konform für sensible Daten. Import/Export von Rezepten für
Wiederverwendung.
url: https://gchq.github.io/CyberChef/
skillLevel: beginner
domains:
- incident-response
- static-investigations
- malware-analysis
- network-forensics
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Web
tags:
- web-interface
- binary-decode
- decryption
- malware-unpacking
- string-search
- triage
- regex-operations
- magic-detection
- entropy-analysis
- recipe-based
- offline-mode
- data-transformation
related_concepts:
- Regular Expressions (Regex)
- Hash Functions & Digital Signatures
related_software:
- GCHQ Tools
icon: 👨‍🍳
license: Apache-2.0
accessType: server-based
- name: Velociraptor
icon: 🦖
type: software
description: >-
Die nächste Evolution der Endpoint-Forensik skaliert digitale Ermittlungen
auf zahlreiche Systeme. VQL (Velociraptor Query Language) ermöglicht
chirurgisch präzise Artefakt-Sammlung ohne Full-Disk-Images: "SELECT *
FROM glob('/Users/*/Downloads/*.exe')". Hunt-Kampagnen durchsuchen die
gesamte Infrastruktur parallel nach IOCs. Der Agent läuft mit minimalem
Footprint und sammelt Artefakte verschlüsselt. Notebooks für gespeicherte
Queries und Analysen. Die Timeline-Funktion korreliert Events über alle
Endpoints. Offline-Collector für Air-Gapped-Systeme.
Server-Event-Monitoring für Real-Time-Detection. Automatische Triage mit
Artifact-Packs. Die eingebaute Quarantäne isoliert kompromittierte
Systeme. Cloud-Native-Architektur mit Multi-Tenancy. GUI und CLI für
verschiedene Nutzergruppen. Die Lernkurve für VQL ist steil, aber die
Effizienz-Gewinne sind enorm. Perfekt für Enterprise-IR und
Threat-Hunting.
domains:
- incident-response
- static-investigations
- malware-analysis
- fraud-investigation
- network-forensics
- cloud-forensics
phases:
- data-collection
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
- Web
related_software:
- GRR Rapid Response
- osquery
- KAPE
skillLevel: advanced
accessType: server-based
url: https://www.velociraptor.app/
projectUrl: https://raptor.cc24.dev
license: Apache-2.0
knowledgebase: true
statusUrl: https://status.mikoshi.de/api/badge/33/status
tags:
- web-interface
- remote-collection
- distributed
- scripting
- cross-platform
- triage
- vql-queries
- hunt-campaigns
- real-time-monitoring
- offline-collector
- artifact-packs
- multi-tenancy
related_concepts:
- SQL
- name: GRR Rapid Response
icon: 🚨
type: software
description: >-
Googles Remote-Live-Forensik-Framework wurde für die Untersuchung ihrer
globalen Infrastruktur entwickelt. Skaliert auf hunderttausende Clients
mit minimalem Server-Overhead. Der Python-Agent sammelt Artefakte, führt
YARA-Scans durch und erstellt Timeline-Daten. Flow-basierte Architektur
für asynchrone Operationen. Rekall-Integration für Remote-Memory-Analyse.
Hunt-Feature für unternehmensweite IOC-Suche. Approval-Workflows für
datenschutzkonforme Ermittlungen. Die Admin-UI visualisiert Client-Status
und Collection-Progress. Export zu BigQuery für Big-Data-Analysen. Der
Output-Plugin-System integriert mit SIEMs und Ticketing. Besonders stark
bei Linux-Flotten. Die API ermöglicht Automatisierung wiederkehrender
Ermittlungen. Weniger Features als Velociraptor, dafür ausgereifter und
stabiler. Ideal für Organisationen mit großen, homogenen Infrastrukturen.
domains:
- incident-response
- static-investigations
- malware-analysis
- fraud-investigation
phases:
- data-collection
- examination
platforms:
- Windows
- Linux
- macOS
- Web
related_software:
- Velociraptor
- osquery
- Rekall
skillLevel: advanced
accessType: server-based
url: https://github.com/google/grr
license: Apache-2.0
knowledgebase: false
tags:
- web-interface
- remote-collection
- distributed
- api
- cross-platform
- triage
- flow-architecture
- hunt-feature
- approval-workflow
- bigquery-export
- yara-scanning
- timeline-generation
related_concepts:
- Regular Expressions (Regex)
- name: Arkime
icon: 🦈
type: software
description: >-
Das Full-Packet-Capture-Monster (früher Moloch) speichert und indiziert
große Aufkommen von Netzwerkverkehr für historische Forensik. Erfasst
Traffic mit 10Gbit/s+ und speichert PCAP mit intelligenter Kompression.
Die Elasticsearch-Integration ermöglicht schnelle Suchen über Monate von
Daten: IPs, Ports, Protokolle, HTTP-Header, SSL-Zertifikate. Session-Page
visualisiert Verbindungen mit Protokoll-Dekodierung. SPI-Graph zeigt
Traffic-Patterns. WISE (With Intelligence See Everything) reichert Daten
mit Threat-Intel an. Arkime-Capture skaliert horizontal für Multiple
10G-Links. Die Viewer-Permissions ermöglichen granulare Zugriffskontrolle.
Hunt-Jobs durchsuchen historische Daten nach neuen IOCs. API für
Integration mit SOC-Tools. Die Hardware-Anforderungen sind massiv (TB RAM,
PB Storage), aber für ernsthafte NSM unverzichtbar. Perfekt für APT-Jagd
und Incident-Rekonstruktion.
domains:
- incident-response
- static-investigations
- network-forensics
- cloud-forensics
- malware-analysis
phases:
- data-collection
- examination
- analysis
platforms:
- Linux
related_software:
- Wireshark
- Elasticsearch
- Suricata
- Zeek
skillLevel: expert
accessType: server-based
url: https://arkime.com/
license: Apache-2.0
knowledgebase: false
tags:
- web-interface
- pcap-capture
- elasticsearch-integration
- historical-analysis
- packet-filtering
- distributed
- full-packet-capture
- threat-intel-enrichment
- horizontal-scaling
- api-driven
- hunt-jobs
- spi-graph
- name: NetworkMiner
type: software
description: >-
PCAP-Analyzer extrahiert Dateien, Credentials und Host-Informationen aus
Netzwerk-Traffic
ohne Paket-Level-Details. Automatische Extraktion von Bildern, Dokumenten, Executables aus
HTTP, FTP, TFTP, SMB-Traffic. Credentials-Harvesting findet Passwörter in Klartext-Protokollen.
Host-Inventar mit OS-Fingerprinting, offenen Ports, Services. DNS-Resolution-Timeline zeigt
Domain-Lookups. Frame-Reassembly auch bei Packet-Loss.
url: https://www.netresec.com/?page=NetworkMiner
skillLevel: beginner
domains:
- incident-response
- static-investigations
- malware-analysis
- network-forensics
phases:
- examination
- analysis
platforms:
- Windows
- Linux
tags:
- gui
- file-reconstruction
- pcap-capture
- session-reconstruction
- dns-resolution
- triage
- credential-extraction
- os-fingerprinting
- keyword-search
- artifact-extraction
- cleartext-protocols
- frame-reassembly
- network-analysis
- packet-analysis
- network-forensics
related_software:
- Wireshark
- tcpdump
- CapLoader
icon: ⛏️
license: GPL-2.0 / Commercial
accessType: download
- name: ExifTool
icon: 📷
type: software
description: >-
Der universelle Metadaten-Extraktor liest und schreibt Informationen in
über 1200 Dateiformaten - von JPEG-EXIF über PDF-Metadata bis zu
proprietären RAW-Formaten. Findet versteckte Schätze: GPS-Koordinaten in
Smartphone-Fotos, Autoren-Informationen in Office-Dokumenten,
Änderungshistorien in PDFs, Kamera-Seriennummern in Bildern. Besonders
wertvoll für OSINT und Dokumenten-Forensik. Batch-Processing für tausende
Dateien. Timeline-Erstellung aus Datei-Zeitstempeln. Die -k Option behält
Original-Zeitstempel bei Analyse. JSON/XML-Export für programmatische
Weiterverarbeitung. Unterstützt verschachtelte Archive und eingebettete
Dokumente. Die Kommandozeile mag abschrecken, aber die Mächtigkeit ist
unübertroffen. GUI-Wrapper wie ExifToolGUI erleichtern Einsteigern den
Zugang. Unverzichtbar für jede digitale Ermittlung mit Multimedia-Bezug.
domains:
- incident-response
- static-investigations
- fraud-investigation
- mobile-forensics
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
related_software:
- ExifTool
- FOCA
skillLevel: novice
accessType: download
url: https://exiftool.org/
license: Perl Artistic License
knowledgebase: false
tags:
- cli
- metadata-parser
- geolocation
- cross-platform
- triage
- system-metadata
- batch-processing
- timeline-creation
- json-export
- osint-tool
- document-forensics
- multimedia-analysis
- name: Chainalysis
icon:
type: software
description: >-
Analysiert Blockchain-Transaktionen mit der größten Attribution-Datenbank
weltweit. Clustering-Algorithmen identifizieren Millionen Services:
Exchanges, Darknet-Märkte, Mixer, Ransomware-Wallets. Reactor
visualisiert Transaktionsflüsse mit automatischer Risikobewertung, KYT
ermöglicht Echtzeit-Compliance. Investigation-Workflow traced Funds durch
Mixer, Court-Ready Reports dokumentieren Blockchain-Beweiskette.
Unterstützt Bitcoin, Ethereum und 100+ Blockchains, aber hohe
Lizenzkosten limitieren auf Großorganisationen.
domains:
- static-investigations
- fraud-investigation
- incident-response
phases:
- analysis
- reporting
platforms:
- Web
related_software:
- GraphSense
- Elliptic
skillLevel: intermediate
accessType: commercial
url: https://www.chainalysis.com/
license: Proprietary
knowledgebase: false
tags:
- web-interface
- blockchain-analysis
- commercial
- visualization
- anomaly-detection
- threat-scoring
- clustering-analysis
- compliance-screening
- transaction-tracing
- risk-assessment
- multi-blockchain
- api-integration
- name: Neo4j
type: software
description: >-
Graph-Datenbank transformiert komplexe relationale Daten in intuitive
Visualisierungen. Die SQL-ähnliche Cypher-Query-Language ist nach einer
gewissen Lernkurve intuitiv und bietet viele Möglichkeiten.
Cypher-Algorithmen finden kürzeste Pfade zwischen Entitäten, viele weitere
Automatisierungen sind möglich. Die Anwendbarkeiten sind wegen der
abstrakten Struktur von Neo4J daher unbegrenzt und in allen Domänen
(hauptsichlich Netzwerkforensik, Finanztransaktionsanalysen,
Kriminalermittlungen gegen organisiertes Verbrechen) zur Visualisierung
und ggf. auch zur Analyse einsetzbar. Die APOC-Bibliothek bietet darüber
hinaus noch zahlreiche weitere Plugins. Import aus CSV, JSON und
relationalen Datenbanken.
Leider versteckt Neo4J einige seiner Funktionen mittlerweile hinter einem
Premium-Modell und entfernt sich so vom Open-Source-Konzept.
url: https://neo4j.com/
skillLevel: intermediate
domains:
- static-investigations
- malware-analysis
- fraud-investigation
- network-forensics
- cloud-forensics
phases:
- analysis
- reporting
platforms:
- Windows
- Linux
- macOS
- Web
tags:
- web-interface
- graph-view
- visualization
- correlation-engine
- cross-platform
- api
- cypher-queries
- community-detection
- path-finding
- bloom-visualization
- apoc-procedures
- import-tools
related_concepts:
- SQL
related_software:
- Maltego
- Gephi
- Linkurious
icon: 🕸️
projectUrl: https://graph.cc24.dev
statusUrl: https://status.mikoshi.de/api/badge/32/status
license: GPL-3.0 / Commercial
accessType: server-based
- name: QGIS
icon: 🗺️
type: software
description: >-
Verwandelt Forensik-Daten mit Geobezug in aussagekräftige Karten und
Analysen. Visualisiert Bewegungsprofile aus Smartphone-GPS,
Fahrzeug-Telematik oder Fitness-Trackern durch Heatmaps und
Buffer-Analysen. Python-Integration (PyQGIS) automatisiert
Massen-Datenverarbeitung, Temporal Controller animiert Bewegungen über
Zeit. Spatial Queries finden Überschneidungen: "Wer war wann am selben
Ort?". Print Composer erstellt gerichtsfeste Karten für
Beweisaufbereitung.
domains:
- static-investigations
- fraud-investigation
- mobile-forensics
- incident-response
phases:
- analysis
- reporting
platforms:
- Windows
- Linux
- macOS
related_software:
- Google Earth Pro
- ArcGIS
skillLevel: intermediate
accessType: download
url: https://qgis.org/
license: GPL-2.0
knowledgebase: false
tags:
- gui
- geolocation
- visualization
- heatmap
- scripting
- cross-platform
- movement-analysis
- temporal-animation
- spatial-queries
- 3d-visualization
- print-composer
- plugin-ecosystem
- name: Binwalk
icon: 🔬
type: software
description: >-
Der Firmware-Forensiker extrahiert versteckte Schätze aus IoT-Geräten,
Routern und Embedded Systems. Signature-Scanning identifiziert
eingebettete Dateisysteme (SquashFS, JFFS2, CramFS), komprimierte Archive
und verschlüsselte Bereiche. Automatische Extraktion mit -e Flag. Entropy-
Analyse visualisiert Zufälligkeit für Crypto-Erkennung. Die Rules-Engine
erlaubt Custom-Signaturen für proprietäre Formate. Besonders wertvoll für
IoT-Malware-Analyse, Router-Backdoor-Suche und IP-Kameras-Forensik.
3D-Entropy-Plots mit -E. Hexdump-Integration für manuelle Inspektion. Die
Plugin-Architektur ermöglicht Erweiterungen. Oft der erste Schritt bei
Hardware-Forensik. Kombiniert mit QEMU für Firmware-Emulation. Die
False-Positive-Rate kann hoch sein, aber die Alternative ist manuelles
Hex-Editing. Essential für jeden, der mit Embedded Devices arbeitet.
domains:
- malware-analysis
- ics-forensics
- static-investigations
phases:
- examination
- analysis
platforms:
- Linux
- macOS
related_software:
- Firmware Analysis Toolkit
- FACT
- Ghidra
skillLevel: advanced
accessType: download
url: https://github.com/ReFirmLabs/binwalk
license: MIT
knowledgebase: false
tags:
- cli
- firmware-extraction
- signature-analysis
- file-carving
- entropy-check
- binary-decode
- iot-forensics
- embedded-analysis
- custom-signatures
- hexdump-view
- plugin-support
- 3d-entropy
- name: Nextcloud
icon: ☁️
type: software
description: >-
Ermöglicht sichere Cloud-Collaboration für Forensik-Teams mit
End-to-End-Verschlüsselung und granularen Berechtigungen. File-Sharing
mit Ablaufdaten, Versionierung dokumentiert alle Änderungen,
Collabora/OnlyOffice-Integration unterstützt gemeinsame
Berichterstellung. Talk verschlüsselt Video-Konferenzen, Flow
automatisiert Workflows ("Wenn Report fertig → Benachrichtige Team").
Audit-Logs für Compliance, Federation vernetzt mehrere
Behörden-Instanzen. DSGVO-konform durch eigene Server-Kontrolle.
domains:
- incident-response
- static-investigations
- malware-analysis
- fraud-investigation
- network-forensics
- mobile-forensics
- cloud-forensics
- ics-forensics
phases:
- reporting
platforms:
- Web
related_software:
- Collabora Online
- OnlyOffice
domain-agnostic-software:
- collaboration-general
skillLevel: novice
accessType: server-based
url: https://nextcloud.com/
projectUrl: https://cloud.cc24.dev
license: AGPL-3.0
knowledgebase: true
statusUrl: https://status.mikoshi.de/api/badge/11/status
tags:
- web-interface
- collaboration
- secure-sharing
- multi-user-support
- encrypted-reports
- rbac
- end-to-end-encryption
- audit-logging
- workflow-automation
- video-conferencing
- version-control
- federation
related_concepts:
- Digital Evidence Chain of Custody
- name: Kali Linux
type: software
description: >-
Debian-basierte Live-Boot-Distribution vereint über 600 Security- und
Forensik-Tools für kontaminationsfreie Untersuchungen ohne
Host-System-Veränderung. Forensics-Mode deaktiviert automatisches Mounting
und Netzwerk-Services für forensisch saubere Evidence-Akquisition.
Tool-Kategorien decken alle DFIR-Phasen ab: Disk-Imaging (dc3dd,
ddrescue), File-Carving (Foremost, Scalpel), Memory-Analyse (Volatility),
Netzwerk-Forensik (Wireshark, tcpdump). Metapackages installieren
spezialisierte Tool-Gruppen, ARM-Images unterstützen Raspberry Pi für
Mobile- und IoT-Forensik. Persistence-Mode speichert Konfigurationen auf
USB-Medien.
url: https://kali.org/
skillLevel: intermediate
domains:
- incident-response
- static-investigations
- malware-analysis
- fraud-investigation
- network-forensics
- mobile-forensics
- cloud-forensics
- ics-forensics
platforms:
- OS
tags:
- gui
- cli
- cross-platform
- live-acquisition
- write-blocker
- opensource
- forensics-mode
- tool-collection
- arm-support
- nethunter
- custom-builds
- rolling-release
domain-agnostic-software:
- specific-os
related_software:
- Parrot Security OS
- SIFT Workstation
icon: 🐉
license: GPL-3.0
accessType: download
knowledgebase: true
- name: FTK Imager
type: software
description: >-
Windows-basierter Disk-Imager mit bewährter Zuverlässigkeit und breiter
Gerichtsakzeptanz für Standard-Forensik-Laboratorien erstellt Images in
RAW, SMART, E01 und AFF-Formaten. GUI führt systematisch durch
Imaging-Prozess mit automatischer Hash-Verifizierung (MD5/SHA1) und
Progress-Monitoring. Preview-Mode ermöglicht schnelle Evidence-Triage ohne
Full-Image-Creation für Time-Critical-Investigations.
Memory-Capture-Functionality für Live-RAM-Akquisition von laufenden
Windows-Systemen. Protected-Folder-Viewing umgeht
Windows-Sicherheitsbeschränkungen für Systemdateien-Access. Besonders
geschätzt: robustes Bad-Sector-Handling, detaillierte Forensik-Logs und
etablierte Chain-of-Custody-Procedures.
url: https://www.exterro.com/digital-forensics-software/ftk-imager
skillLevel: beginner
domains:
- static-investigations
- incident-response
phases:
- data-collection
platforms:
- Windows
tags:
- gui
- physical-copy
- hashing
- court-admissible
- scenario:disk_imaging
- ewf-support
- memory-capture
- preview-mode
- bad-sector-handling
- protected-folders
- cli-available
- triage
- disk-imaging
- forensic-imaging
- evidence-acquisition
related_concepts:
- Hash Functions & Digital Signatures
- Digital Evidence Chain of Custody
related_software:
- EnCase
- X-Ways Forensics
icon: 💾
license: Proprietary
accessType: download
- name: YARA
type: software
description: >-
Die Pattern-Matching-Engine ist der De-facto-Standard für Malware-
Identifikation und Threat-Hunting. Rule-Syntax ermöglicht komplexe
Signaturen: Strings, Hex-Patterns, Regular Expressions, Bedingungen. Die
Community pflegt tausende Rules für bekannte Malware-Familien. Integration
in Forensik-Tools macht es allgegenwärtig: Volatility für Memory-Scans,
Cuckoo für Behavior-Matching, VirusTotal für Sample-Klassifikation.
Modules erweitern für PE-Analyse, Krypto- Erkennung und Macho-Parsing. Die
Condition-Syntax ermöglicht komplexe Logik: "any of ($a*) and filesize <
200KB". Performance-Optimierung durch Aho-Corasick-Algorithmus.
Python-Bindings für Automatisierung. YARA-Editor erleichtert
Rule-Entwicklung. Die False-Positive-Rate erfordert sorgfältiges Tuning.
Unverzichtbar für proaktive Threat-Detection und Incident-Response.
domains:
- incident-response
- malware-analysis
phases:
- examination
- analysis
skillLevel: intermediate
url: https://virustotal.github.io/yara/
icon: 🎯
platforms:
- Windows
- Linux
- macOS
accessType: download
license: BSD-3-Clause
knowledgebase: false
tags:
- cli
- yara-scan
- signature-analysis
- regex-search
- cross-platform
- memory-signatures
- pattern-matching
- rule-based
- module-support
- python-bindings
- community-rules
- performance-optimized
related_concepts:
- Regular Expressions (Regex)
- Hash Functions & Digital Signatures
related_software:
- Volatility 3
- Cuckoo Sandbox 3
- Loki
- name: X-Ways Forensics
type: software
description: >-
Forensik-Suite mit hochoptimierten Algorithmen für
Multi-Terabyte-Image-Analyse und simultane Evidence-Verarbeitung mehrerer
Datenträger parallel. Gallery-View mit Skin-Tone-Detection für
CSAM-Ermittlungen, X-Tensions-Plugin-System automatisiert wiederkehrende
Analysen und Custom-Workflows. Physical-Search durchsucht über
Sektorgrenzen hinweg, Registry-Report-Generator extrahiert
Windows-Artefakte strukturiert. Timeline-Engine mit
Millisekunden-Präzision korreliert Events über alle Evidenzen. Hex-Editor
zeigt Rohdaten parallel zur interpretierten Ansicht, Template-Support
dekodiert proprietäre Dateiformate automatisch.
url: https://www.x-ways.net/forensics/
skillLevel: expert
domains:
- static-investigations
- incident-response
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
tags:
- gui
- commercial
- keyword-search
- fast-scan
- court-admissible
- dongle-license
- hex-editor
- gallery-view
- x-tensions
- physical-search
- registry-analysis
- template-support
related_concepts:
- Digital Evidence Chain of Custody
related_software:
- WinHex
- EnCase
- FTK Imager
icon: 🔬
license: Proprietary
accessType: commercial
- name: Eric Zimmerman Tools
type: software
description: >-
Windows-Artefakt-Spezialist-Suite von Eric Zimmerman dekodiert moderne
Windows-10/11-Strukturen mit unübertroffener Präzision und Detail-Ebene.
ShellBags Explorer rekonstruiert Folder-Access-History, PECmd parst
Prefetch-Files für Application-Execution-Evidence, AmcacheParser
identifiziert Software-Installation-Timestamps. Registry Explorer mit
Advanced-Bookmarks und Live-System-Analysis-Capabilities für
Running-System-Forensics. Timeline Explorer korreliert CSV-Output aller
Tools in unified Super-Timeline mit Multi-Source-Event-Correlation.
KAPE-Integration orchestriert Tool-Collection automatisch, ständige
Updates für Windows-11-Features, Cloud-Artefakte (OneDrive, Teams) und
Enterprise-Environments.
url: https://ericzimmerman.github.io/
skillLevel: intermediate
domains:
- incident-response
- static-investigations
- malware-analysis
phases:
- examination
- analysis
platforms:
- Windows
tags:
- gui
- artifact-parser
- shellbags
- prefetch-viewer
- timeline
- jumplist
- registry-analysis
- mft-parser
- batch-processing
- cloud-artifacts
- community-driven
- free-tools
- scenario:windows-registry
- scenario:persistence
- artifact-extraction
- windows-forensics
related_concepts:
- Digital Evidence Chain of Custody
related_software:
- KAPE
icon: 🧰
license: MIT
accessType: download
- name: Regular Expressions (Regex)
type: concept
description: >-
Die universelle Mustererkennungssprache ermöglicht komplexe Textsuchen und
Datenextraktion in der digitalen Forensik. Von einfachen Wildcards bis zu
komplexen Capture-Groups: IP-Adressen (\d{1,3}\.){3}\d{1,3},
E-Mail-Adressen, Kreditkarten, Bitcoin-Adressen. Essentiell für
Log-Analyse, YARA-Rules, Grep-Searches und Data-Carving. Die Syntax
variiert zwischen Tools (PCRE, Python, grep), aber Grundkonzepte sind
universal. Quantifizierer (*, +, ?, {n,m}), Zeichenklassen ([a-z], \d,
\w), Anchors (^, $), Lookarounds für kontextuelle Matches. Online-Tester
wie regex101.com beschleunigen Entwicklung. Performance-Fallen bei
komplexen Patterns beachten. Integration in alle Major-Forensik-Tools
macht Regex-Kenntnisse unverzichtbar. Der Unterschied zwischen einem guten
und großartigen Forensiker liegt oft in der Regex-Beherrschung.
skillLevel: intermediate
url: https://regexr.com/
icon: 🔤
domains:
- incident-response
- static-investigations
- malware-analysis
- fraud-investigation
- network-forensics
phases:
- examination
- analysis
tags:
- regex-search
- string-search
- log-parser
- automation-ready
- pattern-matching
- data-extraction
- text-processing
- capture-groups
- lookarounds
- performance-critical
knowledgebase: true
- name: SQL
type: concept
description: >-
Die Structured Query Language ist das Rückgrat moderner Datenanalyse in
der digitalen Forensik. SQLite-Datenbanken dominieren mobile Forensik:
WhatsApp-Chats, Browser-History, App-Daten. Grundlegende Queries (SELECT,
JOIN, WHERE) bis zu komplexen Analysen mit Window-Functions und CTEs.
Forensik-spezifische Patterns: Timeline-Reconstruction mit ORDER BY
timestamp, Kommunikations-Analyse mit SELF-JOINs, Anomalie- Erkennung mit
GROUP BY/HAVING. Tools wie DB Browser for SQLite visualisieren Strukturen.
Vorsicht bei WAL-Mode und gelöschten Records. Python-Integration (sqlite3)
für Automatisierung. NoSQL- Grundlagen werden wichtiger (MongoDB in
Malware). Die Fähigkeit, aus Rohdaten Erkenntnisse zu extrahieren, macht
SQL zur Kernkompetenz. Unterschätzt aber unverzichtbar für moderne
Ermittlungen.
skillLevel: intermediate
url: https://www.w3schools.com/sql/
icon: 🗃️
domains:
- incident-response
- static-investigations
- fraud-investigation
- mobile-forensics
- cloud-forensics
phases:
- examination
- analysis
tags:
- sqlite-viewer
- correlation-engine
- mobile-app-data
- browser-history
- data-extraction
- timeline-queries
- join-operations
- aggregate-analysis
- wal-analysis
- python-integration
knowledgebase: true
- name: Hash Functions & Digital Signatures
type: concept
description: >-
Kryptographische Hash-Funktionen und digitale Signaturen bilden das
Fundament der digitalen Beweissicherung. MD5 (veraltet aber verbreitet),
SHA-1, SHA-256/512 für Integritätsprüfung. Kollisionsresistenz
gewährleistet Eindeutigkeit. Forensische Anwendungen: Datenträger-
Verifizierung vor/nach Imaging, Deduplizierung mit Hash-Sets (NSRL),
Known-Bad-Identifikation (Malware, CSAM). Rainbow-Tables für
Passwort-Cracking. Fuzzy-Hashing (ssdeep) für Ähnlichkeitsanalyse.
Digitale Signaturen authentifizieren Software und Dokumente.
Certificate-Chain-Analyse bei APT-Investigations. Timestamping für
Chain-of-Custody. Die Mathematik dahinter ist komplex, aber Anwendung ist
essentiell. Tools berechnen automatisch, aber Verständnis der Prinzipien
unterscheidet Profis von Amateuren. Blockchain als verteilte Hash-Kette
revolutioniert Evidence-Management.
skillLevel: advanced
url: https://en.wikipedia.org/wiki/Cryptographic_hash_function
icon: 🔐
domains:
- incident-response
- static-investigations
- malware-analysis
- mobile-forensics
- cloud-forensics
phases:
- data-collection
- examination
tags:
- hashing
- integrity-check
- chain-of-custody
- standards-compliant
- deduplication
- known-bad-detection
- fuzzy-hashing
- digital-signatures
- timestamping
- blockchain-evidence
knowledgebase: true
- name: Digital Evidence Chain of Custody
type: concept
description: >-
Die lückenlose Dokumentation digitaler Beweise von der Sicherstellung bis
zur Gerichtsverhandlung. Kernprinzipien: Authentizität, Integrität,
Nachvollziehbarkeit, Nicht-Abstreitbarkeit. Praktische Umsetzung durch
Hash-Verifizierung, Write-Blocker, detaillierte Dokumentation aller
Schritte. Formulare dokumentieren Wer/Was/Wann/Wo/Warum. Fotografische
Dokumentation der Hardware. Versiegelte Beweismitteltaschen mit
Tamper-Evidence. Digitale CoC durch Blockchain-Timestamping. ISO/IEC 27037
als internationaler Standard. Gerichtliche Anforderungen variieren nach
Jurisdiktion. Fehler in der CoC können zur Beweisverwerfung führen.
Automatisierung durch LIMS (Laboratory Information Management Systems).
Die CoC ist kein technisches sondern ein prozedurales Thema - oft
unterschätzt aber entscheidend für erfolgreiche Verfahren.
skillLevel: advanced
url: >-
https://www.unodc.org/e4j/en/cybercrime/module-6/key-issues/handling-of-digital-evidence.html
icon: ⛓️
domains:
- incident-response
- static-investigations
- fraud-investigation
- mobile-forensics
- cloud-forensics
phases:
- data-collection
- examination
- analysis
- reporting
tags:
- chain-of-custody
- standards-compliant
- court-admissible
- audit-trail
- documentation
- hash-verification
- tamper-evidence
- iso-27037
- legal-compliance
- process-management
knowledgebase: true
- name: MSAB XRY
type: software
description: >-
Mobile-Forensik-Suite mit Spezialisierung auf chinesische Smartphones und
Hardware-Vielfalt durch regelmäßige Exploit-Updates alle 6-8 Wochen.
Drone-Module extrahiert spezifische Flugdaten von DJI und Parrot-Geräten
für Luftfahrt-Ermittlungen, XRY Camera identifiziert Device-Models aus
Bildern automatisch. PIN-Code-Breaker-Hardware knackt 4-6 stellige
Zugangscodes durch Brute-Force-Methoden physisch. XAMN-Elements analysiert
Kommunikations-Verbindungen zwischen mehreren Geräten für komplexe
Netzwerk-Forensik. Cloud-Extraction für 30+ Services, EU-basierte
Alternative mit transparenterer Verkaufspolitik und GDPR-Compliance im
Vergleich zu US-amerikanischen Konkurrenten.
url: https://www.msab.com/product/xry-extract/
skillLevel: beginner
domains:
- mobile-forensics
- static-investigations
- fraud-investigation
phases:
- data-collection
- examination
- analysis
platforms:
- Windows
tags:
- gui
- commercial
- mobile-app-data
- physical-copy
- decryption
- court-admissible
- drone-forensics
- chinese-phones
- pin-cracking
- cloud-extraction
- link-analysis
- eu-based
related_concepts:
- SQL
- Digital Evidence Chain of Custody
related_software:
- Cellebrite UFED
- Oxygen Forensic Suite
- Magnet AXIOM
icon: 📱
license: Proprietary
accessType: download
- name: OSFMount
icon: 💿
type: software
description: >-
Das kostenlose Windows-Tool mountet Forensik-Images als virtuelle
Laufwerke für komfortable Analyse ohne Vollinstallation einer
Forensik-Suite. Unterstützt RAW (dd), E01 (EnCase), AFF, VHD, VMDK und
weitere Formate. Write-Cache-Modus schützt Original-Images vor
Veränderung. RAM-Disk-Feature für Performance bei kleinen Images. Die
Plugin-Architektur erweitert für exotische Formate. Besonders praktisch:
Partition-Selection bei Multi-Partition-Images, automatische
Offset-Erkennung, Unterstützung für Disk- und Memory-Images. Der
Image-Conversion-Wizard wandelt zwischen Formaten. Integration mit Windows
Explorer für gewohnte Navigation. Mounting von Volume Shadow Copies. Die
Freeware-Lizenz macht es zur ersten Wahl für Budget- bewusste Teams.
Limitiert bei verschlüsselten Images, glänzt bei Standard-Aufgaben.
Perfekt für schnelle Triage oder wenn kommerzielle Tools nicht verfügbar
sind.
domains:
- incident-response
- static-investigations
phases:
- examination
platforms:
- Windows
related_software:
- FTK Imager
skillLevel: beginner
accessType: download
url: https://www.osforensics.com/tools/mount-disk-images.html
license: Proprietary
knowledgebase: false
tags:
- gui
- virtual-machine
- ewf-support
- raw-image-support
- write-blocker
- triage
- format-conversion
- vss-support
- partition-selection
- ram-disk
- explorer-integration
- free-tool
related_concepts:
- Digital Evidence Chain of Custody
- name: Live Memory Acquisition Procedure
icon: 🧠
type: method
description: >-
Die forensisch korrekte Sicherung des Arbeitsspeichers laufender Systeme
erfordert systematisches Vorgehen zur Minimierung der
Artefakt-Kontamination. Kritische Entscheidung: Priorisierung flüchtiger
Beweise vs. System-Stabilität. Tool-Auswahl nach OS: WinPmem (Windows),
LiME (Linux), osxpmem (macOS). Vorbereitung: Tool auf externem Medium,
Admin-Rechte sichern, Ziel-Storage mit ausreichend Platz. Durchführung:
Dokumentation des System-Zustands, Tool-Ausführung mit minimalen Befehlen,
Hash-Generierung sofort. Besondere Herausforderungen:
Kernel-Schutz-Mechanismen (PatchGuard, Secure Boot),
Anti-Forensik-Malware, Virtualisierte Umgebungen. Die ersten Sekunden
kontaminieren unweigerlich - Transparenz in der Dokumentation essentiell.
Post-Akquisition: Volatility-Profil erstellen, Timeline der Sammlung,
Vergleich mit Disk-Artefakten. Der Unterschied zwischen verwertbaren und
wertlosen Memory-Dumps liegt oft in der Methodik.
domains:
- incident-response
- static-investigations
- malware-analysis
phases:
- data-collection
related_software:
- WinPmem
- LiME
- Volatility 3
skillLevel: advanced
url: >-
https://www.nist.gov/publications/guide-integrating-forensic-techniques-incident-response
knowledgebase: false
tags:
- live-acquisition
- scenario:memory_dump
- chain-of-custody
- standards-compliant
- contamination-aware
- tool-selection
- kernel-protection
- anti-forensics
- documentation-critical
- volatility-compatible
related_concepts:
- Digital Evidence Chain of Custody
- name: Android Logical Imaging
icon: 📱
type: method
description: >-
Die forensische Datenextraktion von Android-Geräten ohne Rooting oder
Exploits - ideal für Legacy-Geräte und BYOD-Szenarien. Nutzt ADB (Android
Debug Bridge) für autorisierten Zugriff. Vorbereitung: USB-Debugging
aktivieren, ADB-Autorisierung, OEM-spezifische Tricks (Samsung Smart
Switch, LG Mobile Switch). Extraktion: ADB backup für App-Daten,
Pull-Befehle für zugängliche Bereiche (/sdcard, /data/media), Content
Provider Queries für Kontakte/SMS. Parsing: Android Backup Extractor für
.ab-Files, SQLite-Analyse der Datenbanken, XML-Auswertung der Preferences.
Limitierungen: Keine System-Apps, verschlüsselte Bereiche unzugänglich,
neuere Android-Versionen (12+) stark eingeschränkt. Spezial-Techniken:
Downgrade-Attacks, Sideloading forensischer Apps, Screen-Recording für
UI-basierte Extraktion. Der Sweet-Spot: Android 4-8 Geräte mit schwachen
Sicherheitsmechanismen. Dokumentation der Berechtigungen und
Nutzer-Autorisierung für Gerichtsverwertbarkeit essentiell.
domains:
- mobile-forensics
- static-investigations
phases:
- data-collection
related_software:
- Android Studio
- ADB
- ALEAPP
- Android Backup Extractor
skillLevel: advanced
url: https://www.scirp.org/journal/paperinformation?paperid=132631
knowledgebase: true
tags:
- cli
- logical-copy
- mobile-app-data
- triage
- adb-based
- legacy-devices
- content-providers
- backup-extraction
- permission-based
- court-considerations
related_concepts:
- SQL
- Digital Evidence Chain of Custody
- name: ALEAPP
icon: 📱
type: software
description: >-
Android Logs Events And Protobuf Parser automatisiert die Extraktion
forensischer Artefakte aus Android-Geräten. Parst über 200 App-Datenbanken
und System-Logs in übersichtliche HTML-Reports. Von WhatsApp-Chats über
Google-Maps-Timeline bis zu gelöschten SQLite-Records - ALEAPP findet
versteckte Beweise. Die Timeline-Funktion korreliert Aktivitäten über alle
Apps. Besonders wertvoll: Protobuf-Dekodierung für moderne Apps, Analyse
von Well-Being-Daten, Batteriestatistiken für Aktivitätsmuster.
Unterstützt physische Dumps, logische Extractions und sogar Teilbackups.
Die Plugin-Architektur erlaubt Erweiterungen für neue Apps. Ständige
Updates durch die aktive Community halten mit Android-Entwicklungen
Schritt. Der generierte Report ist gerichtsfest strukturiert mit
Quellenangaben zu jedem Artefakt. Integration mit iLEAPP und VLEAPP für
Cross-Device-Analysen.
domains:
- incident-response
- static-investigations
- mobile-forensics
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
related_software:
- iLEAPP
- VLEAPP
- Autopsy
skillLevel: intermediate
accessType: download
url: https://github.com/abrignoni/ALEAPP
license: MIT
knowledgebase: false
tags:
- cli
- mobile-app-data
- artifact-parser
- timeline
- html-export
- sqlite-viewer
- protobuf-parser
- whatsapp-analysis
- google-artifacts
- battery-stats
- well-being-data
- cross-platform
- artifact-extraction
- mobile-analysis
related_concepts:
- SQL
- name: iLEAPP
icon: 🍎
type: software
description: >-
iOS Logs, Events, And Plists Parser extrahiert forensische Schätze aus
iPhone-Backups und physischen Dumps. Über 350 Artefakt-Parser dekodieren
iOS-Geheimnisse: gelöschte iMessages, Safari-History, Screen-Time-Daten,
AirDrop-Transfers. Die KnowledgeC-Analyse rekonstruiert App-Nutzungsmuster
minutengenau. Besonders mächtig: Parsing von Unified Logs für
System-Events, Health-Daten-Extraktion, Significant-Locations mit
Karten-Visualisierung. Die HTML-Reports sind durchsuchbar und gerichtsfest
aufbereitet. Neue Features: iOS 17 Support, Live-Photos-Metadaten,
Apple-Pay-Transaktionen. Die ständigen Updates halten mit Apples
Verschleierungstaktiken Schritt. PowerLog-Parser zeigt Batterie-Events für
Aktivitätsanalyse. Die modulare Architektur erlaubt Custom-Parser für
proprietäre Apps. Cross-Referenzierung mit macOS-Artefakten über
Continuity. Ein Muss für jeden iOS-Forensiker.
domains:
- incident-response
- static-investigations
- mobile-forensics
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
related_software:
- ALEAPP
- VLEAPP
- Cellebrite UFED
skillLevel: intermediate
accessType: download
url: https://github.com/abrignoni/iLEAPP
license: MIT
knowledgebase: false
tags:
- cli
- mobile-app-data
- artifact-parser
- timeline
- html-export
- deleted-file-recovery
- knowledgec-parser
- unified-logs
- health-data
- screen-time
- imessage-recovery
- ios-forensics
related_concepts:
- SQL
- name: VLEAPP
icon: 🚗
type: software
description: >-
Vehicle Logs, Events, And Properties Parser erschließt die digitale
Blackbox moderner Fahrzeuge. Extrahiert Daten aus Infotainment-Systemen,
Telematik- Modulen und verbundenen Smartphones. CAN-Bus-Logs enthüllen
Geschwindigkeit, Bremsverhalten, Airbag-Events für Unfallrekonstruktion.
Die GPS-Timeline zeigt Routen mit Stopps und Fahrtzeiten. Besonders
wertvoll: Bluetooth- Verbindungsprotokolle identifizieren Fahrer,
CarPlay/Android-Auto-Daten, gespeicherte WLAN-Hotspots. Unterstützt Tesla,
BMW, Mercedes, VW-Gruppe und erweitert ständig. Die
Kontaktlisten-Extraktion findet synchronisierte Telefonbücher.
USB-Historie zeigt angeschlossene Geräte. Event-Data-Recorder parsing für
Crash-Forensik. Die HTML-Reports visualisieren Bewegungsprofile auf
Karten. Unersetzlich für Unfälle, Diebstähle und Alibis. Die wachsende
Fahrzeug-Forensik-Community teilt Parser für neue Modelle.
domains:
- static-investigations
- ics-forensics
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
related_software:
- ALEAPP
- iLEAPP
skillLevel: intermediate
accessType: download
url: https://github.com/abrignoni/VLEAPP
license: MIT
knowledgebase: false
tags:
- cli
- artifact-parser
- geolocation
- timeline
- html-export
- system-metadata
- vehicle-forensics
- can-bus-data
- infotainment
- crash-data
- bluetooth-connections
- gps-tracking
- name: dd
type: software
description: >-
Unix-Standard für bit-genaue Datenträger-Kopien seit 1974 mit absolut
minimalistischem System-Footprint für kontaminationsfreie Akquisition.
Wichtigste forensische Parameter: conv=noerror,sync für graceful
Bad-Sector-Handling, bs=4M für optimale I/O-Performance, status=progress
für Fortschrittsanzeige. Pipe-Capability zu Hash-Tools ermöglicht
simultane Verifizierung ohne Intermediate-Storage. Funktioniert auf jedem
Unix-System ohne Installation oder Dependencies. Zero-Kontamination durch
Pure-Read-Access ohne Metadata-Modifikation. Network-Imaging via netcat
für Remote-Acquisition über SSH-Tunnels. Split-Output für FAT32-Limits,
Signal-Handling für graceful Interruption und Resume-Capability.
url: https://www.gnu.org/software/coreutils/dd
skillLevel: intermediate
domains:
- incident-response
- static-investigations
phases:
- data-collection
platforms:
- Linux
- macOS
tags:
- cli
- physical-copy
- raw-image-support
- scenario:disk_imaging
- zero-footprint
- offline-mode
- bit-for-bit
- pipe-capable
- network-imaging
- unix-standard
- minimal-contamination
- performance-tuning
- disk-imaging
- bit-copy
related_concepts:
- Digital Evidence Chain of Custody
related_software:
- dcfldd
- dc3dd
- ewfacquire
icon: 💾
license: GPL-3.0
- name: dcfldd
type: software
description: >-
Defense Computer Forensics Lab DD erweitert klassisches dd um essenzielle
forensische Features für professionelle Imaging-Workflows. Simultane
Multi-Hash-Berechnung (MD5, SHA1, SHA256) während des Imaging-Prozesses
ohne Performance-Einbußen oder zusätzliche Passes. Split-on-the-fly für
Multi-Volume-Archives ohne Zwischenspeicherung, Pattern-Wiping für DoD
5220.22-M-konforme sichere Löschung. Status-Output zeigt
Transfer-Geschwindigkeit, verbleibende Zeit und ETA-Berechnung.
Block-Level-Hashing ermöglicht granulare Integritätsprüfung einzelner
Disk-Sektoren für Partial-Corruption-Detection. Verify-Funktion prüft
geschriebene Daten sofort durch Read-Back-Verification.
url: https://github.com/resurrecting-open-source-projects/dcfldd
skillLevel: intermediate
domains:
- incident-response
- static-investigations
phases:
- data-collection
platforms:
- Linux
tags:
- cli
- physical-copy
- hashing
- scenario:disk_imaging
- compression
- integrity-check
- split-output
- status-display
- pattern-wipe
- verify-mode
- block-hashing
- progress-reporting
related_concepts:
- Hash Functions & Digital Signatures
- Digital Evidence Chain of Custody
related_software:
- dd
- dc3dd
- FTK Imager
icon: 🔐
license: GPL-2.0
accessType: download
- name: ewfacquire
type: software
description: >-
Command-line Imaging-Tool aus der libewf-Bibliothek erstellt forensische
Images im industry-standard Expert Witness Format (E01/Ex01) mit
vollständiger Metadata-Preservation. Generiert segmentierte Archive mit
simultaner MD5/SHA1-Hash-Verifizierung und optionaler
zlib/bzip2-Kompression für Storage-Optimization. Besonders wertvoll für
Linux-basierte Imaging-Workflows ohne GUI-Overhead und Memory-intensive
Operations. Unterstützt umfassende Case-Metadaten: Examiner-Informationen,
Case-Notizen, Evidence-Description und Chain-of-Custody-Documentation.
Error-Granularity für defekte Sektoren mit detailliertem
Bad-Block-Logging. Cross-Platform-Alternative zu proprietären
Windows-Tools für Open-Source-Forensik-Laboratorien.
url: https://github.com/libyal/libewf
skillLevel: intermediate
domains:
- incident-response
- static-investigations
phases:
- data-collection
platforms:
- Linux
- macOS
tags:
- cli
- physical-copy
- ewf-support
- compression
- chain-of-custody
- scenario:disk_imaging
- error-handling
- segment-files
- metadata-storage
- hash-verification
- resume-capability
- cross-tool-compatible
related_concepts:
- Hash Functions & Digital Signatures
- Digital Evidence Chain of Custody
related_software:
- FTK Imager
- EnCase
- dd
icon: 💾
license: LGPL-3.0
accessType: download
- name: Guymager
type: software
description: >-
Linux-Imaging-Tool maximiert Performance durch intelligentes
Multi-Threading und optimierte I/O-Operationen für schnelle
Disk-Acquisition. Qt-basierte GUI macht forensisches Imaging auch für
Linux-Neulinge zugänglich ohne Command-Line-Expertise. Gleichzeitiges
Schreiben mehrerer Output-Formate (RAW + EWF) ohne Performance-Verlust
durch parallele Writer-Threads. FIFO-Ring-Buffer-Architektur ermöglicht
Pipe-Operationen für Network-Imaging über SSH oder netcat. Automatische
Bad-Block-Erkennung mit detailliertem Sector-Error-Logging,
HPA/DCO-Detection warnt vor versteckten Disk-Bereichen.
USB-Write-Blocker-Support für Hardware-Level-Protection, Resume-Capability
für unterbrochene Long-Running-Images.
url: https://guymager.sourceforge.io/
skillLevel: novice
domains:
- incident-response
- static-investigations
phases:
- data-collection
platforms:
- Linux
tags:
- gui
- physical-copy
- multithreaded
- hashing
- scenario:file_recovery
- ewf-support
- performance-optimized
- bad-sector-handling
- hpa-dco-detection
- simultaneous-output
- progress-estimation
- low-resource
related_concepts:
- Hash Functions & Digital Signatures
- Digital Evidence Chain of Custody
related_software:
- FTK Imager
- dc3dd
- ddrescue
icon: 💿
license: GPL-2.0
accessType: download
- name: Fuji
icon: 🗻
type: software
description: >-
Das clevere macOS-Tool umgeht Apples restriktive Sicherheitsmechanismen
für forensisch saubere Datenträger-Akquisition. Nutzt undokumentierte APIs
für Raw-Device-Zugriff ohne Kernel-Extensions. Besonders wertvoll seit
macOS Big Sur mit verstärktem System Integrity Protection (SIP). Die
Target-Disk-Mode-Alternative für moderne Macs ohne Firewire. Unterstützt
APFS-Container-Imaging inklusive verschlüsselter Volumes (mit Passwort).
Live-Imaging von System-Volumes ohne Reboot möglich. Die minimale
Footprint kontaminiert das Zielsystem kaum. Besonders clever: Umgehung der
Read-Only-System-Volume-Beschränkungen. Hash-Verifizierung integriert für
forensische Standards. Die Active-Development durch macOS-Forensik-
Community garantiert Updates für neue OS-Versionen. Perfekt für Incident
Response auf Macs ohne teure kommerzielle Tools. Die Kommandozeile
ermöglicht Scripting für Massenakquisitionen.
domains:
- incident-response
- static-investigations
phases:
- data-collection
platforms:
- macOS
related_software:
- dd
- FTK Imager
skillLevel: intermediate
accessType: download
url: https://github.com/Lazza/Fuji
license: GPL-3.0
knowledgebase: false
tags:
- cli
- live-acquisition
- physical-copy
- apfs
- scenario:disk_imaging
- zero-footprint
- sip-bypass
- encrypted-volume
- container-imaging
- minimal-contamination
- scripting-capable
- macos-specific
related_concepts:
- Digital Evidence Chain of Custody
- name: Rapid Incident Response Triage on macOS
icon: 🚨
type: method
description: >-
Spezialisierte Methodik für schnelle forensische Triage auf macOS-Systemen
optimiert für Enterprise-Incident-Response. Priorisiert flüchtige
Artefakte und kritische Indicators of Compromise (IOCs) für Entscheidungen
in unter 60 Minuten. Sammlung ohne Full-Disk-Imaging: Prozesslisten,
Netzwerk- verbindungen, LaunchAgents/Daemons, Quarantine-Events,
TCC-Datenbank. Besondere macOS-Artefakte: Unified Logs, FSEvents,
Spotlight-Metadaten, XProtect-Detections. Tools wie Aftermath oder osquery
automatisieren Datensammlung. Die Methodik adressiert macOS-spezifische
Herausforderungen: SIP, Gatekeeper, Code-Signing-Verifizierung.
Timeline-Erstellung aus ASL/ULS für Ereigniskorrelation. Besonders
wertvoll für MDM-verwaltete Flotten mit hunderten Macs. Die Dokumentation
für Remote-Collection via SSH/ARD. Post-Triage-Entscheidung:
Full-Forensics oder Neuinstallation. Anpassbar für verschiedene
Bedrohungsszenarien von Malware bis Insider-Threats.
domains:
- incident-response
- static-investigations
- malware-analysis
phases:
- data-collection
- examination
related_software:
- Aftermath
- osquery
- Fuji
skillLevel: intermediate
url: >-
https://www.sans.org/white-papers/rapid-incident-response-on-macos-actionable-insights-under-hour/
tags:
- triage
- fast-scan
- apfs
- selective-imaging
- macos-artifacts
- unified-logs
- launch-agents
- quarantine-events
- remote-collection
- mdm-compatible
- timeline-focused
- sip-aware
related_concepts:
- Digital Evidence Chain of Custody
- name: Aftermath
type: software
description: >-
Jamfs Open-Source-Software für macOS-Forensik sammelt systematisch
Artefakte, ohne zuvor ein Full-System-Image zu ziehen. Optimiert für
Incident-Response mit minimalem Systemeingriff. Extrahiert kritische
Daten: laufende Prozesse, Netzwerkverbindungen, installierte Software,
Persistenzmechanismen. Besonders wertvoll: Unified-Log-Parser für
System-Events, Browser-Artefakte aller größeren Browser,
Quick-Look-Thumbnails, FSEvents für Dateiaktivitäten. Die modulare
Architektur erlaubt selektive Sammlung. Output in strukturierten JSON/CSV
für einfache Analyse. Zeitstempel-Normalisierung für Timeline-Erstellung.
Unterstützt moderne macOS-Sicherheitsfeatures: TCC-Permissions,
Code-Signing-Status, XProtect-Matches. Die Remote-Collection via MDM/SSH
skaliert auf Unternehmensflotten. Besonders clever: Sammlung von
Cloud-Synchronisations-Artefakten (iCloud, Dropbox). Regelmäßige Updates
für neue macOS-Versionen. Die Alternative zu teuren kommerziellen
Mac-Forensik-Suiten.
url: https://github.com/jamf/aftermath/
skillLevel: intermediate
domains:
- incident-response
- static-investigations
- malware-analysis
phases:
- data-collection
- examination
platforms:
- macOS
tags:
- cli
- triage
- system-metadata
- apfs
- time-normalization
- structured-output
- unified-log-parser
- browser-artifacts
- persistence-checks
- tcc-analysis
- remote-capable
- json-export
related_concepts:
- Digital Evidence Chain of Custody
related_software:
- osquery
- KAPE
icon: 🎯
license: Apache-2.0
accessType: download
- name: RegRipper
type: software
description: >-
Windows-Registry-Analyse-Framework mit über 300 spezialisierten Plugins
für automatisierte Artefakt-Extraktion: USB-Device-Historie, installierte
Software-Timestamps, User-Login-Activity, Malware-Persistence-Mechanisms.
Profile-System gruppiert Plugins systematisch nach Untersuchungstyp:
Malware-Detection, User-Activity-Reconstruction,
Network-Configuration-Analysis. Timeline-Plugins generieren chronologische
Registry-Change-Sequences, automatische Korrelation zwischen verschiedenen
Hive-Files. Plugin-Dokumentation erklärt forensische Relevanz und
Interpretation jedes extrahierten Artefakts detailliert. Active-Community
teilt kontinuierlich neue Plugins für emerging Threats und aktuelle
Windows-Versionen.
url: https://github.com/keydet89/RegRipper3.0
skillLevel: intermediate
domains:
- incident-response
- static-investigations
- malware-analysis
phases:
- examination
- analysis
platforms:
- Windows
- Linux
tags:
- cli
- registry-hives
- plugin-support
- scenario:windows-registry
- usb-history
- artifact-parser
- timeline-analysis
- malware-detection
- user-activity
- batch-processing
- profile-based
- community-plugins
- scenario:persistence
related_concepts:
- Digital Evidence Chain of Custody
related_software:
- Eric Zimmerman Tools
icon: 🔑
license: MIT
accessType: download
- name: Strings
type: software
description: >-
Extrahiert lesbare Textfragmente aus Binärdateien für initiale
Malware-Analyse und Artefakt-Triage ohne aufwändige
Reverse-Engineering-Tools. Findet Command-and-Control-URLs, hardcodierte
Passwörter, Dateipfade und Debug-Nachrichten in verschleierten oder
gepackten Malware-Samples. Unicode-Unterstützung für internationale
Zeichensätze, Offset-Anzeige ermöglicht Hex-Editor-Korrelation.
Pipe-Integration mit grep und awk für erweiterte Mustersuche.
Unverzichtbar für Quick-Wins bei kryptischen Binärdateien.
url: https://docs.microsoft.com/en-us/sysinternals/downloads/strings
skillLevel: novice
domains:
- incident-response
- malware-analysis
- static-investigations
phases:
- examination
platforms:
- Windows
- Linux
- macOS
tags:
- cli
- string-search
- binary-decode
- triage
- cross-platform
- fast-scan
- unicode-support
- pattern-extraction
- malware-triage
- c2-discovery
- password-finding
- pipe-friendly
related_concepts:
- Regular Expressions (Regex)
icon: 🔤
license: Proprietary/GPL
- name: PhotoRec
type: software
description: >-
Signatur-basiertes File-Carving-Tool rekonstruiert gelöschte Daten durch
Header/Footer-Pattern-Matching unabhängig vom Dateisystem-Zustand oder
Korruption des Dateisystems. Unterstützt über 300 Datei-Formate: Bilder
(JPEG, PNG, TIFF), Dokumente (PDF, DOC, XLS), Archive (ZIP, RAR), Videos
(AVI, MP4) und selbstdefinierte Dateisignaturen. Read-Only gewährleistet
forensische Integrität, funktioniert bei beschädigten, formatierten oder
korrupten Dateisystemen. Paranoid-Mode scannt jeden einzelnen Sektor für
maximale Anzahl wiederhergestellter Daten. Integrierbar mit Software wie
TestDisk.
url: https://www.cgsecurity.org/wiki/PhotoRec
skillLevel: beginner
domains:
- incident-response
- static-investigations
- fraud-investigation
phases:
- examination
- data-collection
platforms:
- Windows
- Linux
- macOS
tags:
- gui
- file-carving
- deleted-file-recovery
- scenario:file_recovery
- signature-analysis
- cross-platform
- filesystem-agnostic
- multimedia-recovery
- partition-recovery
- read-only-mode
- batch-capable
- custom-signatures
related_concepts:
- Digital Evidence Chain of Custody
icon: 📸
license: GPL-2.0
accessType: download
- name: Thumbcache Viewer
type: software
description: >-
Windows-Thumbnail-Cache-Analysis-Tool extrahiert Miniaturansichten aller
betrachteten Images aus versteckten thumbcache_*.db-Dateien für
Deleted-Content-Recovery. Beweist unwiderlegbar Image-Presence auf System
auch nach Original-File-Deletion durch Thumbnail-Persistence in
Cache-Database. Multiple-Resolution-Support (32, 96, 256, 1024 Pixel)
zeigt verschiedene Detail-Levels und Access-Patterns.
EXIF-Metadata-Preservation in Thumbnails ermöglicht GPS-Location-Recovery
und Camera-Identification. Timestamp-Analysis rekonstruiert
Image-Viewing-Timeline und User-Activity-Patterns. Batch-Processing-Mode
für Multiple-Cache-Files, Hash-Export für CSAM-Database-Matching und
Content-Correlation. HTML-Report-Generation für Court-Presentation mit
Embedded-Thumbnails und Forensic-Metadata-Tables.
url: https://thumbcacheviewer.github.io/
skillLevel: beginner
domains:
- static-investigations
- fraud-investigation
- incident-response
phases:
- examination
- analysis
platforms:
- Windows
tags:
- gui
- deleted-file-recovery
- metadata-parser
- triage
- system-metadata
- thumbnail-analysis
- exif-extraction
- csam-investigation
- timeline-creation
- batch-processing
- html-reporting
- hash-export
related_concepts:
- Digital Evidence Chain of Custody
icon: 🖼️
license: GPL-3.0
accessType: download
- name: MaxMind GeoIP
type: software
description: >-
Die Geolocation-Datenbank-Lösung übersetzt IP-Adressen in geografische
Standorte für Threat-Intelligence und Incident-Attribution. GeoLite2
(kostenlos) bietet Stadt-Level-Genauigkeit für die meisten IPs weltweit.
Die kommerzielle GeoIP2 erhöht Präzision und fügt ISP/Organisation-Daten
hinzu. Besonders wertvoll: VPN/Proxy-Erkennung identifiziert verschleierte
Verbindungen, Anonymous-IP-Datenbank für Tor/Hosting-Provider, Accuracy-
Radius zeigt Konfidenz. Die wöchentlichen Updates halten mit
IP-Allokationen Schritt. APIs für alle Major-Programmiersprachen
ermöglichen Integration in Forensik-Workflows. Bulk-Processing für
Log-Analyse. Die historischen Datenbanken ermöglichen Geolocation zum
Tatzeitpunkt. GDPR-konform durch Verzicht auf Tracking. Der Offline-Modus
schützt sensible Ermittlungsdaten. Integration in Splunk, ELK, und andere
SIEMs. Die Genauigkeit variiert nach Region - Europa/USA präziser als
Entwicklungsländer. Standard für Geo-Attribution in der Forensik.
domains:
- incident-response
- fraud-investigation
- network-forensics
phases:
- analysis
skillLevel: beginner
url: https://www.maxmind.com/
icon: 🌍
platforms:
- Windows
- Linux
- macOS
accessType: download
license: GeoLite2 EULA / Commercial
knowledgebase: false
tags:
- api
- geolocation
- data-enrichment
- cross-platform
- automation-ready
- offline-mode
- vpn-detection
- proxy-identification
- bulk-processing
- accuracy-metrics
- historical-data
- gdpr-compliant
- name: SIFT Workstation
type: software
description: >-
SANS Investigative Forensic Toolkit vereint über 500 kurierte
Open-Source-Tools in optimierter Ubuntu-Distribution für professionelle
DFIR-Teams. Vorinstalliert und konfiguriert: Autopsy für Disk-Analysis,
Volatility für Memory-Forensik, Plaso für Timeline-Generation,
Registry-Tools für Windows-Artefakte. DFIR-Menüstruktur gruppiert Tools
logisch nach Untersuchungsphasen und Use-Cases. mount-image-pro
automatisiert Evidence-Mounting mit Write-Protection, SIFT-CLI verwaltet
Tool-Updates zentral. REMnux-Integration für nahtlose
Malware-Analyse-Workflows, kostenlose Workbooks und Cheat-Sheets führen
durch typische Untersuchungsszenarien. VM-Images und WSL2-Support für
flexible Deployment-Optionen.
url: https://www.sans.org/tools/sift-workstation/
skillLevel: intermediate
domains:
- incident-response
- static-investigations
- malware-analysis
- network-forensics
- mobile-forensics
platforms:
- OS
domain-agnostic-software:
- specific-os
tags:
- gui
- cli
- cross-platform
- write-blocker
- live-acquisition
- signature-updates
- tool-collection
- documentation-rich
- training-focused
- vm-ready
- wsl2-compatible
- community-maintained
related_software:
- REMnux
- CAINE
- Kali Linux
icon: 🧰
license: Free / Mixed
accessType: download
- name: Tsurugi Linux
type: software
description: >-
Spezialisierte Forensik-Distribution kombiniert Mobile- und
Malware-Analyse-Tools mit einzigartigen Hardware-Integration-Features für
professionelle Ermittlungen. Integrierter Hardware-Write-Blocker
verhindert Evidence-Kontamination automatisch, Bento-Menü organisiert
Tools nach japanischer Effizienz-Philosophie systematisch.
Android-Forensik-Suite mit ADB-Automatisierung und Root-Detection,
iOS-Backup-Analyzer mit Keychain-Extraktion, umfangreiche Malware-Sandbox
für Dynamic-Analysis. Performance-Kernel speziell für Forensik-Hardware
optimiert, 64-Bit-Only-Architektur nutzt modernen RAM voll aus.
Stealth-Mode deaktiviert alle Netzwerk-Interfaces, Unterstützung
asiatischer Zeichensätze für internationale Ermittlungen.
url: https://tsurugi-linux.org/
skillLevel: intermediate
domains:
- incident-response
- static-investigations
- malware-analysis
- mobile-forensics
platforms:
- OS
domain-agnostic-software:
- specific-os
tags:
- gui
- write-blocker
- live-acquisition
- triage
- forensic-snapshots
- selective-imaging
- mobile-focused
- malware-sandbox
- asian-language
- hardware-writeblock
- performance-kernel
- stealth-mode
related_software:
- CAINE
- Kali Linux
icon: ⛩️
license: GPL / Mixed
accessType: download
- name: Parrot Security OS
type: software
description: >-
Privacy-fokussierte Forensik-Distribution mit eingebautem
Anonymisierungs-Framework für verdeckte Ermittlungen und
Undercover-Operations. AnonSurf routet kompletten Traffic durch
Tor-Netzwerk mit DNS-Leak-Protection, AppArmor-Mandatory-Access-Control
härtet System gegen Exploits und Malware. Rolling-Release-Model hält 600+
Tools kontinuierlich aktuell ohne komplette Neuinstallation.
Ressourcenschonender MATE-Desktop läuft flüssig auf älteren
Forensik-Laptops und Field-Equipment. Docker-Support für sichere
Tool-Isolation und Malware-Sandboxing, ARM-Versionen für Raspberry Pi und
Mobile-Forensik-Einsätze. Live-Boot mit Encrypted-Persistence für sichere
Feldarbeit.
url: https://parrotsec.org/
skillLevel: intermediate
domains:
- incident-response
- static-investigations
- malware-analysis
- network-forensics
platforms:
- OS
tags:
- gui
- cli
- live-acquisition
- encrypted-traffic
- secure-sharing
- anonymous-analysis
- privacy-focused
- tor-integration
- rolling-release
- lightweight
- arm-support
- docker-ready
related_software:
- Kali Linux
icon: 🦜
license: GPL-3.0
accessType: download
domain-agnostic-software:
- specific-os
- name: LibreOffice
type: software
description: >-
Analysiert umfangreiche Ermittlungsdaten durch leistungsstarke
Pivot-Tabellen und Filteroptionen für forensische Auswertungen.
Verarbeitet CSV-Logs, Datenbank-Exporte und Timeline-Daten für komplexe
Korrelationsanalysen. Calc erstellt aussagekräftige Diagramme aus
Beweismitteln, Writer generiert gerichtsfeste Berichte mit strukturiertem
Inhaltsverzeichnis. Importiert beschädigte oder proprietäre Dateiformate,
die kommerzielle Office-Pakete ablehnen. Makro-Sprache automatisiert
wiederkehrende Analysen.
url: https://www.libreoffice.org/
skillLevel: novice
domains:
- incident-response
- static-investigations
- malware-analysis
- fraud-investigation
- network-forensics
- mobile-forensics
- cloud-forensics
- ics-forensics
phases:
- examination
- analysis
- reporting
platforms:
- Windows
- Linux
- macOS
tags:
- gui
- reporting
- csv-export
- cross-platform
- macro-automation
- visualization
- document-analysis
- metadata-viewer
- portable-version
- format-converter
- pdf-creation
- free-alternative
related_software:
- Microsoft Office 365
icon: 📄
license: Mozilla Public License Version 2.0
accessType: download
- name: Microsoft Office 365
type: software
description: >-
Transformiert forensische Massendaten durch Power Query in strukturierte
Analysen für umfangreiche Ermittlungen. Power Pivot verarbeitet Millionen
von Log-Einträgen, Excel-Makros automatisieren wiederkehrende
Auswertungen. Kollaborationsfunktionen ermöglichen Echtzeit-Teamarbeit bei
komplexen Fällen, Cloud-Speicher sichert große Beweissammlungen. Advanced
eDiscovery für Compliance-Untersuchungen, OneNote strukturiert Screenshots
und Notizen. KI-gestützte Editorfunktionen verbessern Berichtsqualität.
url: https://www.office.com/
skillLevel: novice
domains:
- incident-response
- static-investigations
- malware-analysis
- fraud-investigation
- network-forensics
- mobile-forensics
- cloud-forensics
- ics-forensics
phases:
- examination
- analysis
- reporting
platforms:
- Windows
- macOS
- Web
tags:
- gui
- web-interface
- commercial
- collaboration
- visualization
- cloud-artifacts
- power-query
- ediscovery
- version-control
- team-integration
- mobile-apps
- automation-capable
related_software:
- LibreOffice
icon: 📊
license: Proprietary
accessType: commercial
- name: EnCase
type: software
description: >-
Etablierte Forensik-Suite für Enterprise-Level-Investigations kombiniert
Disk-Imaging, Evidence-Processing und Case-Management in integrierter
Plattform. EnScript-Programmiersprache automatisiert komplexe Analysen und
Custom-Workflows für wiederkehrende Untersuchungsschritte.
Evidence-Processor verarbeitet Batch-Analysen multipler Images parallel,
Timeline-Engine korreliert Events über alle Evidenzen.
Physical-Analyzer-Modul extrahiert Smartphone-Daten durch Logical- und
Physical-Acquisition-Methoden. Hash-Library-Integration für
Known-Bad-Detection und NSRL-Filtering. Case-Management skaliert auf
Großverfahren mit gerichtsfester Dokumentation und Audit-Trails.
Dongle-Schutz und hohe Lizenzkosten (20.000€+) limitieren auf
Enterprise-Umgebungen.
url: https://www.opentext.com/products/encase-forensic
skillLevel: intermediate
domains:
- static-investigations
- incident-response
- mobile-forensics
phases:
- data-collection
- examination
- analysis
- reporting
platforms:
- Windows
tags:
- gui
- commercial
- scripting
- court-admissible
- case-management
- dongle-license
- enscript
- evidence-processor
- batch-capable
- certification-path
- legacy-standard
- enterprise-scale
related_concepts:
- Digital Evidence Chain of Custody
related_software:
- FTK Imager
- X-Ways Forensics
- Autopsy
icon: 🔍
license: Proprietary
accessType: commercial
- name: GraphSense
icon: 📊
type: software
description: >-
Die Open-Source-Blockchain-Analyse-Plattform aus Österreich bietet eine
datenschutzfreundliche Alternative zu US-Diensten. Attributions- freie
Analyse respektiert Privatsphäre während Ermittlungen. Der
Clustering-Algorithmus gruppiert Adressen zu Entities basierend auf
Heuristiken. TagPacks ermöglichen kollaboratives Labeling bekannter
Services. Die Apache-Cassandra-Architektur skaliert auf Milliarden
Transaktionen. REST-API für Tool-Integration. Unterstützt Bitcoin,
Ethereum, Litecoin mit wachsender Liste. Besonders wertvoll: Graphbasierte
Visualisierung von Geldflüssen, Risiko-Scores ohne externe Abhängigkeiten,
Self-Hosting für sensible Ermittlungen. Die akademische Herkunft (AIT)
garantiert Transparenz. Docker-Deployment vereinfacht Installation. Die
Attributions-Qualität erreicht noch nicht Chainalysis-Niveau, verbessert
sich aber stetig. EU-Förderung sichert Weiterentwicklung. Perfekt für
Organisationen die Blockchain-Forensik ohne US-Cloud-Abhängigkeit
benötigen. Die Zukunft der souveränen Krypto-Ermittlungen.
domains:
- static-investigations
- fraud-investigation
- incident-response
phases:
- analysis
- reporting
platforms:
- Web
related_software:
- Chainalysis
- Maltego
- Neo4j
skillLevel: intermediate
accessType: server-based
url: https://graphsense.org/
license: MIT
knowledgebase: false
tags:
- web-interface
- blockchain-analysis
- opensource
- visualization
- anomaly-detection
- correlation-engine
- privacy-preserving
- self-hosted
- clustering-algorithm
- tagpack-system
- academic-backing
- eu-compliant
related_concepts:
- Hash Functions & Digital Signatures
- name: Gitea
icon: 🍵
type: software
description: >-
Das federleichte Git-Repository-System perfekt für Forensik-Teams die ihre
Tools und Dokumentation versionieren. Go-basierte Architektur läuft
ressourcenschonend auf Raspberry Pi bis Enterprise-Server. Die intuitive
Web-UI macht Git zugänglich für weniger technische Teammitglieder.
Besonders wertvoll für Forensik: Versionierung von YARA-Rules, IOC-Listen,
Analysis-Scripts, Case-Dokumentation. Die eingebaute CI/CD-Pipeline
(Actions) automatisiert Tool-Deployments und Qualitätschecks.
Issue-Tracker organisiert Ermittlungs-Tasks. Wiki dokumentiert Prozeduren.
Der Code-Review-Workflow sichert Vier-Augen-Prinzip.
Pull-Request-Templates standardisieren Contributions. Die API integriert
mit Forensik-Workflows. Mirror-Funktionen synchronisieren externe
Repositories. Niedrige Systemanforderungen erlauben Hosting im eigenen
Lab. Die Migration von GitHub/GitLab ist nahtlos. Perfekt für Teams die
Kontrolle über ihre Forensik- Artefakte behalten wollen ohne
Cloud-Abhängigkeit. Der Community- Fork von Gogs mit aktiverer
Entwicklung.
domains:
- incident-response
- malware-analysis
- static-investigations
phases:
- reporting
platforms:
- Web
domain-agnostic-software:
- collaboration-general
skillLevel: beginner
accessType: server-based
url: https://gitea.io/
projectUrl: https://git.cc24.dev
license: MIT
statusUrl: https://status.mikoshi.de/api/badge/18/status
tags:
- web-interface
- version-control
- git-integration
- collaboration
- multi-user-support
- automation-ready
- ci-cd-actions
- issue-tracking
- wiki-system
- code-review
- api-driven
- lightweight
related_concepts:
- Digital Evidence Chain of Custody
- name: ICSpector
type: software
description: >-
Microsofts Open-Source-Framework revolutioniert Industrial-Control-System-
Forensik mit spezialisierten Tools für SCADA/PLC-Untersuchungen.
Extrahiert Metadaten aus Siemens S7, Rockwell, Schneider Electric
Controllern. Die Python-basierte Architektur parst proprietäre Protokolle
und Dateiformate. Besonders wertvoll: Ladder-Logic-Extraktion zeigt
manipulierte Programme, Configuration-Diff erkennt unauthorized Changes,
Network-Capture-Analyse für ICS-Protokolle (Modbus, DNP3, IEC-104).
Timeline-Rekonstruktion aus Historian-Daten. Die Plugin-Architektur
erlaubt Erweiterung für neue Hersteller. Integration mit
Wireshark-Dissectors. Unterstützt sowohl Live-Systeme als auch
Offline-Images. Die Dokumentation erklärt ICS-Besonderheiten für
IT-Forensiker. Besonders relevant nach Stuxnet und zunehmenden
ICS-Angriffen. Die Community wächst mit kritischer
Infrastruktur-Bedeutung. Füllt die Lücke zwischen IT- und OT-Forensik.
Unverzichtbar für Kraftwerke, Wasserversorgung, Produktionsanlagen. Die
Zukunft der Infrastruktur-Forensik beginnt hier.
domains:
- ics-forensics
- incident-response
- malware-analysis
phases:
- data-collection
- examination
- analysis
skillLevel: advanced
url: https://github.com/microsoft/ics-forensics-tools
icon: 🏭
platforms:
- Windows
- Linux
- macOS
accessType: download
license: MIT
knowledgebase: false
tags:
- cli
- system-metadata
- artifact-parser
- cross-platform
- scripting
- opensource
- plc-analysis
- scada-forensics
- ladder-logic
- protocol-parser
- configuration-analysis
- ot-security
related_concepts:
- Digital Evidence Chain of Custody
related_software:
- Wireshark
- name: Impacket
icon: 🔨
type: software
description: >-
Die Python-Bibliothek ist das Schweizer Taschenmesser für Windows-
Netzwerk-Forensik und Living-off-the-Land. Über 50 Beispiel-Scripts
demonstrieren mächtige Capabilities: smbexec.py für Remote-Execution,
secretsdump.py extrahiert Hashes, wmiexec.py für WMI-basierte Forensik.
Die Low-Level-Protokoll-Implementation ermöglicht granulare Kontrolle.
Besonders wertvoll für Incident-Response: Remote-Registry-Zugriff ohne
Agent, Kerberos-Ticket-Extraktion, NTLM-Relay-Detection. psexec.py als
forensische Alternative zu SysInternals. Die DCSync-Funktionalität hilft
bei Domain-Kompromittierungen. SMB/MSRPC-Parser für Traffic-Analyse.
Integration in Forensik-Frameworks wie Volatility. Die aktive SecureAuth-
Entwicklung hält mit Windows-Updates Schritt. Dokumentation erklärt
Windows-Interna für Linux-Forensiker. Vorsicht: Viele Features sind
dual-use - klare Policies nötig. Die ethische Nutzung unterscheidet
Forensiker von Angreifern. Unverzichtbar für moderne Windows-Forensik ohne
Microsoft-Tools.
domains:
- incident-response
- network-forensics
- malware-analysis
phases:
- data-collection
- examination
platforms:
- Linux
- Windows
- macOS
skillLevel: advanced
accessType: download
url: https://github.com/SecureAuthCorp/impacket
license: Apache-2.0
knowledgebase: false
tags:
- cli
- remote-collection
- scripting
- scenario:persistence
- protocol-decode
- live-process-view
- windows-protocols
- credential-extraction
- lateral-movement
- registry-access
- wmi-forensics
- python-library
- scenario:credential_theft
related_concepts:
- Digital Evidence Chain of Custody
- name: Kismet
icon: 📡
type: software
description: >-
Der Wireless-Netzwerk-Detektor und Sniffer findet versteckte WLANs,
Rogue-Access-Points und verdächtige Clients. Passives Monitoring ohne
Aussenden von Probe-Requests macht es ideal für verdeckte Ermittlungen.
Unterstützt 802.11a/b/g/n/ac und moderne Standards. Die GPS-Integration
ermöglicht War-Driving mit präziser Standort-Zuordnung. Besonders
wertvoll: Erkennung von Deauth-Attacks, Evil-Twin-APs, Client-Isolation-
Bypasses. Die Plugin-Architektur erweitert für Bluetooth, Zigbee, andere
Funkprotokolle. REST-API für Integration in SOC-Dashboards. Der
Distributed-Mode koordiniert mehrere Sensoren. PCAP-Export für
Wireshark-Analyse. Die Alert-Engine meldet Sicherheitsverletzungen. Web-UI
visualisiert Netzwerk-Topologie. Besonders stark bei Firmen- WLAN-Audits
und Incident-Response. Die Log-Correlation findet Zusammenhänge zwischen
Events. Unterstützt Software-Defined-Radios für erweiterte
Frequenzbereiche. Die Community-Entwicklung fokussiert auf
Praktiker-Bedürfnisse. Standard-Tool für Wireless-Forensik weltweit.
domains:
- incident-response
- network-forensics
phases:
- data-collection
- examination
platforms:
- Linux
related_software:
- Aircrack-ng
- WiFi Pineapple
- Wireshark
skillLevel: advanced
accessType: download
url: https://www.kismetwireless.net/
license: GPL-2.0
knowledgebase: false
tags:
- gui
- pcap-capture
- geolocation
- live-acquisition
- anomaly-detection
- wireless-analysis
- passive-monitoring
- gps-mapping
- multi-protocol
- distributed-sensors
- api-enabled
- wardrive-capable
- name: ArcGIS
type: software
description: >-
Transformiert GPS-Daten, Mobilfunk-Logs und Fahrzeug-Telematik in
aussagekräftige räumliche Analysen für Ermittlungen. Buffer-Analysen
identifizieren Verdächtige in Tatort-Nähe, Hot-Spot-Detection findet
Kriminalitätsschwerpunkte. Network-Analyst berechnet optimale
Fluchtrouten, 3D-Szenen rekonstruieren Tatorte photorealistisch.
Korreliert Geodaten mit Personen, Fahrzeugen und Kommunikationsmustern.
Crime-Mapping-Erweiterungen speziell für Strafverfolgung entwickelt.
url: https://www.esri.com/arcgis
skillLevel: intermediate
domains:
- fraud-investigation
- network-forensics
phases:
- reporting
platforms:
- Windows
- macOS
tags:
- mapping
- visualization
icon: 🌍
license: Proprietary
accessType: commercial
- name: Binary Ninja
type: software
description: >-
Moderne Reverse-Engineering-Plattform kombiniert traditionelle Disassembly
mit fortschrittlicher Program-Analysis durch innovative
Multi-Level-IR-Architecture (Intermediate Representation).
Cross-Architecture-Analysis durch einheitliche Abstraktion verschiedener
Instruction-Sets und Calling-Conventions. Advanced-Type-Recovery
rekonstruiert C-Structures und Function-Signatures automatisch durch
Data-Flow-Analysis. Plugin-API (Python/C++) ermöglicht tiefe Customization
und Integration in Custom-Workflows. Cloud-Collaboration synchronisiert
Binary-Analysis zwischen verteilten Teams in Real-Time. Modern-GUI mit
Multiple-Workspaces, Split-Views und Customizable-Layouts übertrifft
Legacy-Tools in Usability und Workflow-Efficiency. Debugger-Integration
für Dynamic-Analysis-Correlation.
url: https://binary.ninja
skillLevel: advanced
domains:
- malware-analysis
- static-investigations
phases:
- analysis
platforms:
- Windows
- macOS
- Linux
tags:
- reverse-engineering
- decompiler
icon: 🛠️
license: Proprietary
accessType: commercial
- name: CapLoader
type: software
description: >-
Das Windows-Tool revolutioniert die Analyse großer PCAP-Sammlungen durch
intelligente Indexierung und Flow-Rekonstruktion. Lädt Multi-GB-Captures
in Sekunden und ermöglicht blitzschnelle Filterung nach Protokollen,
Timeframes oder Keyword-Patterns. Besonders wertvoll: Automatische
Flow-Reassembly rekonstruiert komplette TCP-Sessions, HTTP-Objects-
Extraktion speichert übertragene Dateien, Credential-Harvesting findet
Klartext-Passwörter in Streams. Die Timeline-Ansicht visualisiert
Traffic-Patterns über Zeit. Batch-Export zu NetworkMiner oder Wireshark
für Detailanalyse. Performance-optimiert für Forensiker die täglich mit
großen Packet-Captures arbeiten. Integration mit NetWitness und anderen
Enterprise-NSM-Lösungen. Der Workflow beschleunigt Incident- Response
erheblich durch Vorsortierung relevanter Flows.
skillLevel: intermediate
url: https://www.netresec.com/?page=CapLoader
icon: 📡
domains:
- network-forensics
phases:
- examination
- analysis
tags:
- pcap-analysis
- flow-extraction
- timeline-view
- credential-extraction
- file-reconstruction
- batch-processing
platforms:
- Windows
accessType: commercial
license: Proprietary
knowledgebase: false
- name: Collabora Online
type: software
description: >-
Ermöglicht sichere Echtzeit-Dokumentenbearbeitung für verteilte
Ermittlungsteams ohne Cloud-Abhängigkeit. Erstellt gerichtsfeste Berichte
mit vollständiger Versionskontrolle und Änderungshistorie. Unterstützt
alle gängigen Office-Formate, integriert nahtlos in
Nextcloud-Infrastrukturen. Verschlüsselte Kommunikation und granulare
Berechtigungen schützen sensible Ermittlungsdaten. Offline-Fähigkeiten für
abgeschottete Laborumgebungen.
url: https://www.collaboraonline.com
skillLevel: beginner
domains:
- collaboration-general
domain-agnostic-software:
- collaboration-general
phases:
- reporting
platforms:
- Linux
- Windows
tags:
- office
- collaboration
icon: 📝
license: MPL-2.0 OR AGPL-3.0
accessType: download
- name: ShadowExplorer
type: software
description: >-
Macht Windows Volume Shadow Copy Snapshots auch in Home-Editionen für
forensische Analyse zugänglich. Ermöglicht komfortables Durchstöbern und
Wiederherstellen früherer Dateiversionen ohne komplexe
Kommandozeilen-Tools. Rekonstruiert gelöschte oder überschriebene Dateien
aus automatischen Systemsicherungen. Besonders wertvoll für
Zeitpunkt-basierte Analysen und Nachweis von Datenmanipulationen. Schlanke
GUI für schnelle Triage klassischer Datenträgerforensik.
url: https://www.shadowexplorer.com/
skillLevel: novice
domains:
- static-investigations
- incident-response
phases:
- examination
- analysis
platforms:
- Windows
tags:
- gui
- shadow-copy
- snapshot-browsing
- file-recovery
- previous-versions
- scenario:file_recovery
- point-in-time-restore
related_concepts:
- Digital Evidence Chain of Custody
related_software:
- OSFMount
- PhotoRec
icon: 🗂️
license: Freeware
accessType: download
- name: Sonic Visualiser
type: software
description: >-
Analysiert Audio-Dateien bis auf Sample-Ebene für Authentizitätsprüfung
und Manipulationserkennung in forensischen Ermittlungen.
Spektrogramm-Visualisierung und FFT-basierte Analysen decken versteckte
Bearbeitungen auf. Vamp-Plugin-Ökosystem erweitert Analysefähigkeiten um
Beat-Detection und Pitch-Tracking. Annotation-Ebenen dokumentieren
Findings mit präzisen Zeitstempeln für Gerichtspräsentationen.
Export-Funktionen integrieren Ergebnisse in forensische Analyse-Pipelines.
url: https://www.sonicvisualiser.org/
skillLevel: intermediate
domains:
- static-investigations
- fraud-investigation
phases:
- examination
- analysis
- reporting
platforms:
- Windows
- Linux
- macOS
tags:
- gui
- audio-forensics
- spectrogram
- plugin-support
- annotation
- csv-export
icon: 🎵
license: GPL-2.0
accessType: download
- name: Dissect
type: software
description: >-
Python-Framework abstrahiert Windows- und Linux-Speicherabbilder in
virtuelle Dateisystem-Objekte ohne vorherige Profil-Definition oder
OS-spezifische Konfiguration. Modularer Hypervisor-Layer ermöglicht
simultane Multi-Image-Analyse für großflächige Incident-Response-Scenarios
mit einheitlicher API. Zero-Copy-Architektur beschleunigt Memory-Queries
auf Multi-GB-Images durch direkten Memory-Mapping ohne Intermediate-Files.
Plugin-System dekodiert Windows-Strukturen: PTEs, Handle-Tables,
APC-Queues und Kernel-Objects automatisch. Besonders effizient bei
Batch-Processing mehrerer Memory-Dumps parallel durch
Threading-Optimierung und Resource-Sharing zwischen Analyse-Instanzen.
url: https://github.com/fox-it/dissect
skillLevel: advanced
domains:
- incident-response
- malware-analysis
- static-investigations
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
tags:
- cli
- memory-analysis
- plugin-support
- python-library
- zero-copy
- profile-less
related_concepts:
- Regular Expressions (Regex)
related_software:
- Volatility 3
- Rekall
icon: 🧩
license: Apache-2.0
accessType: download
- name: Docker Explorer
icon: 🐳
type: software
description: >-
Googles Forensik-Toolkit zerlegt Offline-Docker-Volumes und
Overlay-Dateisysteme ohne laufenden Daemon. Es extrahiert
Container-Config, Image-Layer, ENV-Variablen, Mounted-Secrets und schreibt
Timeline-fähige Metadata-JSONs. Unterstützt btrfs, overlay2 und zfs
Storage-Driver sowie Docker Desktop (macOS/Windows). Perfekt, um bösartige
Images nach Supply-Chain-Attacken zu enttarnen oder flüchtige Container
nach einem Incident nachträglich zu analysieren.
skillLevel: intermediate
url: https://github.com/google/docker-explorer
domains:
- cloud-forensics
- incident-response
- static-investigations
phases:
- data-collection
- examination
- analysis
platforms:
- Linux
- macOS
- Windows
accessType: download
license: Apache-2.0
knowledgebase: false
tags:
- cli
- container-forensics
- docker
- timeline
- json-export
- supply-chain
related_software:
- Velociraptor
- osquery
- name: Ghiro
icon: 🖼️
type: software
description: >-
Die Web-basierte Bild­forensik-Plattform automatisiert EXIF-Analyse,
Hash-Matching, Error-Level-Evaluation (ELA) und Steganografie-Erkennung
für große Dateibatches. Unterstützt Gesichts- und NSFW-Detection sowie
GPS-Reverse-Geocoding für Bewegungsprofile. Reports sind gerichtsfest
versioniert, REST-API und Celery-Worker skalieren auf Millionen Bilder
ideal für CSAM-Ermittlungen oder Fake-News-Prüfung.
skillLevel: intermediate
url: https://getghiro.org/
domains:
- static-investigations
- fraud-investigation
- mobile-forensics
phases:
- examination
- analysis
- reporting
platforms:
- Web
- Linux
accessType: server-based
license: GPL-2.0
knowledgebase: false
tags:
- web-interface
- image-forensics
- exif-analysis
- steganography
- nsfw-detection
- batch-processing
related_concepts:
- Hash Functions & Digital Signatures
related_software:
- ExifTool
- PhotoRec
- name: Sherloq
type: software
description: >-
Python-basiertes Image-Forensics-Toolkit kombiniert klassische
Steganography-Detection-Techniken mit modernen Computer-Vision-Algorithmen
für Manipulation-Analysis. LSB-Steganography-Detection, Palette-Analysis,
DCT-Coefficient-Examination und Statistical-Tests identifizieren
Hidden-Data in Images. Error-Level-Analysis (ELA) und
Noise-Pattern-Examination zeigen Compression-Artifacts und Edit-Traces in
JPEG-Files. Heatmap-Visualizations und Histogram-Differential-Analysis
markieren Manipulation-Hotspots automatisch.
Metadata-Inconsistency-Detection vergleicht EXIF-Data mit Image-Content
für Authenticity-Verification. Plugin-Architecture integriert externe
Tools: zsteg, binwalk, exiftool für Comprehensive-Image-Analysis-Pipeline.
Essential-Complement zu Hex-Editors und Reverse-Engineering-Tools für
Multimedia-Forensics.
url: https://github.com/GuidoBartoli/sherloq
skillLevel: intermediate
domains:
- malware-analysis
- static-investigations
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
tags:
- gui
- image-forensics
- steganography
- lsb-extraction
- histogram-analysis
- plugin-support
related_concepts:
- Regular Expressions (Regex)
related_software:
- Ghiro
- CyberChef
icon: 🔍
license: MIT
accessType: download
- name: Cortex
type: software
description: >-
Automatisiert Observable-Intelligence durch über 100 integrierte
Analysedienste von VirusTotal bis Shodan für beschleunigte Ermittlungen.
Ein File-Hash triggert parallel AV-Scans, Sandbox-Detonation und
YARA-Matching in Sekunden statt manueller Stundenarbeit. Responder-Actions
ermöglichen automatische Incident-Response wie IP-Blockierung oder
Host-Quarantäne. Plugin-Architektur erweitert für interne
Threat-Intelligence-Quellen. Docker-Deployment skaliert Worker je nach
Analyselast.
url: https://strangebee.com/cortex
skillLevel: intermediate
domains:
- incident-response
- malware-analysis
phases:
- analysis
platforms:
- Linux
tags:
- automation
- threat-intel
icon: 🧩
license: AGPL v3
accessType: download
- name: Elasticsearch
type: software
description: >-
Durchsucht Petabytes forensischer Logs in Echtzeit durch verteilte
Lucene-basierte Volltextsuche für moderne SOC-Infrastrukturen. JSON-native
Architektur verarbeitet strukturierte und unstrukturierte Ermittlungsdaten
gleichzeitig. Aggregations-Framework erstellt komplexe Timeline-Analysen,
Geo-Queries korrelieren Events geografisch. Machine-Learning-Features
erkennen Anomalien automatisch. Horizontal skalierbar von Single-Node bis
Multi-Datacenter-Clustern. Basis für ELK-Stack und SIEM-Systeme.
url: https://www.elastic.co/elasticsearch
skillLevel: intermediate
domains:
- incident-response
- network-forensics
phases:
- analysis
platforms:
- Linux
- Windows
tags:
- search
- big-data
icon: 🔍
license: Elastic-2.0 OR SSPL-1.0
accessType: download
- name: Elliptic
type: software
description: >-
Die kommerzielle Blockchain-Analytics-Plattform konkurriert mit
Chainalysis durch erweiterte Compliance-Features und RegTech-Integration.
Clustering-Algorithmen identifizieren Dienstleister durch
Transaktionsmusteranalyse: Exchanges, Darknet-Markets, Mixer,
Ransomware-Wallets. Die Compliance-Suite bietet Echtzeitüberwachung von
OFAC/EU-Sanktionslisten. Besonders stark: DeFi-Protokollanalyse dekodiert
Smart-Contract-Interaktionen, Cross-Chain-Tracking folgt Geldern über
verschiedene Blockchains hinweg, Ermittlungswerkzeuge für komplexe
Geldwäsche-Schemata. API-Integration ermöglicht programmatische
Integration. Unterstützt Bitcoin, Ethereum, und 15+ andere Blockchains.
Enterprise-Deployment für Banken, Exchanges und Strafverfolgung. Der
europäische Fokus macht es zur Alternative für EU-basierte
Organisationen.
url: https://www.elliptic.co
skillLevel: intermediate
domains:
- fraud-investigation
phases:
- analysis
platforms:
- Web
tags:
- blockchain-analysis
- compliance-screening
- sanctions-checking
- defi-analysis
- cross-chain-tracking
- aml-workflows
- court-reporting
icon:
license: Proprietary
- name: FACT
type: software
description: >-
BSI-Framework automatisiert IoT-Firmware-Bulk-Analyse durch intelligente
Extraktion von Dateisystemen, Crypto-Keys und Backdoor-Detection.
Vergleicht Firmware-Versionen, identifiziert CVE-Matches und erstellt
Vulnerability-Reports für Router, Smart-Devices und Embedded-Systems.
skillLevel: advanced
url: https://github.com/fkie-cad/FACT_core
icon: 🔧
domains:
- ics-forensics
- malware-analysis
phases:
- analysis
tags:
- firmware
- automation
platforms:
- Linux
accessType: download
license: GPL v3
knowledgebase: false
- name: FOCA
type: software
description: >-
OSINT-Tool extrahiert Metadaten aus öffentlichen Dokumenten für
Infrastructure-Reconnaissance. Sammelt Mitarbeiter-Namen,
Software-Versionen, interne Netzwerkpfade und erstellt Angriffsvektoren
aus PDF/Office-Dateien. Perfekt für Social-Engineering-Vorbereitung und
Target-Profiling.
skillLevel: beginner
url: https://github.com/ElevenPaths/FOCA
icon: 🗂️
domains:
- static-investigations
- fraud-investigation
phases:
- examination
tags:
- metadata
- osint
platforms:
- Windows
accessType: download
license: GPL v3
knowledgebase: false
- name: Firmware Analysis Toolkit
type: software
description: >-
Attifys Python-Framework automatisiert die komplexe Firmware-Emulation
für Dynamic-Analysis von IoT-Geräten. Basiert auf Firmadyne-Research aber
erweitert um praktische Exploitation-Tools. Automatischer Workflow:
Binwalk-Extraction → Filesystem-Reconstruction → QEMU-Emulation →
Network-Service-Discovery → Vulnerability-Scanning. Besonders wertvoll:
Web-Interface-Crawler findet Admin-Panels automatisch,
Default-Credential-Testing, SQL-Injection-Fuzzing der Management-
Interfaces. Die ARM/MIPS-Emulation ermöglicht Interactive-Debugging mit
GDB. Network-Simulation stellt Internet-Connectivity bereit.
Metasploit-Integration für Automated-Exploitation. Vulnerability- Database
korreliert Findings mit CVEs. Docker-Setup vereinfacht komplexe
Dependencies. Die Academic-Herkunft garantiert Research-Quality aber
User-Experience ist basic. Perfekt für Security-Researcher die
IoT-Firmware auf Scale analysieren müssen. Ergänzt statische Tools um
Dynamic-Analysis-Capabilities.
skillLevel: advanced
url: https://github.com/attify/firmware-analysis-toolkit
icon: 📦
domains:
- ics-forensics
- malware-analysis
phases:
- analysis
tags:
- emulation
- firmware
platforms:
- Linux
accessType: download
license: MIT
knowledgebase: false
- name: GCHQ Tools
type: software
description: >-
Sammlung forensischer Werkzeuge der britischen GCHQ mit CyberChef als
Kernstück für Datenmanipulation und Dekodierung. Entschlüsselt Base64,
XOR-Verschlüsselung und andere Obfuskierungstechniken, extrahiert
versteckte Strings aus Binärdateien. Analysiert Entropie-Muster für
Verschlüsselungserkennung. Browser-basierte Bedienung ohne Installation,
Rezept-System für komplexe Verarbeitungsketten. Unverzichtbar für
Malware-Deobfuskation und schnelle Triage verdächtiger Artefakte.
url: https://gchq.github.io/CyberChef
skillLevel: beginner
domains:
- domain-agnostic-software
phases:
- analysis
platforms:
- Web
tags:
- encoding
- crypto
- parsing
icon: 🥄
license: Apache 2.0
accessType: download
- name: Gephi
type: software
description: >-
Open-Source Graph-Visualization und Network-Analysis-Tool spezialisiert
auf Large-Scale-Dataset-Processing durch Force-Atlas-Layout-Algorithmen
und Community-Detection-Methods. Importiert Financial-Transaction-Data aus
CSV/GEXF-Formats, identifiziert Money-Laundering-Patterns,
Shell-Company-Networks und Fraud-Rings durch Statistical-Network-Analysis.
Modularity-Algorithmen segmentieren große Netzwerke automatisch in
Communities, Betweenness-Centrality identifiziert Key-Players und
Bottlenecks. Besonders effektiv bei Datasets mit 100k+ Nodes für
Financial-Crime-Investigations und Social-Network-Analysis.
Dynamic-Network-Analysis für Time-Series-Data, Export-Capabilities für
Report-Generation und Courtroom-Presentations. Plugin-Ecosystem erweitert
Analysis-Capabilities für Domain-Specific-Use-Cases.
url: https://gephi.org
skillLevel: intermediate
domains:
- fraud-investigation
- network-forensics
phases:
- analysis
platforms:
- Windows
- macOS
- Linux
tags:
- graph-analysis
- visualization
icon: 🕸️
license: GPL-3.0 OR CDDL-1.0
accessType: download
- name: Google Earth Pro
type: software
description: >-
Forensische Geo-Intelligence-Plattform mit historischen Satellitenbildern
ab 1984 für Timeline-Analysen. Visualisiert GPS-Tracks, misst
Tatort-Distanzen präzise und erstellt 3D-Rekonstruktionen. KML-Import
ermöglicht Movement-Pattern-Analysis für Alibis und Bewegungsprofile.
skillLevel: beginner
url: https://www.google.com/earth/versions/#earth-pro
icon: 🌐
domains:
- fraud-investigation
phases:
- reporting
tags:
- satellite
- osint
platforms:
- Windows
- macOS
accessType: download
license: Freeware
knowledgebase: false
- name: GrayKey
type: software
description: >-
Grayshift Technologies entwickelt die kontroverse iOS-Forensik-Lösung für
Strafverfolgung - eine dedizierte Hardware-Box die iPhones durch
Zero-Day-Exploits entsperrt. Die Lightning-Kabel-Verbindung umgeht Apples
USB-Restricted-Mode und Secure-Enclave-Schutz. Zwei Varianten:
GrayKey-On-Premises für lokale Nutzung, GrayKey-Connected mit Cloud-
Updates für neueste Exploits. Unterstützt iOS 7-17 mit wechselnder
Geräte-Coverage je nach verfügbaren Exploits. Die Brute-Force-Engine
knackt 4-6 stellige PINs in Stunden bis Tagen. Besonders wertvoll:
Partial-Extraction auch bei verschlüsselten Geräten, AFU/BFU-State-
Analysis, Keychain-Decryption. Der Preis (30.000€+) und ethische Bedenken
limitieren auf Strafverfolgung. Regelmäßige Exploits werden durch
iOS-Updates zunichte gemacht - ein Katz-und-Maus-Spiel zwischen Apple und
Grayshift. Standard-Tool in US-Polizei-Departments trotz rechtlicher und
ethischer Kontroversen um Überwachungstechnologie.
skillLevel: advanced
url: https://grayshift.com/graykey
icon: 🔑
domains:
- mobile-forensics
phases:
- data-collection
tags:
- ios-unlocking
- zero-day-exploits
- hardware-solution
- brute-force
- keychain-extraction
- law-enforcement
platforms:
- iOS
accessType: hardware
license: Proprietary
knowledgebase: false
- name: IDA Pro
type: software
description: >-
Industry-Standard Reverse-Engineering-Platform seit über 30 Jahren mit
Disassembler für 50+ Prozessor-Architekturen von x86/x64 über ARM, MIPS
bis zu exotischen DSPs und Custom-Silicon. Hex-Rays Decompiler wandelt
Assembly-Code in lesbaren C-Pseudocode um mit Variable-Recovery und
Type-Reconstruction. Interactive Cross-References visualisieren
Code-Beziehungen und Call-Graphs für komplexe Binary-Analysis.
FLIRT-Signature-Datenbank identifiziert Standard-Bibliotheken und
Known-Functions automatisch für Noise-Reduction. IDAPython ermöglicht
tiefgreifende Automatisierung komplexer Analysen durch vollständige
API-Access. Collaborative-Features für Multi-Analyst-Teams, besonders
stark bei Advanced-Malware-Dekonstruktion und
Zero-Day-Vulnerability-Research.
url: https://hex-rays.com/ida-pro
skillLevel: advanced
domains:
- malware-analysis
- static-investigations
phases:
- analysis
platforms:
- Windows
- macOS
- Linux
tags:
- disassembler
- decompiler
icon: 🖥️
license: Proprietary
accessType: commercial
- name: Kibana
type: software
description: >-
Verwandelt forensische Rohdaten in aussagekräftige Dashboards und
Echtzeit-Analysen für Incident-Response-Teams. Timeline-Visualisierungen
korrelieren Events über verschiedene Systeme, Geo-Maps zeigen
Angriffs-Ursprünge. Heat-Maps identifizieren Aktivitätsmuster automatisch.
Drag-and-Drop-Interface erstellt komplexe Queries ohne
Programmierkenntnisse. Canvas erstellt Infografiken für
Management-Reports, Machine-Learning-Integration erkennt Anomalien.
Dashboard-Sharing für SOC-Teams.
url: https://www.elastic.co/kibana
skillLevel: beginner
domains:
- incident-response
phases:
- analysis
- reporting
platforms:
- Linux
- Windows
tags:
- dashboards
- analytics
icon: 📊
license: "Elastic\_License\_/\_SSPL"
accessType: download
- name: LiME
type: software
description: >-
Linux Memory Extractor ermöglicht forensisch saubere RAM-Akquisition auf
Linux-Systemen durch dynamisch ladbares Kernel-Modul. Besonders wertvoll:
Zero-Contamination durch minimalen Footprint, Network-Streaming überträgt
RAM direkt an Remote-Analyst ohne lokale Storage, Format-Options (Raw,
Padded, ELF) für verschiedene Analysis-Tools. Die Cross-Compilation
unterstützt embedded Systems und IoT-Geräte. Android-Portierung
ermöglicht Mobile-Memory-Forensics. Automatische Kernel-Symbol-Resolution
für Volatility-Profile-Generation. Die Installation erfordert
Kernel-Headers aber der Build-Prozess ist gut dokumentiert.
TCP-Dump-Integration für simultane Netzwerk-Capture. Besonders wichtig
für Container-Forensik und Cloud-Incidents wo traditionelle Tools
versagen. Der Standard für Linux-Memory-Acquisition in professionellen
DFIR-Teams. Ergänzt Windows-Tools wie WinPmem für heterogene Umgebungen.
skillLevel: advanced
url: https://github.com/504ensicsLabs/LiME
icon: 🧠
domains:
- incident-response
- mobile-forensics
phases:
- data-collection
tags:
- memory
- acquisition
- scenario:memory_dump
- memory-analysis
- ram-acquisition
- kernel-module
platforms:
- Linux
- Android
accessType: download
license: GPL v2
knowledgebase: false
- name: Loki
type: software
description: >-
Florian Roths Portable-IOC-Scanner bringt Enterprise-Level-Threat-Hunting
auf jeden Windows-Endpoint ohne Agent-Installation. Die Python-basierte
Engine scannt File-Hashes gegen NSRL-Whitelist und Custom-IOC-Sets,
YARA-Rules gegen Memory und Dateisystem, Registry-Keys nach Malware-
Persistence, Running-Processes nach bekannten Threats. Besonders
wertvoll: Network-Share-Scanning durchsucht ganze Domänen,
False-Positive-Reduction durch Whitelist-Management, Detailed-Logging für
Compliance-Audits. Configuration-Files steuern Scan-Intensität vs.
Performance. Integration mit MISP für IOC-Updates. Die Executable-Version
läuft ohne Python-Installation. Härtungs-Checks validieren Sicherheits-
Konfigurationen. Sigma-Rule-Support für Log-Analysis. Community- IOCs
halten Threat-Database aktuell. Perfekt für Rapid-Response wenn
vollständige EDR-Lösungen fehlen. Standard-Tool in vielen
CERT-Incident-Response-Kits. Der Einstieg in professionelles
Threat-Hunting ohne Budget-Hürden.
skillLevel: intermediate
url: https://github.com/Neo23x0/Loki
icon: 🔎
domains:
- incident-response
phases:
- examination
tags:
- ioc
- yara
platforms:
- Windows
- Linux
accessType: download
license: GPL v3
knowledgebase: false
- name: Maltego
type: software
description: >-
OSINT-Link-Analysis-Platform transformiert manuelle Recherchen in
automatisierte visuelle Netzwerk-Investigations durch umfangreiche
Transform-Engine-Ecosystem. Korreliert automatisch Domains, IP-Adressen,
Email-Addresses, Social-Media-Accounts und Phone-Numbers für
Attribution-Analysis. Machine-Learning-Enhanced-Clustering identifiziert
BEC-Fraud-Networks, Botnet-Infrastructure und
Multi-Stage-Attack-Campaigns. Transform-Hub erweitert Datenquellen um 100+
Commercial- und Open-Source-Intelligence-Feeds. Maltego CE bietet
Community-Edition mit Basic-Transforms kostenlos, Commercial-Versions
integrieren Premium-Data-Sources. Automated-Reconnaissance-Workflows für
Threat-Actor-Profiling und Infrastructure-Mapping reduzieren manuelle
Investigation-Time erheblich.
url: https://www.maltego.com
skillLevel: intermediate
domains:
- fraud-investigation
- network-forensics
phases:
- analysis
platforms:
- Windows
- macOS
- Linux
tags:
- osint
- link-analysis
icon: 🌐
license: Proprietary
- name: OnlyOffice
type: software
description: >-
Kollaborative Bürosuite mit vollständiger Microsoft-Kompatibilität für
forensische Berichtserstellung ohne Vendor-Lock-in. Echtzeit-Co-Editing
ermöglicht simultane Reporterstellung durch mehrere Ermittler,
Versionshistorie dokumentiert alle Änderungen für Audit-Trails.
SSO-Integration und granulare Berechtigungen sichern
Multi-User-Forensik-Workflows. Self-Hosting-Option für maximale
Datenkontrolle bei sensiblen Ermittlungen.
url: https://www.onlyoffice.com
skillLevel: beginner
domains:
- collaboration-general
domain-agnostic-software:
- collaboration-general
phases:
- reporting
platforms:
- Windows
- Linux
- macOS
tags:
- office
- collaboration
icon: 📄
license: AGPL-3.0 OR Apache-2.0
accessType: download
- name: OpenCTI
type: software
description: >-
Cyber-Threat-Intelligence-Plattform orchestriert strukturierte IOC-Analyse
durch STIX-kompatible Knowledge-Graphs. Automatische Enrichment-Pipeline
korreliert scheinbar unabhängige Indicators zu Attack-Campaigns.
Confidence-Scoring gewichtet Intelligence-Qualität für präzise
Threat-Attribution.
skillLevel: intermediate
url: https://filigran.io/platforms/opencti
icon: 🗂️
domains:
- incident-response
phases:
- analysis
tags:
- threat-intel
- graph
platforms:
- Linux
accessType: download
license: AGPL v3
knowledgebase: false
- name: Oxygen Forensic Suite
type: software
description: >-
Mobile-Forensik-Alternative mit Deep-Extraction-Capabilities für
Android-Systeme und spezialisierte Decryption-Engines für verschlüsselte
Messenger. Telegram-Secret-Chat-Dekryptierung durch proprietäre Methoden
und Live-Memory-Dumps von aktiven Geräten ohne Reboot-Requirement.
Analysiert über 50 Cloud-Services mit Direct-API-Access ohne
Premium-Pricing-Modell oder zusätzliche Lizenzkosten. Besonders stark bei
chinesischen Smartphones (Xiaomi, Huawei, OnePlus) mit proprietären
Security-Mechanismen und Custom-Android-Versionen.
Mobile-Triage-Capability für Vor-Ort-Screening, regelmäßige Updates für
neue App-Versionen und Android-Security-Patches innerhalb von 48 Stunden.
url: https://www.oxygenforensics.com
skillLevel: advanced
domains:
- mobile-forensics
phases:
- examination
- analysis
platforms:
- Windows
tags:
- mobile
- cloud
- decryption
icon: 📱
license: Proprietary
- name: Radare2
type: software
description: >-
Open-Source modulares Reverse-Engineering-Framework vereint Disassembler,
Debugger, Hex-Editor und Binary-Analysis-Tools in mächtiger
Command-Line-Suite für Scriptable-Workflows. r2pipe-Integration bindet
Framework nahtlos in Python/Go/JavaScript-Scripts für
Automated-Analysis-Pipelines. Visual-Mode bietet interaktive Pseudo-GUI im
Terminal mit Navigation und Editing-Capabilities. Unterstützt 20+
CPU-Architekturen von x86 über ARM bis WebAssembly für Firmware-Analysis,
Embedded-Systems und CTF-Challenges. Scripting-Engine automatisiert
komplexe Multi-Step-Analysen, Plugin-System erweitert Funktionalität.
Active-Community-Development garantiert kontinuierliche Updates für neue
Architekturen und File-Formats. Besonders stark bei Embedded-Forensics und
IoT-Security-Analysis.
url: https://rada.re/n/radare2.html
skillLevel: advanced
domains:
- malware-analysis
phases:
- analysis
platforms:
- Windows
- Linux
- macOS
tags:
- reverse-engineering
- scripting
icon: 🗡️
license: LGPL v3
accessType: download
- name: Rekall
type: software
description: >-
Memory-Analysis-Framework mit Cloud-Scale-Capabilities und innovativer
Live-Memory-Analysis über HTTP-Endpoints für Remote-Forensics.
AFF4-Streaming-Support ermöglicht Untersuchung von Memory-Dumps ohne
lokale Storage durch On-Demand-Block-Loading. Jupyter-Notebook-Integration
schafft interaktive Speicher-Forensik-Umgebung für Collaboration zwischen
Analysten und Dokumentation. Web-UI demokratisiert Memory-Forensics für
nicht-technische Ermittler durch Point-and-Click-Interface. Besonders
stark bei verteilten Ermittlungen und Cloud-Infrastructure-Analysis mit
horizontaler Skalierung. Python-API ermöglicht Custom-Plugin-Development,
obwohl Google Development 2018 zugunsten anderer Projekte einstellte.
url: https://github.com/google/rekall
skillLevel: advanced
domains:
- incident-response
phases:
- analysis
platforms:
- Windows
- Linux
- macOS
tags:
- memory
- python
icon: 🧬
license: Apache 2.0
accessType: download
- name: Suricata
type: software
description: >-
Multi-Threading-IDS-Engine analysiert 100Gbit-Traffic durch
GPU-Acceleration und
Hyperscan-Pattern-Matching für Real-Time-Threat-Detection. Lua-Scripts erstellen
Custom-IOC-Detection-Logic, HTTP-Keyword-Matching extrahiert C2-Communication-Patterns.
TLS-Certificate-Fingerprinting identifiziert Malware-Infrastructure, File-Extraction
aus Network-Streams ermöglicht Payload-Analysis. JSON-Logs integrieren in ELK-Stack-Pipelines.
url: https://suricata.io
skillLevel: intermediate
domains:
- network-forensics
phases:
- analysis
platforms:
- Linux
- Windows
tags:
- ids
- nsm
icon: 🛡️
license: GPL v2
accessType: download
- name: VirusTotal
type: software
description: >-
Google's Malware-Intelligence-Aggregation-Platform kombiniert 70+
Antivirus-Engine-Erkennungen für sofortige Multi-Vendor-Threat-Assessment
von Files, URLs, IP-Addresses und Domains. Retro-Hunt-Service durchsucht
historische Malware-Database mit YARA-Rules für ähnliche Samples durch
Fuzzy-Hashing und Behavioral-Signatures. Interactive-Graph-View
visualisiert Malware-Family-Relationships, C2-Infrastructure-Connections
und Campaign-Attribution durch Metadata-Correlation. Livehunt-Service
alertiert in Real-Time bei neuen YARA-Rule-Matches für proaktive
Threat-Hunting und IOC-Development. Community-Intelligence erweitert
Automated-Detection durch Analyst-Comments, Crowdsourced-Verdicts und
Threat-Actor-Attribution-Data für Enhanced-Context.
url: https://www.virustotal.com
skillLevel: beginner
domains:
- malware-analysis
phases:
- examination
platforms:
- Web
tags:
- sandbox
- av-scan
icon: 🦠
license: Freemium
knowledgebase: true
- name: WinHex
type: software
description: >-
Vielseitiger Hex-Editor mit forensischen Superkräften für Disk-Cloning,
RAM-Editing und File-Recovery durch Signature-Scanning.
NTFS-Alternate-Data-Streams-Support, MFT-Browser und Registry-Viewer
parsen Strukturen direkt. Template-Engine automatisiert
Datenstruktur-Parsing für komplexe Analysen.
skillLevel: intermediate
url: https://x-ways.net/winhex
icon: 🗜️
domains:
- static-investigations
phases:
- examination
tags:
- hex-editor
- carving
platforms:
- Windows
accessType: commercial
license: Proprietary
knowledgebase: false
- name: WinPmem
type: software
description: >-
Velociraptor-Memory-Imager mit flexiblem Driver-System für
Windows-RAM-Akquisition. Drei Modi: Kernel-Driver für Maximum-Access,
WinAPI für Modern-Windows, Live-Service für Remote-Collection.
ELF64-Output mit Metadaten für Volatility-Auto-Detection,
Pagefile-Integration erweitert Memory-Space.
skillLevel: advanced
url: https://winpmem.velocidex.com
icon: 💾
domains:
- incident-response
phases:
- data-collection
tags:
- memory
- acquisition
- scenario:memory_dump
- memory-analysis
- ram-acquisition
- forensic-imaging
platforms:
- Windows
accessType: download
license: GPL v2
knowledgebase: false
- name: Zeek
type: software
description: >-
Protocol-Analysis-Framework dekodiert Network-Traffic in strukturierte
Logs für
forensische Timeline-Reconstruction: Connection-Tracking, HTTP-Transactions, DNS-Queries,
TLS-Handshakes. Scripting-Language erstellt Custom-Protocol-Decoder und
Behavioral-Anomaly-Detection, File-Analysis erkennt Malware-Transfers automatisch.
Cluster-Deployment skaliert auf Multi-10Gbit-Links mit Load-Balancing.
url: https://zeek.org
skillLevel: advanced
domains:
- network-forensics
phases:
- analysis
platforms:
- Linux
- macOS
tags:
- nsm
- scripting
icon: 📈
license: BSD
accessType: download
- name: osquery
type: software
description: >-
SQL-basiertes Endpoint-Telemetry-System exposiert OS-State als querybare
Tables:
laufende Prozesse, Registry-Keys, Scheduled-Tasks, Network-Connections. Fleet-Manager
orchestriert Hunting-Queries über tausende Endpoints parallel, Event-Framework
monitored Real-Time-Changes für Persistence-Detection. Custom-Tables erweitern
für Application-Logs und Cloud-Instance-Metadata-Correlation.
url: https://osquery.io
skillLevel: intermediate
domains:
- incident-response
phases:
- examination
platforms:
- Linux
- Windows
- macOS
tags:
- endpoint
- sql
icon: 🗄️
license: Apache 2.0
accessType: download
- name: tcpdump
type: software
description: >-
Fundamentaler Packet-Sniffer mit BPF-Filter-Syntax für chirurgisch präzise
Packet-Selektion seit 1987. Memory-effiziente Capture bei
High-Speed-Interfaces, Ring-Buffer-Mode rotiert automatisch. libpcap-Basis
macht Captures kompatibel zu allen Analysis-Tools. Verfügbar auf jedem
Unix-System.
skillLevel: intermediate
url: https://www.tcpdump.org
icon: 🐙
domains:
- network-forensics
phases:
- data-collection
tags:
- pcap
- cli
platforms:
- Linux
- macOS
- BSD
accessType: download
license: BSD
knowledgebase: false
- name: x64dbg
type: software
description: >-
Kostenloser Windows-Debugger mit moderner 64-Bit-Architektur und aktivem
Plugin-Ecosystem. Anti-Anti-Debug-Plugins umgehen Evasion-Techniken,
Script-Engine automatisiert repetitive Tasks. Memory-Map-Viewer,
Conditional-Breakpoints und Multi-Threading-Support für moderne
Malware-Dynamic-Analysis.
skillLevel: advanced
url: https://x64dbg.com
icon: 🐛
domains:
- malware-analysis
phases:
- analysis
tags:
- debugger
- reverse-engineering
platforms:
- Windows
accessType: download
license: GPL v3
knowledgebase: false
- name: grep
type: software
description: >-
Filtert forensische Logs und Speicher-Dumps durch leistungsstarke reguläre
Ausdrücke für präzise Beweissuche. GNU-Implementierung unterstützt drei
Regex-Dialekte und Farb-Highlighting für schnelle Mustererkennung.
Zero-Copy-Block-Pufferung ermöglicht Höchstgeschwindigkeit auch in
riesigen Dateien. Pipe-Kompatibilität macht grep zum Grundbaustein
unzähliger DFIR-Einzeiler für Artefakt-Parsing und Netzwerk-Flow-Analyse.
Verfügbar auf jeder Unix-Plattform ohne Installation.
url: https://www.gnu.org/software/grep/
skillLevel: beginner
domains:
- incident-response
- static-investigations
phases:
- examination
- analysis
platforms:
- Linux
- macOS
- Windows
tags:
- cli
- regular-expressions
- piping
- filtering
related_concepts:
- Regular Expressions (Regex)
icon: 🔍
license: "GPL\_v3"
accessType: download
- name: md5sum / sha256sum
type: software
description: >-
Berechnet kryptografische Prüfsummen für Integritätsprüfung forensischer
Images und Artefakte mit minimaler Systembelastung. Verifiziert
Chain-of-Custody durch Hash-Vergleiche vor und nach Analysen.
Stream-Filter-Fähigkeit ermöglicht simultane Hash-Berechnung während
Disk-Imaging. Auf nahezu jeder Unix-Plattform vorinstalliert, daher
überall verfügbar für spontane Verifizierungen. Erzeugt standardkonforme
Prüfsummen für gerichtliche Verwertbarkeit.
url: https://www.gnu.org/software/coreutils/
skillLevel: beginner
domains:
- incident-response
- static-investigations
- malware-analysis
phases:
- examination
- analysis
platforms:
- Linux
- macOS
- Windows
tags:
- cli
- hashing
- integrity
related_concepts:
- Hash Functions & Digital Signatures
icon: 🔢
license: GPL-3.0
- name: hashdeep
type: software
description: >-
Erstellt rekursive Hash-Sammlungen für umfangreiche Datenträger-Audits mit
mehreren Hash-Algorithmen parallel. Baseline-Auditing erkennt automatisch
neue oder veränderte Dateien bei wiederkehrenden Untersuchungen.
Multithread-Architektur beschleunigt Hash-Berechnung großer Dateimengen
erheblich. Ausgabe in NIST-NSRL oder CSV-Formaten für
Datenbank-Integration. Batch-Export ermöglicht automatisierte
Deduplizierung und Known-Good-Filterung in Enterprise-Umgebungen.
url: https://github.com/jessek/hashdeep
skillLevel: intermediate
domains:
- static-investigations
- cloud-forensics
phases:
- examination
- analysis
platforms:
- Linux
- macOS
- Windows
tags:
- hashing
- auditing
- multihash
icon: 🏷️
license: Public Domain
accessType: download
- name: ssdeep
type: software
description: >-
Berechnet Fuzzy-Hashes für Ähnlichkeitsanalysen zwischen Malware-Varianten
und Dokumentvorlagen ohne exakte Übereinstimmung. Context Triggered
Piecewise Hashing erkennt auch teilweise veränderte Dateien zuverlässig.
Ausgabe-Hashes integrieren sich in YARA-Regeln und
Threat-Intelligence-Datenbanken. Unverzichtbar für
Malware-Familie-Zuordnung und Kampagnen-Tracking. Ergänzt traditionelle
kryptografische Hashes um Ähnlichkeitsdimension.
url: https://ssdeep-project.github.io/ssdeep/
skillLevel: intermediate
domains:
- malware-analysis
- incident-response
phases:
- analysis
platforms:
- Linux
- macOS
- Windows
tags:
- fuzzy-hashing
- similarity
icon: 🔍
license: "GPL\_v2"
accessType: download
- name: hashcat
type: software
description: >-
Knackt Passwort-Hashes durch GPU-beschleunigte Brute-Force-Angriffe für
Credential-Recovery in Ermittlungen. Unterstützt über 300 Hash-Formate von
bcrypt bis Kerberos mit flexiblen Angriffsmodi. OpenCL-Backend nutzt CPUs,
GPUs und FPGAs parallel für maximale Performance. Dictionary-, Mask- und
Hybrid-Attacken decken verschiedene Passwort-Strategien ab. Unverzichtbar
für Credential-Audits und Incident-Response bei Passwort-Diebstahl.
url: https://hashcat.net/hashcat/
skillLevel: advanced
domains:
- incident-response
- fraud-investigation
phases:
- analysis
platforms:
- Linux
- Windows
- macOS
tags:
- password-recovery
- gpu-acceleration
- cracking
- scenario:credential_theft
icon:
license: MIT
accessType: download
- name: Linkurious
type: software
description: >-
Visualisiert komplexe Beziehungsnetzwerke in Betrugs- und
Geldwäsche-Ermittlungen durch intuitive Graph-Analyse-Oberfläche.
Überlagert Neo4j-Datenbanken mit leistungsstarken Filtern und
Geo-Ansichten für versteckte Verbindungen. Zeitachsen-Analysen zeigen
Entwicklung krimineller Netzwerke über Zeit. Automatisierungsvorlagen
beschleunigen wiederkehrende Untersuchungen. Erstellt aussagekräftige
Beweisgrafiken für Gerichtspräsentationen. Speziell für Finanzermittlungen
und Anti-Geldwäsche-Compliance entwickelt.
url: https://linkurious.com/
skillLevel: intermediate
domains:
- fraud-investigation
- network-forensics
- incident-response
phases:
- analysis
- reporting
platforms:
- Web
- Linux
tags:
- graph-visualisierung
- link-analysis
- aml
- fraud
icon: 🕸️
license: Proprietary
accessType: commercial
- name: Android Studio
type: software
description: >-
Analysiert Android-APK-Dateien und erstellt forensische
Re-Packaging-Umgebungen für Mobile-Malware-Untersuchungen. Integrierter
Geräte-Emulator ermöglicht sichere Malware-Detonation ohne
Hardware-Gefährdung. Gradle-Build-System rekompiliert modifizierte Apps
für Behavioral-Analysis. Profiler und Debugging-Tools tracken verdächtige
Aktivitäten in Echtzeit. Layout-Inspector analysiert
UI-Manipulation-Techniken. ADB-Integration für direkte Geräte-Forensik und
App-Extraktion.
url: https://developer.android.com/studio
skillLevel: intermediate
domains:
- mobile-forensics
- malware-analysis
phases:
- examination
- analysis
platforms:
- Windows
- macOS
- Linux
tags:
- ide
- android
- emulator
- debugging
icon: 📱
license: Freeware
accessType: download
- name: ADB
type: software
description: >-
Die "Android Debug Bridge" ist grundsätzlich ein Werkzeug für
Android-Entwickler, wird aber auch gern in der Mobile-Forensik genutzt.
Sie ermöglicht bei Android-Geräten forensische Datenextraktion über USB
oder Netzwerk teilweise ohne Root-Zugriff, besonders einfach bei älteren
Geräten. Erstellt logische Backups von App-Daten, installiert forensische
Analysewerkzeuge.
url: https://developer.android.com/tools/adb
skillLevel: intermediate
domains:
- mobile-forensics
- incident-response
phases:
- data-collection
- examination
platforms:
- Windows
- macOS
- Linux
tags:
- cli
- mobile
- device-management
- extraction
icon: 🔌
license: Freeware
accessType: download
- name: dc3dd
type: software
description: >-
Erstellt militärstandard-konforme Festplatten-Images mit detailliertem
forensischen Logging für Strafverfolgung. Simultane Multi-Hash-Berechnung
und segmentweise Verifizierung gewährleisten Beweisintegrität. Umfassendes
Error-Logging dokumentiert jeden Sektor-Lesefehler für
Chain-of-Custody-Compliance. Pattern-Fill-Funktionen für DoD-konforme
sichere Löschung. Split-Archive-Unterstützung mit Resume-Fähigkeit für
unterbrochene Long-Running-Images.
url: https://sourceforge.net/projects/dc3dd/
skillLevel: intermediate
domains:
- incident-response
- static-investigations
phases:
- data-collection
platforms:
- Linux
- Windows
tags:
- disk-imaging
- hashing
- wiping
- logging
- cli
related_concepts:
- Hash Functions & Digital Signatures
icon: 💾
license: "GPL\_v2"
accessType: download
- name: ddrescue
type: software
description: >-
Rettet Daten von beschädigten Datenträgern durch intelligente
Multi-Pass-Strategie für schwierige forensische Akquisitionen. Sichert
zunächst alle lesbaren Bereiche, bevor problematische Sektoren mehrfach
versucht werden. Map-File protokolliert jeden Leseversuch für
Resume-Fähigkeit ohne erneute Medien-Belastung. Fill-Modus bereitet
schwierige Bereiche für nachträgliche Dateisystem-Reparaturen vor.
Unverzichtbar für defekte Beweismittel-Datenträger.
url: https://www.gnu.org/software/ddrescue/
skillLevel: intermediate
domains:
- static-investigations
- fraud-investigation
phases:
- data-collection
platforms:
- Linux
- macOS
- Windows
tags:
- data-recovery
- disk-imaging
- map-file
- cli
- scenario:disk_imaging
icon: 🛟
license: "GPL\_v2+"
accessType: download
- name: REMnux
type: software
description: >-
Ubuntu-basierte Malware-Analyse-Distribution vereint kuratierte
Reverse-Engineering-Tools in sofort einsatzbereiter VM-Umgebung.
Vorkonfigurierte Integration von Ghidra, Radare2, Volatility und
Netzwerk-Analyse-Tools spart Stunden manueller Installation.
Spezialisierte Malware-Detonation-Umgebung mit Netzwerk-Simulation und
Traffic-Analyse. Regelmäßige Updates halten Tool-Sammlung aktuell.
Docker-Integration für sichere Malware-Sandboxing. Paketverwaltung
vereinfacht Tool-Erweiterung.
url: https://remnux.org/
skillLevel: intermediate
domains:
- malware-analysis
- incident-response
- network-forensics
phases:
- examination
- analysis
platforms:
- Linux
tags:
- linux-distro
- toolkit
- reverse-engineering
- virtualization
icon: 🐧
license: mixed-oss
accessType: download
- name: Android Backup Extractor
type: software
description: >-
Entpackt und entschlüsselt Android-Backup-Archive aus ADB-Kommandos für
forensische App-Daten-Analyse ohne Root-Zugriff. Integrierte AES-Routinen
dekryptieren passwortgeschützte Backups automatisch. Extrahiert versteckte
App-Sandboxes und Systemdaten aus .ab-Dateien. Java-basierte Architektur
funktioniert plattformübergreifend. Batch-Processing für
Multiple-Device-Analysen. Unverzichtbares Werkzeug für Mobile-Forensik bei
eingeschränkten Extraktionsmöglichkeiten.
url: https://github.com/nelenkov/android-backup-extractor
skillLevel: intermediate
domains:
- mobile-forensics
- static-investigations
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
tags:
- cli
- backup
- encryption
- artifact-extraction
- android
- scenario:file_recovery
icon: 📦
license: Apache-2.0
accessType: download
- name: CAINE
type: software
description: >-
Ubuntu-basierte Live-Forensik-Distribution bündelt über 150 Werkzeuge in
schreibgeschützter Umgebung für kontaminationsfreie Ermittlungen.
UnBlock-GUI ermöglicht gezieltes Aufheben der Write-Block-Funktion für
einzelne Geräte. UEFI-Support und Kernel 6.8 gewährleisten moderne
Hardware-Kompatibilität. Forensics-Menü organisiert Tools nach
Untersuchungsphasen. Live-Boot ohne Installation schützt Host-System vor
Kontamination.
url: https://www.caine-live.net/
skillLevel: beginner
domains:
- incident-response
- static-investigations
- network-forensics
- mobile-forensics
phases:
- data-collection
- examination
- analysis
platforms:
- Linux
domain-agnostic-software:
- specific-os
tags:
- live-distro
- imaging
- write-blocking
- gui
- cli
- scenario:disk_imaging
icon: 💿
license: "LGPL\_2.1+"
accessType: download
- name: Aircrack-ng
type: software
description: >-
Umfassende WLAN-Forensik-Suite analysiert 802.11-Verkehr und identifiziert
Sicherheitsverletzungen in drahtlosen Netzwerken. Airodump-ng sammelt
Pakete und deckt versteckte Netzwerke auf, Aireplay-ng injiziert
Deauth-Frames für Handshake-Erfassung. WEP-Schlüssel-Rekonstruktion in
Minuten, WPA2-PSK-Recovery mit Dictionary-Angriffen.
Rogue-Access-Point-Erkennung und Client-Probing-Analyse für
Bewegungsprofile. Ein sehr etabliertes Tool, das immer noch seine Relevanz
vor allem auch im Pentesting besitzt.
url: https://www.aircrack-ng.org/
skillLevel: advanced
domains:
- network-forensics
- incident-response
phases:
- data-collection
- analysis
platforms:
- Windows
- Linux
- macOS
- BSD
tags:
- cli
- wireless
- packet-capture
- injection
- cracking
- scenario:credential_theft
icon: 📦
license: "GPL\_v2\_(+\_BSD/OpenSSL\_components)"
accessType: download
- name: WiFi Pineapple
type: software
description: >-
Spezialisierte Rogue-Access-Point-Hardware für WLAN-Penetrationstests und
forensische Netzwerk-Analyse. PineAP-Suite führt automatische
Reconnaissance durch, erfasst Handshakes und Enterprise-Credentials.
Gezielte Client-Filterung und Cloud-C2-Fernsteuerung für diskrete
Operationen. Browser-basierte GUI vereinfacht komplexe WLAN-Angriffe. Mark
VII und Enterprise-Modelle für verschiedene Einsatzszenarien.
Unverzichtbar für WLAN-Sicherheitsbewertungen und Incident-Response.
url: https://shop.hak5.org/products/wifi-pineapple
skillLevel: intermediate
domains:
- network-forensics
- incident-response
phases:
- data-collection
- analysis
platforms:
- Web
- Hardware
tags:
- rogue-ap
- wireless
- man-in-the-middle
- gui
- web-interface
- scenario:remote_access
icon: 📡
license: Proprietär
- name: Network Protocols & Packet Analysis
type: concept
description: >-
Fundamentale Kenntnisse der Netzwerkprotokolle von Layer 2-7 für
Traffic-Forensik und Incident-Response. TCP/IP-Grundlagen,
HTTP/HTTPS-Header-Analyse, DNS-Tunneling-Erkennung, und
Protokoll-Anomalie-Detection. Session-Rekonstruktion aus PCAP-Dateien,
Payload-Extraktion und C2-Kommunikations-Patterns. Verschlüsselte
Protokolle wie TLS, SSH, VPN-Traffic-Charakteristika.
OSI-Model-Verständnis essentiell für Netzwerk-Forensik und APT-Hunting.
skillLevel: intermediate
url: https://www.iana.org/protocols
icon: 🌐
domains:
- incident-response
- network-forensics
- malware-analysis
- cloud-forensics
phases:
- examination
- analysis
tags:
- protocol-analysis
- packet-inspection
- session-reconstruction
- c2-analysis
- traffic-patterns
- network-baseline
- payload-extraction
- anomaly-detection
knowledgebase: true
- name: File Systems & Storage Forensics
type: concept
description: >-
Tiefgreifendes Verständnis von Dateisystem-Strukturen für forensische
Datenrekonstruktion. NTFS-Metadaten ($MFT, $LogFile, $UsnJrnl),
ext4-Journaling, APFS-Snapshots und HFS+-Forensik. Slack-Space-Analyse,
Bad-Cluster-Hiding, Alternate-Data-Streams und versteckte Partitionen.
Deleted-File-Recovery durch Inode-Strukturen, File-Carving-Prinzipien und
Timestamp-Manipulation-Detection. Cloud-Storage-Forensik für OneDrive,
Google Drive, Dropbox-Artefakte. Volume-Shadow-Copy-Analyse für
Windows-Timeline-Rekonstruktion.
skillLevel: intermediate
url: https://forensicswiki.xyz/wiki/index.php?title=File_Systems
icon: 💾
domains:
- static-investigations
- incident-response
- mobile-forensics
- cloud-forensics
phases:
- examination
- analysis
tags:
- filesystem-analysis
- metadata-extraction
- deleted-data-recovery
- slack-space
- journaling-analysis
- timestamp-forensics
- partition-analysis
- cloud-storage
knowledgebase: true
- name: Timeline Analysis & Event Correlation
type: concept
description: >-
Methodische Korrelation zeitbasierter Artefakte für
Incident-Rekonstruktion und Beweisführung. Super-Timeline-Erstellung aus
heterogenen Quellen, Zeitstempel-Normalisierung und Timezone-Handling.
Pivot-Point-Identifikation, Activity-Gap-Analyse und
Behavioral-Pattern-Erkennung. Correlation-Techniken zwischen
System-Events, User-Activity und Network-Connections.
Anti-Forensik-Detection durch Timeline-Inconsistencies.
Automated-Timeline- Processing und Machine-Learning-basierte
Anomalie-Erkennung für Enterprise-Scale-Investigations.
skillLevel: advanced
url: https://www.sans.org/white-papers/digital-forensics-timeline-analysis/
icon:
domains:
- incident-response
- static-investigations
- network-forensics
- cloud-forensics
phases:
- analysis
- reporting
tags:
- timeline-correlation
- event-sequencing
- temporal-analysis
- super-timeline
- pivot-points
- behavioral-patterns
- anomaly-detection
- anti-forensics-detection
knowledgebase: true
- name: Memory Forensics & Process Analysis
type: concept
description: >-
Volatile-Memory-Strukturen und Process-Internals für
Advanced-Malware-Detection. Virtual-Memory-Layout,
Process-Injection-Techniken, DLL-Hollowing und Process-Ghosting-Erkennung.
Kernel-Structures-Analysis, System-Call-Hooking und
Rootkit-Detection-Methoden. Memory-Dump-Acquisition-Strategien,
Address-Space-Reconstruction und Encrypted-Memory-Handling.
Cross-Platform-Memory-Forensik für Windows, Linux, macOS-Systeme.
Live-Memory-Analysis vs. Dead-Memory-Investigation-Tradeoffs.
skillLevel: advanced
url: >-
https://volatility-labs.blogspot.com/2012/10/movp-31-memory-forensics-taxonomy.html
icon: 🧠
domains:
- incident-response
- malware-analysis
- static-investigations
phases:
- examination
- analysis
tags:
- memory-structures
- process-injection
- rootkit-detection
- kernel-analysis
- address-space
- live-analysis
- malware-hiding
- system-internals
knowledgebase: true
- name: hdiutil
type: software
description: >-
macOS-nativer Disk-Image-Manager erstellt und mountet DMG, ISO,
IMG-Dateien für forensische Analyse. Besonders wertvoll:
Sparse-Image-Creation für Live-Collection, Checksum-Verifizierung mit
CRC32/MD5, Read-Only-Mounting verhindert Beweis-Kontamination.
Komprimierung und Verschlüsselung für sichere Evidence-Storage.
Integration in Automator-Workflows für Batch-Processing. Der Standard für
macOS-Imaging ohne externe Tools.
skillLevel: intermediate
url: https://ss64.com/osx/hdiutil.html
icon: 💿
domains:
- incident-response
- static-investigations
phases:
- data-collection
- examination
platforms:
- macOS
accessType: built-in
license: Proprietary
knowledgebase: false
tags:
- cli
- disk-imaging
- mounting
- apfs
- compression
- encryption
- checksum
- sparse-images
related_concepts:
- Hash Functions & Digital Signatures
- Digital Evidence Chain of Custody
related_software:
- dd
- Fuji
- name: asr
type: software
description: >-
Apple Software Restore führt Block-Level-Restores von macOS-Images durch
und ermöglicht forensisches Cloning ganzer Volumes. Besonders bei
APFS-Container-Forensik wertvoll: Bit-genaue Duplikation inklusive
Metadaten, Snapshot-Preservation und FileVault-Verschlüsselung.
Network-Restore-Fähigkeiten für Remote-Imaging. Der Low-Level-Zugriff
umgeht Dateisystem-Beschränkungen für saubere Akquisition.
skillLevel: advanced
url: https://ss64.com/osx/asr.html
icon: 🔄
domains:
- incident-response
- static-investigations
phases:
- data-collection
platforms:
- macOS
accessType: built-in
license: Proprietary
knowledgebase: false
tags:
- cli
- disk-imaging
- cloning
- apfs
- filevault
- network-restore
- block-level
related_concepts:
- Digital Evidence Chain of Custody
related_software:
- hdiutil
- dd
- name: plutil
type: software
description: >-
Property-List-Parser konvertiert zwischen XML, Binary und JSON-Formaten
für macOS-Artefakt-Analyse. Extrahiert Konfigurationsdaten aus Apps,
System-Preferences und versteckten Plist-Files. Besonders wertvoll:
Binary-Plist-Dekodierung ohne Xcode, Syntax-Validation für korrupte Files,
Batch-Conversion für Massen-Analyse. Command-Line-Integration in
Forensik-Scripts. Unverzichtbar für macOS-Application-Forensik.
skillLevel: beginner
url: https://ss64.com/osx/plutil.html
icon: 📋
domains:
- static-investigations
- incident-response
phases:
- examination
- analysis
platforms:
- macOS
accessType: built-in
license: Proprietary
knowledgebase: false
tags:
- cli
- plist-parser
- xml-conversion
- json-export
- artifact-extraction
- batch-processing
- macos-artifacts
related_concepts:
- File Systems & Storage Forensics
related_software:
- ExifTool
- name: spotlight_parser
type: software
description: >-
Python-Framework analysiert macOS-Spotlight-Index für versteckte
Dateimetadaten und Suchhistorie. Extrahiert gelöschte Referenzen,
Volltext-Indizes und User-Search-Patterns aus .store-Datenbanken.
Rekonstruiert File-Timeline auch nach Löschung, identifiziert externe
Volume-Verbindungen. Besonders wertvoll für User-Activity-Tracking und
Data-Exfiltration-Nachweis auf macOS-Systemen.
skillLevel: intermediate
url: https://github.com/ydkhatri/spotlight_parser
icon: 🔍
domains:
- static-investigations
- incident-response
phases:
- examination
- analysis
platforms:
- macOS
- Linux
- Windows
accessType: download
license: MIT
knowledgebase: false
tags:
- cli
- spotlight-analysis
- metadata-parser
- deleted-file-recovery
- search-history
- python-tool
- macos-artifacts
- user-activity
related_concepts:
- File Systems & Storage Forensics
related_software:
- ALEAPP
- iLEAPP
- name: FSEventsParser
type: software
description: >-
Dekodiert macOS-FSEvents-Logs für vollständige
Dateisystem-Aktivitäts-Timeline ohne Lücken. Trackt Datei-Creation,
Modification, Deletion und Movement auch bei gelöschten Files. Besonders
wertvoll: Millisecond-Precision-Timestamps, Volume-übergreifende Tracking,
Correlation mit anderen Artefakten. Python-basierte Parsing-Engine für
Command-Line-Integration. Standard-Tool für macOS-Timeline-Forensik und
Incident-Reconstruction.
skillLevel: intermediate
url: https://github.com/dlcowen/FSEventsParser
icon: 📊
domains:
- static-investigations
- incident-response
phases:
- examination
- analysis
platforms:
- macOS
- Linux
- Windows
accessType: download
license: GPL-3.0
knowledgebase: false
tags:
- cli
- timeline-analysis
- filesystem-monitoring
- python-tool
- macos-artifacts
- deleted-file-recovery
- high-precision
- correlation-engine
related_concepts:
- Timeline Analysis & Event Correlation
- File Systems & Storage Forensics
related_software:
- Plaso (log2timeline)
- Timesketch
- name: chainbreaker
type: software
description: >-
Python-Tool extrahiert Passwörter, Zertifikate und Schlüssel aus
macOS-Keychain-Dateien für Credential-Recovery. Dekryptiert sowohl Login-
als auch System-Keychains mit User-Passwort oder Master-Key. Besonders
wertvoll: WiFi-Passwort-Extraktion, Certificate-Chain-Analysis,
Secure-Notes-Dekodierung. Batch-Processing für Enterprise-Deployments.
Export in strukturierte Formate für weitere Analyse. Standard für
macOS-Credential-Forensik.
skillLevel: advanced
url: https://github.com/n0fate/chainbreaker
icon: ⛓️
domains:
- static-investigations
- incident-response
phases:
- examination
- analysis
platforms:
- macOS
- Linux
- Windows
accessType: download
license: GPL-3.0
knowledgebase: false
tags:
- cli
- credential-extraction
- keychain-analysis
- password-recovery
- certificate-analysis
- python-tool
- macos-artifacts
- wifi-passwords
related_concepts:
- Hash Functions & Digital Signatures
related_software:
- hashcat
- name: UnifiedLogReader
type: software
description: >-
Alpha-Stadium-Parser für macOS-Unified-Logging-System analysiert
strukturierte Logd-Datenbanken für System-Event-Reconstruction. Extrahiert
versteckte Debug-Messages, Kernel-Events und App-Crashes aus
tracev3-Files. Besonders wertvoll bei Malware-Persistenz-Analysis und
System-Tampering-Detection. Korreliert Events über Process-Boundaries
hinweg. Experimentelle Software mit begrenzter Stability aber einzigartige
Capabilities.
skillLevel: expert
url: https://github.com/ydkhatri/UnifiedLogReader
icon: 📜
domains:
- incident-response
- malware-analysis
phases:
- examination
- analysis
platforms:
- macOS
- Linux
- Windows
accessType: download
license: MIT
knowledgebase: false
tags:
- cli
- log-parser
- unified-logs
- python-tool
- macos-artifacts
- system-events
- kernel-analysis
- experimental
related_concepts:
- Timeline Analysis & Event Correlation
related_software:
- Plaso (log2timeline)
- Aftermath
- name: xmount
type: software
description: >-
Virtuelles Dateisystem mountet forensische Images als Block-Devices für
Live-Analyse ohne Extraktion. Unterstützt EWF, AFF, RAW und DMG-Formate
mit gleichzeitiger Konvertierung zwischen Formaten. Besonders wertvoll:
Cache-System beschleunigt wiederholte Zugriffe, Write-Cache simuliert
beschreibbare Images für Tests. FUSE-basierte Architektur für
Linux/macOS-Integration. Perfekt für Timeline-Tools die direkten
Disk-Zugriff benötigen.
skillLevel: intermediate
url: https://www.pinguin.lu/xmount
icon: 🗄️
domains:
- static-investigations
- incident-response
phases:
- examination
- analysis
platforms:
- Linux
- macOS
accessType: download
license: GPL-3.0
knowledgebase: false
tags:
- cli
- virtual-filesystem
- image-mounting
- format-conversion
- fuse-based
- cache-system
- write-simulation
- cross-format
related_concepts:
- File Systems & Storage Forensics
related_software:
- OSFMount
- ewfmount
- name: ewfmount
type: software
description: >-
FUSE-Wrapper mountet Expert-Witness-Format-Images als reguläre Files für
Standard-Tool-Zugriff. Teil der libewf-Suite ermöglicht Read-Only-Access
auf E01/Ex01-Segmente ohne Vollextraktion. Besonders praktisch:
Integration in Standard-Workflows, Performance-Optimierung für große
Archives, Metadata-Preservation. Cross-Platform-Verfügbarkeit für
heterogene Lab-Umgebungen. Alternative zu proprietären Mounting-Tools.
skillLevel: beginner
url: https://github.com/libyal/libewf/wiki/Mounting
icon: 📁
domains:
- static-investigations
- incident-response
phases:
- examination
platforms:
- Linux
- macOS
accessType: download
license: LGPL-3.0
knowledgebase: false
tags:
- cli
- ewf-mounting
- fuse-filesystem
- read-only
- segment-handling
- cross-platform
- libewf-suite
- performance-optimized
related_concepts:
- Digital Evidence Chain of Custody
related_software:
- xmount
- ewfacquire
- name: iPhone Backup Extractor
type: software
description: >-
Kommerzielle iOS-Backup-Analysis-Suite extrahiert Daten aus
iTunes/Finder-Backups inklusive verschlüsselter Archives. Dekodiert
App-Sandboxes, Keychain-Items und gelöschte SQLite-Records für umfassende
iOS-Forensik. Besonders wertvoll: GUI für nicht-technische Ermittler,
automatische App-Erkennung, Timeline-Export. Unterstützt iOS 3-17 mit
regelmäßigen Updates. Premium-Features für Location-Data und
Advanced-Recovery.
skillLevel: beginner
url: https://www.3utools.com/iphone-backup-extractor/
icon: 📱
domains:
- mobile-forensics
- static-investigations
phases:
- examination
- analysis
platforms:
- Windows
- macOS
accessType: commercial
license: Proprietary
knowledgebase: false
tags:
- gui
- ios-backup
- commercial
- keychain-extraction
- app-analysis
- timeline-export
- encrypted-backup
- sqlite-recovery
related_concepts:
- SQL
- Hash Functions & Digital Signatures
related_software:
- iLEAPP
- Cellebrite UFED
- name: tmutil
type: software
description: >-
Time-Machine-Utility steuert macOS-Backup-System und analysiert
Snapshot-Strukturen für forensische Timeline-Reconstruction. Listet
verfügbare Backups, vergleicht Versionen und extrahiert historische
File-States. Besonders wertvoll: Point-in-Time-Recovery für Evidence,
Metadata-Analyse von Backup-Changes, APFS-Snapshot-Integration.
Thin-Backup-Analysis reduziert Storage-Overhead. Command-Line-Access für
Scripting-Integration.
skillLevel: intermediate
url: https://ss64.com/osx/tmutil.html
icon:
domains:
- static-investigations
- incident-response
phases:
- examination
- analysis
platforms:
- macOS
accessType: built-in
license: Proprietary
knowledgebase: false
tags:
- cli
- backup-analysis
- snapshot-examination
- apfs-snapshots
- version-comparison
- timeline-reconstruction
- point-in-time-recovery
- metadata-analysis
related_concepts:
- Timeline Analysis & Event Correlation
- File Systems & Storage Forensics
related_software:
- ShadowExplorer
- hdiutil
- name: macOS Target Disk Mode Acquisition
type: method
description: >-
Forensische Datensammlung über Target Disk Mode (TDM) durch Drücken der
T-Taste beim Boot-Vorgang. Das Asservat verhält sich wie eine externe
Festplatte über Firewire/Thunderbolt-Verbindung. Vollständiges Verfahren:
1) Hardware-Schreibblocker anschließen, 2) T-Taste beim Boot drücken, 3)
Ziel-Mac per Firewire/Thunderbolt verbinden, 4) Imaging mit dd/hdiutil
durchführen. Limitierungen: nur erste Festplatte verfügbar,
Firmware-Passwort blockiert TDM, Benutzerpasswort für
FileVault-Entschlüsselung erforderlich.
url: https://cloud.cc24.dev/f/32324
skillLevel: intermediate
domains:
- incident-response
- static-investigations
phases:
- data-collection
platforms:
- macOS
tags:
- live-acquisition
- target-disk-mode
- hardware-connection
- write-blocker-required
- firmware-limitation
- password-dependent
- scenario:disk_imaging
related_concepts:
- Digital Evidence Chain of Custody
related_software:
- dd
icon: 🎯
- name: macOS Auto-Mount Prevention
type: method
description: >-
Verhinderung automatischen Mountens durch temporäres Deaktivieren des Disk
Arbitrators. Verfahren: 1) 'sudo launchctl unload
/System/Library/LaunchDaemons/com.apple.diskarbitrationd.plist' ausführen,
2) Datenträger anschließen (kein diskutil verfügbar), 3) Imaging
durchführen, 4) 'sudo launchctl load
/System/Library/LaunchDaemons/com.apple.diskarbitrationd.plist' zur
Reaktivierung. Alternative zu Hardware-Schreibblockern für forensisch
saubere Anbindung.
url: https://cloud.cc24.dev/f/32324
skillLevel: intermediate
domains:
- incident-response
- static-investigations
phases:
- data-collection
platforms:
- macOS
tags:
- write-blocker
- disk-arbitrator
- system-modification
- contamination-prevention
- sudo-required
- manual-mounting
related_concepts:
- Digital Evidence Chain of Custody
icon: 🚫
- name: macOS Property List Analysis
type: method
description: >-
Systematische Auswertung von Apple Property List Dateien (Plist) in XML-
und Binärformat für Konfigurationsdaten und Systemeinstellungen.
Konvertierung zwischen Formaten mit plutil-Tool, strukturierte Analyse des
binären Objektaufbaus mit 8-Byte-Header, variabler Objekttabelle,
Offset-Tabelle und 32-Byte-Trailer. Extraktion forensischer Artefakte aus
Systemkonfigurationen, Anwendungseinstellungen und Benutzeraktivitäten.
url: https://cloud.cc24.dev/f/32324
skillLevel: intermediate
domains:
- static-investigations
- incident-response
- mobile-forensics
phases:
- examination
- analysis
platforms:
- macOS
tags:
- plist-analysis
- binary-decode
- configuration-parsing
- system-metadata
- artifact-extraction
- format-conversion
- xml-parsing
icon: 📋
knowledgebase: true
- name: macOS Spotlight Forensic Analysis
type: method
description: >-
Tiefgehende Auswertung der Spotlight-Indexdatenbanken (.store-Dateien) für
umfassende Dateimetadaten und Aktivitätsnachweise. Extraktion von
Öffnungshäufigkeiten, letzten Zugriffsdaten und versteckten Metadaten die
im normalen Dateisystem nicht verfügbar sind. Fundorte:
/.Spotlight-V100/Store-V2/<UUID>/.store und
~/Library/Metadata/CoreSpotlight/. Analyse erfordert spezielle
Python-Parser für proprietäres undokumentiertes Format.
url: https://cloud.cc24.dev/f/32324
skillLevel: advanced
domains:
- static-investigations
- incident-response
phases:
- examination
- analysis
platforms:
- macOS
tags:
- spotlight-analysis
- metadata-extraction
- timeline-analysis
- file-activity
- indexing-forensics
- database-parsing
- python-tools
related_concepts:
- Timeline Analysis & Event Correlation
icon: 🔍
knowledgebase: true
- name: macOS FSEvents Analysis
type: method
description: >-
Forensische Auswertung von FSEvents-Logs für historische
Dateisystemänderungen seit macOS 10.7. Fundort: /.fseventsd/xxxxxxxxxx
(gzip-komprimiert). Dateiname entspricht letzter Event-ID + 1.
Dekomprimierung und Parsing für chronologische Rekonstruktion von
Datei-/Ordner-Operationen. Besonderheit: alphabetische statt
chronologische Speicherung erfordert spezielle Parser für zeitbasierte
Analyse und Aktivitätsmuster-Erkennung.
url: https://cloud.cc24.dev/f/32324
skillLevel: intermediate
domains:
- static-investigations
- incident-response
phases:
- examination
- analysis
platforms:
- macOS
tags:
- fsevents-analysis
- filesystem-monitoring
- historical-analysis
- gzip-decompression
- timeline-reconstruction
- file-operations
- activity-tracking
related_concepts:
- Timeline Analysis & Event Correlation
- File Systems & Storage Forensics
icon: 📁
knowledgebase: true
- name: macOS Keychain Forensic Analysis
type: method
description: >-
Extraktion und Entschlüsselung von Passwörtern aus macOS Keychain-Dateien
(~/Library/Keychains/*) für Zugangsdaten-Recovery. Auf T2/M1-Systemen
Hardware-Bindung durch HEK-Schlüssel, Entschlüsselung nur mit bekanntem
Benutzerpasswort möglich. Neuere Versionen: Export-Funktion deaktiviert,
Alternative über Safari-Password-Manager (CSV-Export) oder
Python-Chainbreaker-Tools für Offline-Analyse.
url: https://cloud.cc24.dev/f/32324
skillLevel: advanced
domains:
- static-investigations
- incident-response
- fraud-investigation
phases:
- examination
- analysis
platforms:
- macOS
tags:
- keychain-analysis
- password-extraction
- hardware-encryption
- credential-recovery
- t2-m1-limitations
- python-tools
- access-restriction
related_concepts:
- Hash Functions & Digital Signatures
icon: 🔐
knowledgebase: true
- name: macOS Unified Log Analysis
type: method
description: >-
Dekodierung und Analyse des Apple Unified Logging (AUL) ab macOS 10.12 für
systemweite Event-Korrelation. Datenquellen: /var/db/diagnostics/Persist/
(tracev3-Dateien), /var/db/diagnostics/Special/ und /var/db/uuidtext.
Analyse mit 'log show', 'log collect', Predicate-Filter für gezielte
Suchen. Offline-Analyse erfordert Übertragung der Verzeichnisse auf
Analyse-Mac oder Virtualisierung des Zielsystems.
url: https://cloud.cc24.dev/f/32324
skillLevel: advanced
domains:
- incident-response
- static-investigations
phases:
- examination
- analysis
platforms:
- macOS
tags:
- unified-logging
- tracev3-parsing
- predicate-filters
- subsystem-analysis
- binary-log-format
- timeline-creation
- system-monitoring
related_concepts:
- Timeline Analysis & Event Correlation
icon: 📊
knowledgebase: true
- name: macOS DMG Image Mounting
type: method
description: >-
Forensisch sauberes Mounting von Mac Disk Images mit Write-Protection.
Verfahren: 1) DMG-Datei als 'geschützt' markieren (Schloss-Icon), 2)
'hdiutil attach -shadow' für Shadow-File-Erstellung, 3) 'mdutil -i on' für
Spotlight-Indexierung ohne Original-Änderung. Alternative: RAW/E01-Images
mit xmount zu DMG konvertieren. Ermöglicht native macOS-Tool-Nutzung und
Spotlight-Durchsuchbarkeit bei forensischer Integrität.
url: https://cloud.cc24.dev/f/32324
skillLevel: intermediate
domains:
- static-investigations
- incident-response
phases:
- examination
- analysis
platforms:
- macOS
tags:
- dmg-mounting
- write-protection
- shadow-files
- spotlight-indexing
- image-conversion
- forensic-imaging
- read-only-access
related_concepts:
- Digital Evidence Chain of Custody
related_software:
- OSFMount
icon: 💿
- name: macOS Time Machine Backup Analysis
type: method
description: >-
Forensische Auswertung von Time Machine Backups für historische
Systemzustände. Bis macOS 10.x: HFS+-Sparse-Bundle mit Hardlinks, ab
BigSur: APFS-Snapshots. Analyse-Befehle: 'tmutil listbackups', 'tmutil
listlocalsnapshots', 'tmutil destinationinfo'. Backup-Struktur: stündlich
(24h), täglich (1 Monat), wöchentlich (permanent). Auswertung der
backup_manifest.plist für Snapshot-IDs und Timeline-Rekonstruktion.
url: https://cloud.cc24.dev/f/32324
skillLevel: intermediate
domains:
- static-investigations
- incident-response
phases:
- examination
- analysis
platforms:
- macOS
tags:
- time-machine-analysis
- backup-forensics
- sparse-bundle
- apfs-snapshots
- hardlink-analysis
- historical-recovery
- manifest-parsing
related_concepts:
- Timeline Analysis & Event Correlation
- File Systems & Storage Forensics
icon:
knowledgebase: true
- name: iOS Backup Forensic Analysis
type: method
description: >-
Extraktion und Analyse von iTunes/iCloud-Backups für iOS-Geräte-Forensik.
Fundorte: Windows: /Users/[User]/AppData/Roaming/Apple
Computer/MobileSync/Backup/, macOS: ~/Library/Application
Support/MobileSync/Backup/. UDID-basierte Ordnerstruktur (SHA1 aus
Seriennummer/IMEI/MAC), GUID-benannte Dateien enthalten
iOS-Dateisystem-Inhalte. Analyse von Info.plist, Manifest.plist,
Status.plist für Backup-Metadaten.
url: https://cloud.cc24.dev/f/32324
skillLevel: intermediate
domains:
- mobile-forensics
- static-investigations
phases:
- examination
- analysis
platforms:
- macOS
tags:
- ios-backup-analysis
- udid-decoding
- manifest-parsing
- app-data-recovery
- backup-decryption
- mobile-artifacts
- itunes-backup
related_concepts:
- SQL
- Digital Evidence Chain of Custody
related_software:
- Cellebrite UFED
icon: 📱
knowledgebase: true
- name: macOS iCloud Artifact Analysis
type: method
description: >-
Systematische Auswertung von iCloud-Synchronisations-Artefakten im lokalen
Dateisystem. Fundorte: ~/Library/Application Support/iCloud/Accounts
(iCloud-ID), ~/Library/Mobile Documents/ (synchronisierte Dateien),
~/Library/SyncedPreferences/ (App-Einstellungen), ~/Library/Application
Support/CloudDocs/ (client.db/server.db). Extraktion der account.1-Datei
und .DS_Store-Analyse für Cloud-Aktivitätsnachweise ohne direkten
iCloud-Zugriff.
url: https://cloud.cc24.dev/f/32324
skillLevel: advanced
domains:
- cloud-forensics
- static-investigations
phases:
- examination
- analysis
platforms:
- macOS
tags:
- icloud-forensics
- cloud-synchronization
- mobile-documents
- token-extraction
- sync-analysis
- cloud-artifacts
- metadata-analysis
related_concepts:
- Hash Functions & Digital Signatures
icon: ☁️
knowledgebase: true
- name: macOS Communication App Analysis
type: method
description: >-
Forensische Untersuchung nativer macOS Kommunikations-Apps für
Nachrichtenverlauf. Messages: chat.db-SQLite-Datenbank (Tabellen: chat,
messages, handle, attachments), Attachments-Verzeichnis. Mail: Envelope
Index-Datenbank, .emlx-Dateien, Accounts-SQLite. Kontakte:
AddressBook-v22.abcddb, MailRecents-v4.abcdmr. FaceTime:
Plist-Konfigurationen mit Anruflisten. Korrelation zwischen Apps und
iOS-Synchronisation.
url: https://cloud.cc24.dev/f/32324
skillLevel: intermediate
domains:
- static-investigations
- fraud-investigation
- incident-response
phases:
- examination
- analysis
platforms:
- macOS
tags:
- communication-analysis
- chat-db-analysis
- message-recovery
- attachment-extraction
- contact-analysis
- ios-synchronization
- sqlite-parsing
related_concepts:
- SQL
- Timeline Analysis & Event Correlation
icon: 💬
knowledgebase: true
- name: Windows Passwort-Umgehung via Utilman-Ersetzung
type: method
description: >-
Boot mit Linux-Live-System (z.B. Kali Linux), Mount der
Windows-Partition, Backup von C:\Windows\System32\Utilman.exe erstellen,
Utilman.exe durch cmd.exe überschreiben, Windows-Neustart, Klick auf
Erleichterte Bedienung (Uhr-Symbol) öffnet CMD mit Systemrechten, "net
user USERNAME NEUES_PASSWORT" eingeben für Passwort-Reset. Nach Anmeldung
Original-Utilman.exe wiederherstellen. Funktioniert bei allen
Windows-Versionen ohne BitLocker.
url: https://cloud.cc24.dev/f/32333
skillLevel: intermediate
domains:
- incident-response
- static-investigations
phases:
- data-collection
platforms:
- Windows
tags:
- password-bypass
- system-access
- utilman-replacement
- live-boot
- administrator-rights
- net-user-command
- linux-tools
related_concepts:
- Digital Evidence Chain of Custody
related_software:
- Kali Linux
icon: 🔓
- name: RDP Cache Analyse
type: method
description: >-
Systematische Extraktion von RDP-Cache-Dateien aus
C:\Users\XXX\AppData\Local\Microsoft\Terminal Server Client\Cache für
Lateral-Movement-Nachweis. 64x64-Bitmap-Fragmente mit speziellen Tools
extrahieren und zu Bildschirm-Screenshots rekonstruieren.
Registry-Analyse von MRU-Einträgen unter
HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default für
RDP-Server-Historie und UsernameHint-Extraktion aus \Servers-Schlüssel.
Korrelation mit Event-Logs für vollständige RDP-Timeline.
url: https://cloud.cc24.dev/f/32333
skillLevel: advanced
domains:
- incident-response
- network-forensics
- malware-analysis
phases:
- examination
- analysis
platforms:
- Windows
tags:
- rdp-cache
- lateral-movement
- terminal-server
- bitmap-analysis
- mru-analysis
- apt-investigation
- network-intrusion
- cache-forensics
related_concepts:
- Timeline Analysis & Event Correlation
related_software:
- RegRipper
- Eric Zimmerman Tools
- bmc-tools
icon: 🖥️
knowledgebase: true
- name: Windows Event Log Forensische Analyse
type: method
description: >-
Dekodierung binärer EVT/EVTX-Logs durch Korrelation mit Message-Table-
Ressourcen in System-DLLs. Event-ID-Mapping über Registry-Einträge in
HKLM\System\CurrentControlSet\Services\EventLog für Template-Zuordnung.
Wichtige Event-IDs: 4624/4625 (Logon Success/Fail), 4778/4779 (RDP
Connect/Disconnect), 7034-7045 (Service-Events). Timeline-Erstellung mit
Plaso, XML-Export für strukturierte Analyse, Korrelation zwischen
Security.evtx, System.evtx und Application.evtx für vollständige
Systemaktivitäts-Rekonstruktion.
url: https://cloud.cc24.dev/f/32333
skillLevel: intermediate
domains:
- incident-response
- static-investigations
- network-forensics
phases:
- examination
- analysis
platforms:
- Windows
tags:
- event-logs
- evt-analysis
- evtx-analysis
- timeline-analysis
- logon-analysis
- rdp-sessions
- service-analysis
- message-tables
- xml-parsing
related_concepts:
- Timeline Analysis & Event Correlation
related_software:
- Plaso (log2timeline)
- Eric Zimmerman Tools
- Timesketch
icon: 📊
knowledgebase: true
- name: USB-Gerät Analyse unter Windows
type: method
description: >-
Registry-Extraktion aus SYSTEM\CurrentControlSet\Enum\USBSTOR für
Hersteller/Produkt/Version-Identifikation und Unique-Serial-Numbers (ohne
& im 2. Zeichen). First/Last-Connection-Zeiten aus Properties
0064/0066/0067-Registry-Werten. Setupapi.dev.log-Analyse für Initial-
Installation-Timestamps. Volume-Serial-Number-Korrelation zwischen
ENDMgmt-Registry und LNK-Dateien für Device-File-Zuordnung.
MountedDevices-Registry für Laufwerksbuchstaben-Historie.
url: https://cloud.cc24.dev/f/32333
skillLevel: intermediate
domains:
- static-investigations
- incident-response
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
tags:
- usb-forensics
- registry-analysis
- pnp-logs
- volume-serial
- mounted-devices
- setupapi-analysis
- device-identification
- connection-timeline
- lnk-correlation
related_concepts:
- Timeline Analysis & Event Correlation
- Digital Evidence Chain of Custody
related_software:
- RegRipper
- Eric Zimmerman Tools
- USBDeview
icon: 🔌
knowledgebase: true
- name: Windows Registry Tiefenanalyse
type: method
description: >-
REGF/CREG-Format-Parsing von Registry-Hives (SYSTEM, SOFTWARE, SAM,
SECURITY, NTUSER.DAT) für Systemkonfiguration und User-Activity.
LastWrite-Timestamp-Analyse für Key-Änderungszeiten (Nanosekunden seit
1601). Autorun-Location-Enumeration in Run/RunOnce-Schlüsseln für
Persistenz-Mechanismen. Network-Signatures für WLAN-Historie, MRU-Listen
für Recent-Activities, UserAssist-ROT13-Dekodierung für GUI-Starts,
ShellBags für Folder-Access, 64-Bit-Support über Wow6432Node-Analyse.
url: https://cloud.cc24.dev/f/32333
skillLevel: intermediate
domains:
- static-investigations
- incident-response
- malware-analysis
phases:
- examination
- analysis
platforms:
- Windows
tags:
- registry-analysis
- hive-parsing
- lastwrite-timestamps
- autorun-detection
- mru-analysis
- userassist-decoding
- shellbags-analysis
- wow6432node
- rot13-decoding
- persistence-analysis
related_concepts:
- Timeline Analysis & Event Correlation
related_software:
- RegRipper
- Eric Zimmerman Tools
- Registry Explorer
icon: 📜
knowledgebase: true
- name: Volume Shadow Copy Forensische Analyse
type: method
description: >-
VSS-Snapshot-Auflistung mit "vssadmin list shadows /for=C:", Zugriff via
mklink-Verknüpfung: "mklink /d c:\vss-test
\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\". Imaging mit dd: "dd
if=\\.\HarddiskVolumeShadowCopy4 of=shadowcopy.dd". X-Ways-Integration
über Dateiüberblick erweitern → gründliche
Dateisystem-Datenstruktur-Suche → SC-Attribut-Filterung für
Shadow-Copy-Dateien. Copy-on-Write-Prinzip: nur Änderungen seit letztem
Snapshot gespeichert. Gelöschte Dateien bleiben in Snapshots erhalten.
url: https://cloud.cc24.dev/f/32333
skillLevel: intermediate
domains:
- static-investigations
- incident-response
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
tags:
- shadow-copy-analysis
- vss-forensics
- snapshot-recovery
- vssadmin-commands
- mklink-access
- copy-on-write
- historical-analysis
- deleted-file-recovery
- x-ways-integration
- sc-filtering
related_concepts:
- Timeline Analysis & Event Correlation
- File Systems & Storage Forensics
related_software:
- ShadowExplorer
- X-Ways Forensics
- dd
icon: 📸
- name: Windows Netzwerk-Forensik mit PowerShell
type: method
description: >-
Live-System-Netzwerk-Sammlung: Get-NetAdapter für Interface-Liste,
Get-NetIPAddress für IP-Konfiguration, Get-NetTCPConnection für aktive
Verbindungen, Get-NetUDPEndpoint für UDP-Ports, Get-NetNeighbor für
ARP-Tabelle, Get-NetRoute für Routing-Informationen.
Get-NetAdapterStatistics für Traffic-Volumina, Get-NetAdapterHardwareInfo
für Hardware-Details. Batch-Sammlung mit | Export-Csv für strukturierte
Ausgabe. Korrelation mit Registry-Daten unter NetworkList für historische
Profile.
url: https://cloud.cc24.dev/f/32333
skillLevel: intermediate
domains:
- incident-response
- network-forensics
phases:
- data-collection
- examination
platforms:
- Windows
tags:
- powershell-forensics
- network-analysis
- live-analysis
- netadapter-cmdlets
- tcp-connections
- routing-analysis
- neighbor-discovery
- traffic-statistics
- cmdlet-scripting
related_concepts:
- Network Protocols & Packet Analysis
related_software:
- Wireshark
icon: 🌐
- name: UserAssist Forensische Analyse
type: method
description: >-
ROT13-Dekodierung von NTUSER.DAT\Software\Microsoft\Windows\
CurrentVersion\Explorer\UserAssist\{GUID}\Count für
Desktop-GUI-Programme. GUID-Kategorien: CEBFF5CD (Executable), F4E57C4B
(Shortcut), 75048700 (Active Desktop-XP). Jeder Eintrag enthält
Ausführungs-Count und Last-Execution-Time. ROT13-Dekodierung: A→N, B→O
etc. Automated-Tools für Batch-Dekodierung verfügbar. Registry-Explorer
zeigt Last-Write-Time des UserAssist-Keys für Timeline-Korrelation.
url: https://cloud.cc24.dev/f/32333
skillLevel: intermediate
domains:
- static-investigations
- incident-response
phases:
- examination
- analysis
platforms:
- Windows
tags:
- userassist-analysis
- rot13-decoding
- gui-tracking
- execution-frequency
- registry-analysis
- desktop-programs
- timeline-analysis
- ntuser-dat
- guid-analysis
related_concepts:
- Timeline Analysis & Event Correlation
related_software:
- RegRipper
- Eric Zimmerman Tools
- UserAssist GUI
icon: 🖱️
- name: Shell Bags Analyse
type: method
description: >-
Ordnerzugriffs-Historie aus USRCLASS.DAT\Local Settings\Software\
Microsoft\Windows\Shell\Bags (Explorer) und NTUSER.DAT\Software\
Microsoft\Windows\Shell\BagMRU (Desktop). Jeder Bag enthält
Folder-Settings und Zugriffs-Timestamps. BagMRU zeigt chronologische
MRU-Liste mit letzten Ordner-Öffnungen. Nachweis gelöschter Verzeichnisse
durch Registry-Persistenz nach Folder-Deletion. Netzwerk-Share-Zugriffe
und USB-Pfade werden ebenfalls geloggt.
url: https://cloud.cc24.dev/f/32333
skillLevel: intermediate
domains:
- static-investigations
- incident-response
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
tags:
- shellbags-analysis
- folder-access
- network-shares
- deleted-directories
- usrclass-dat
- ntuser-dat
- explorer-forensics
- access-timeline
- data-exfiltration
related_concepts:
- Timeline Analysis & Event Correlation
- File Systems & Storage Forensics
related_software:
- Eric Zimmerman Tools
- RegRipper
- ShellBags Explorer
icon: 📁
- name: LNK-Dateien Forensische Analyse
type: method
description: >-
Shortcut-Analyse aus %USERPROFILE%\AppData\Roaming\Microsoft\Windows\
Recent\ für File-Access-Historie. Jede LNK-Datei enthält: Target-Path,
Working-Directory, Creation/Modification/Access-Times der Zieldatei,
Volume-Serial-Number, Network-Share-Info, Host-Name. LNK-Creation-Time =
erste Datei-Öffnung, LNK-Modification-Time = letzte Öffnung.
Besonderheit: LNK-Dateien für Netzwerk-Dateien bleiben auch nach
Original-Löschung bestehen und zeigen Remote-Zugriffe.
url: https://cloud.cc24.dev/f/32333
skillLevel: beginner
domains:
- static-investigations
- incident-response
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
tags:
- lnk-analysis
- shortcut-forensics
- file-access-history
- volume-information
- network-shares
- target-metadata
- remote-files
- mac-timestamps
- serial-numbers
related_concepts:
- Timeline Analysis & Event Correlation
- File Systems & Storage Forensics
related_software:
- Eric Zimmerman Tools
icon: 🔗
- name: Prefetch-Dateien Forensische Analyse
type: method
description: >-
Programm-Execution-Nachweis durch C:\Windows\Prefetch\*.pf-Analyse.
Dateiformat: EXENAME-HASH.pf mit Last-Execution-Time (Modification-Date),
Run-Count, Referenced-Files/Directories. Creation-Time = erste
Ausführung. Kapazitäten: 128 Files (XP/7), 1024 Files (Win8+). Hash
basiert auf Executable-Path, nicht Content - Path-Änderung erzeugt neue
PF-Datei. Prefetch-Status: Registry
HKLM\SYSTEM\CurrentControlSet\Control\ Session Manager\Memory
Management\PrefetchParameters.
url: https://cloud.cc24.dev/f/32333
skillLevel: intermediate
domains:
- incident-response
- malware-analysis
- static-investigations
phases:
- examination
- analysis
platforms:
- Windows
tags:
- prefetch-analysis
- program-execution
- execution-frequency
- last-execution-time
- file-handles
- malware-evidence
- performance-cache
- hash-calculation
- capacity-limits
related_concepts:
- Timeline Analysis & Event Correlation
related_software:
- Eric Zimmerman Tools
icon:
- name: Jump Lists Forensische Analyse
type: method
description: >-
Windows 7+ Taskbar-Recent-Items aus %USERPROFILE%\AppData\Roaming\
Microsoft\Windows\Recent\AutomaticDestinations\*.automaticDestinations-ms.
AppID-basierte Dateinamen (z.B. 1bc392b3d42b9fb2.automaticDestinations-ms
für Notepad). Jede Datei enthält LNK-Streams für Recent-Documents.
Creation-Time = erste App-Nutzung, Modification-Time = letztes
Document-Opening. Internal-LNK-Parsing zeigt accessed Files mit
Timestamps und Paths.
url: https://cloud.cc24.dev/f/32333
skillLevel: intermediate
domains:
- static-investigations
- incident-response
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
tags:
- jump-lists
- taskbar-forensics
- automatic-destinations
- appid-analysis
- lnk-correlation
- user-workflow
- document-access
- chronological-analysis
- windows7-plus
related_concepts:
- Timeline Analysis & Event Correlation
related_software:
- Eric Zimmerman Tools
icon: 📋
- name: Thumbcache Analyse
type: method
description: >-
Thumbnail-Extraktion aus %USERPROFILE%\AppData\Local\Microsoft\Windows\
Explorer\thumbcache_*.db (Vista+) für Image-Viewing-Evidence.
ThumbnailCacheID-Korrelation mit Windows.edb SystemIndex_0A-Tabelle für
Original-Filename-Recovery. Thumbcache-Größen: 32, 96, 256, 1024 Pixel.
XP: thumbs.db pro Verzeichnis mit direkten Dateinamen. Netzwerk-Shares
erzeugen weiterhin thumbs.db-Dateien auch unter Win10. Thumbnails bleiben
nach Original-File-Deletion erhalten.
url: https://cloud.cc24.dev/f/32333
skillLevel: intermediate
domains:
- static-investigations
- fraud-investigation
- mobile-forensics
phases:
- examination
- analysis
platforms:
- Windows
tags:
- thumbcache-analysis
- thumbnail-forensics
- image-viewing
- thumbnailcacheid
- windows-edb
- systemindex-correlation
- deleted-images
- csam-investigation
- content-awareness
- thumbs-db
related_concepts:
- File Systems & Storage Forensics
related_software:
- Thumbcache Viewer
icon: 🖼️
- name: Windows Zone Identifier Analyse
type: method
description: >-
NTFS-Alternate-Data-Stream-Analyse für Download-Attribution:
filename:Zone.Identifier mit ZoneId-Werten: 0=Local, 1=Intranet,
2=Trusted Sites, 3=Internet, 4=Restricted Sites. Browser-Downloads
erhalten automatisch Zone.Identifier-Markierung. Analyse mit "dir /R"
oder "more filename:Zone.Identifier". Streams-Tool zeigt alle ADS eines
Verzeichnisses. Registry-Policies können Zone-Marking deaktivieren.
url: https://cloud.cc24.dev/f/32333
skillLevel: intermediate
domains:
- incident-response
- malware-analysis
- static-investigations
phases:
- examination
- analysis
platforms:
- Windows
tags:
- zone-identifier
- alternate-data-streams
- download-attribution
- security-zones
- ntfs-forensics
- browser-markings
- malware-sources
- web-attacks
- origin-tracking
related_concepts:
- File Systems & Storage Forensics
related_software:
- Strings
- Streams
icon: 🌐
- name: Outlook Attachments Forensische Analyse
type: method
description: >-
OLK-Cache-Analyse aus %USERPROFILE%\AppData\Local\Microsoft\Windows\
INetCache\Content.Outlook\[Random-GUID]\ für temporäre Attachments.
Registry-Pfad-Ermittlung: HKCU\Software\Microsoft\Office\{VERSION}\
Outlook\Security\OutlookSecureTempFolder. Versions-Mapping: 12.0=2007,
14.0=2010, 15.0=2013, 16.0=365. Opened/Deleted-Attachments bleiben im
Cache bis Outlook-Restart. Filename-Original-Names meist erhalten.
Integration mit PST-Analysis für E-Mail-Context-Correlation.
url: https://cloud.cc24.dev/f/32333
skillLevel: beginner
domains:
- static-investigations
- incident-response
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
tags:
- outlook-forensics
- email-attachments
- olk-cache
- inetcache-analysis
- registry-paths
- temporary-files
- attachment-timeline
- pst-integration
- email-investigation
related_concepts:
- Timeline Analysis & Event Correlation
related_software:
- libpff/pffexport
icon: 📧
- name: Office Files MRU Forensische Analyse
type: method
description: >-
Microsoft Office Recent-Files aus NTUSER.DAT\Software\Microsoft\
Office\{VERSION}\UserMRU\LiveID_####\FileMRU. Versions-Codes: 10.0=XP,
11.0=2003, 12.0=2007, 14.0=2010, 15.0=365, 16.0=365. LiveID-Integration
zeigt Cloud-Account-Binding. MRU-Liste-Analyse für chronologische
Dokument-Zugriffe mit Last-Access-Timestamps. Application-spezifische
Unterschlüssel für Word, Excel, PowerPoint. Integration mit
Recent-Folders für vollständige Office-Usage-Timeline.
url: https://cloud.cc24.dev/f/32333
skillLevel: beginner
domains:
- static-investigations
- incident-response
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
tags:
- office-mru
- recent-documents
- registry-analysis
- version-specific
- liveid-integration
- filemru-analysis
- document-access
- productivity-patterns
- cloud-accounts
related_concepts:
- Timeline Analysis & Event Correlation
related_software:
- RegRipper
- Eric Zimmerman Tools
icon: 📄
- name: Recent Dateien Registry-Analyse
type: method
description: >-
RecentDocs-Analyse aus NTUSER.DAT\Software\Microsoft\Windows\
CurrentVersion\Explorer\RecentDocs für 150 zuletzt geöffnete
Files/Folders. MRU-Binary-Liste zeigt chronologische Reihenfolge
(jüngste=0). Extension-Unterschlüssel (*.pdf, *.docx) für
Filetype-spezifische Historie. Folder-Unterschlüssel für
Directory-Access. LastWrite-Time des Keys = letzte Datei-Öffnung dieser
Extension. Binary-Data enthält Unicode-Filename-Strings.
url: https://cloud.cc24.dev/f/32333
skillLevel: beginner
domains:
- static-investigations
- incident-response
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
tags:
- recent-docs
- registry-analysis
- mru-lists
- file-access-history
- extension-tracking
- folder-access
- lastwrite-correlation
- user-activity
- chronological-analysis
related_concepts:
- Timeline Analysis & Event Correlation
related_software:
- RegRipper
- Eric Zimmerman Tools
icon: 📂
- name: Windows Anmeldeverfahren Forensische Analyse
type: method
description: >-
Authentication-Mechanismus-Analyse: NTLM Challenge-Response vs. Kerberos
Ticket-Granting für Domain-Environments. Event-Log-Analysis für
Logon-Types: 2=Interactive Console, 3=Network, 4=Batch, 5=Service,
7=Unlock, 8=Network Cleartext, 9=New Credentials, 10=Remote Interactive
(RDP), 11=Cached Interactive. Registry-Analysis für
Cached-Domain-Credentials unter SECURITY\Cache und Authentication-
Packages in LSA. Smartcard/Biometric-Evidence in specialized Event-Logs.
url: https://cloud.cc24.dev/f/32333
skillLevel: advanced
domains:
- incident-response
- static-investigations
- network-forensics
phases:
- examination
- analysis
platforms:
- Windows
tags:
- authentication-analysis
- logon-types
- interactive-logon
- smartcard-analysis
- biometric-analysis
- network-logon
- ntlm-analysis
- kerberos-analysis
- cached-credentials
- event-correlation
related_concepts:
- Timeline Analysis & Event Correlation
- Network Protocols & Packet Analysis
icon: 🔐
knowledgebase: true
- name: OpenSave MRU Forensische Analyse
type: method
description: >-
Shell-Dialog-basierte File-History aus NTUSER.DAT\Software\Microsoft\
Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU (XP) bzw.
OpenSavePIDlMRU (Win7+). "*"-Subkey = alle Dateien, Extension-Subkeys
(*.txt, *.jpg) = filetype-spezifisch. Binary-MRU-Data enthält File-Paths
und Shell-Item-IDs. LastWrite-Time = letzte Dialog-Usage dieser
Extension. Covers alle Anwendungen die Standard-Windows- File-Dialogs
verwenden (nicht Browser-Downloads).
url: https://cloud.cc24.dev/f/32333
skillLevel: intermediate
domains:
- static-investigations
- incident-response
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
tags:
- opensave-mru
- shell-dialogs
- file-access-tracking
- comdlg32-analysis
- extension-specific
- registry-timestamps
- user-interaction
- dialog-boxes
- application-forensics
related_concepts:
- Timeline Analysis & Event Correlation
related_software:
- RegRipper
- Eric Zimmerman Tools
icon: 💾
- name: Last-Visited MRU Forensische Analyse
type: method
description: >-
Application-zu-Path-Korrelation aus NTUSER.DAT\Software\Microsoft\
Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU (XP) bzw.
LastVisitedPidlMRU (Win7+). Binary-Data-Format: Executable-Name +
Opened-Path-String. Beispiel: notepad.exe → C:\Users\Rob\Desktop zeigt
von wo Notepad gestartet wurde. MRU-Reihenfolge = chronologische
App-Launches mit File-Dialog-Usage. Malware-Launch-Directory- Attribution
für Portable-Executables oder Removable-Media-Starts.
url: https://cloud.cc24.dev/f/32333
skillLevel: intermediate
domains:
- incident-response
- malware-analysis
- static-investigations
phases:
- examination
- analysis
platforms:
- Windows
tags:
- lastvisited-mru
- application-paths
- executable-tracking
- launch-directories
- malware-origins
- portable-apps
- execution-timeline
- path-correlation
- startup-analysis
related_concepts:
- Timeline Analysis & Event Correlation
related_software:
- RegRipper
- Eric Zimmerman Tools
icon: 🗂️
- name: IE History Laufwerkszugriffe Analyse
type: method
description: >-
Non-Browser-File-Access via IE-History in index.dat (IE6-9) bzw.
WebCacheV*.dat (IE10+) unter %USERPROFILE%\AppData\Local\Microsoft\
Windows\WebCache\. file:///-URL-Entries zeigen lokale Dateizugriffe und
UNC-Network-Share-Access auch ohne Browser-Usage. URL-Format:
file:///C:/path/file.ext oder file://server/share/file.
Timestamp-Analysis für File-Access-Timeline unabhängig von
Explorer-Recent-Lists. WebCacheView-Tool für structured Database-Export.
url: https://cloud.cc24.dev/f/32333
skillLevel: intermediate
domains:
- static-investigations
- incident-response
- network-forensics
phases:
- examination
- analysis
platforms:
- Windows
tags:
- ie-history
- file-protocol
- local-file-access
- unc-shares
- index-dat
- webcache-analysis
- non-browser-access
- timeline-reconstruction
- network-shares
- remote-files
related_concepts:
- Timeline Analysis & Event Correlation
- Network Protocols & Packet Analysis
related_software:
- WebCacheView
icon: 🌐
- name: bmc-tools
type: software
description: >-
Extrahiert RDP-Bitmap-Cache-Fragmente aus Windows Terminal Server Client
Cache für Remote-Desktop-Session-Rekonstruktion. Parst bcache*.bmc und
cache*.bin Dateien durch Python-Framework mit automatischer
Tile-Dekompression und Collage-Generation. Unterstützt alle RDP-Versionen
und Qualitätsstufen (bcache2/22/24). Besonders wertvoll: versteckte
Remote-Aktivitäten ohne Server-Logs rekonstruieren, KAPE-Integration für
Batch-Processing, Export in Standard-Bildformate.
skillLevel: intermediate
url: https://github.com/ANSSI-FR/bmc-tools
domains:
- incident-response
- network-forensics
- static-investigations
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
tags:
- cli
- rdp-analysis
- bitmap-extraction
- remote-session
- python-tool
- collage-generation
- lateral-movement
- cache-forensics
- terminal-server
- scenario:remote_access
related_concepts:
- Timeline Analysis & Event Correlation
related_software:
- RdpCacheStitcher
icon: 🖥️
license: GPL-3.0
accessType: download
- name: USBDeview
type: software
description: >-
Analysiert USB-Geräte-Historie für Datenträger-Forensik und
Incident-Response durch detaillierte Device-Information-Extraktion. Zeigt
aktuell verbundene und früher genutzte USB-Devices mit Hersteller-Details,
Seriennummern, Installation-Timestamps. Speed-Test-Feature für
USB-Performance-Analyse, Remote-System-Unterstützung für
Netzwerk-Forensik. Besonders wertvoll: USB-Autorun-Detection,
Device-Management und Export in strukturierte Formate für
Timeline-Korrelation.
skillLevel: beginner
url: https://www.nirsoft.net/utils/usb_devices_view.html
domains:
- static-investigations
- incident-response
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
tags:
- gui
- usb-forensics
- device-history
- serial-numbers
- installation-timeline
- speed-testing
- autorun-detection
- remote-analysis
- csv-export
- scenario:file_recovery
related_concepts:
- Timeline Analysis & Event Correlation
- Digital Evidence Chain of Custody
related_software:
- USBLogView
icon: 🔌
license: Freeware
accessType: download
- name: ShellBags Explorer
type: software
description: >-
GUI-basierte Shellbags-Analyse für Windows-Folder-Access-Rekonstruktion
durch Registry-Hive-Parsing von USRCLASS.DAT und NTUSER.DAT. Visualisiert
Verzeichnisstrukturen mit First/Last-Interaction-Timestamps, zeigt
gelöschte Ordner-Zugriffe und externe Device-Verbindungen. Besonders
wertvoll: Timeline-Export für Korrelations-Analyse, Batch-Processing
mehrerer Hives, detaillierte Shellbag-Properties für forensische
Dokumentation.
skillLevel: intermediate
url: https://ericzimmerman.github.io/
domains:
- static-investigations
- incident-response
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
tags:
- gui
- shellbags-analysis
- folder-access
- registry-analysis
- timeline-creation
- deleted-directories
- external-devices
- batch-processing
- eric-zimmerman
- scenario:file_recovery
related_concepts:
- Timeline Analysis & Event Correlation
- File Systems & Storage Forensics
related_software:
- Eric Zimmerman Tools
- Registry Explorer
icon: 📁
license: MIT
accessType: download
- name: UserAssist GUI
type: software
description: >-
Dekodiert ROT13-verschlüsselte UserAssist-Registry-Einträge für
GUI-Program-Execution- Tracking unter Windows. Zeigt Program-Pfade,
Ausführungsanzahl und Last-Execution- Times für Desktop-Programme und
Shortcuts. Besonders wertvoll: unterscheidet zwischen direkter
.exe-Ausführung und Shortcut-Starts, exportiert Daten für
Timeline-Analyse, erkennt Malware-Execution-Patterns automatisch.
skillLevel: beginner
url: https://blog.didierstevens.com/programs/userassist/
domains:
- static-investigations
- incident-response
- malware-analysis
phases:
- examination
- analysis
platforms:
- Windows
tags:
- gui
- userassist-analysis
- rot13-decoding
- program-execution
- registry-analysis
- execution-frequency
- shortcut-tracking
- malware-detection
- didier-stevens
- scenario:persistence
related_concepts:
- Timeline Analysis & Event Correlation
related_software:
- Registry Explorer
- Eric Zimmerman Tools
icon: 🖱️
license: Freeware
accessType: download
- name: Registry Explorer
type: software
description: >-
Erweiterte Registry-Analyse-Plattform mit Multi-Hive-Support und
forensischen Plugins für Windows-Artefakt-Extraktion. Lädt
Transaction-Logs für Live-Registry- Reconstruction, zeigt gelöschte
Keys/Values, bietet forensische Bookmarks für kritische
Registry-Locations. Besonders wertvoll: Plugin-System für automatisierte
Artefakt-Parsing, Locked-File-Handling, Search-Funktionen und
Export-Capabilities für strukturierte Analyse-Workflows.
skillLevel: intermediate
url: https://ericzimmerman.github.io/
domains:
- static-investigations
- incident-response
- malware-analysis
phases:
- examination
- analysis
platforms:
- Windows
tags:
- gui
- registry-analysis
- multi-hive-support
- plugin-system
- transaction-logs
- deleted-keys
- forensic-bookmarks
- locked-files
- search-capabilities
- eric-zimmerman
related_concepts:
- Timeline Analysis & Event Correlation
related_software:
- Eric Zimmerman Tools
- RegRipper
icon: 📜
license: MIT
accessType: download
- name: Streams
type: software
description: >-
Sysinternals-Tool detektiert NTFS-Alternate-Data-Streams für versteckte
Malware- und Daten-Identifikation. Zeigt alle Streams pro
Datei/Verzeichnis mit Größen- Informationen, unterstützt rekursive
Verzeichnis-Scans. Besonders wertvoll: Malware-Hiding-Detection in ADS,
Zone.Identifier-Analyse für Download-Attribution, Command-Line-Integration
für Batch-Processing und Security-Audits.
skillLevel: beginner
url: https://learn.microsoft.com/en-us/sysinternals/downloads/streams
domains:
- incident-response
- malware-analysis
- static-investigations
phases:
- examination
- analysis
platforms:
- Windows
tags:
- cli
- alternate-data-streams
- ntfs-forensics
- malware-detection
- zone-identifier
- hidden-data
- sysinternals
- security-audit
- download-attribution
- recursive-scan
related_concepts:
- File Systems & Storage Forensics
related_software:
- AlternateStreamView
icon: 💾
license: Microsoft
accessType: download
- name: WebCacheView
type: software
description: >-
Analysiert Internet Explorer WebCache-Datenbanken (WebCacheV*.dat) für
Browser- Forensik ab IE10/Edge. Extrahiert Historie, Downloads, Cookies
und Cache-Einträge aus ESE-Database-Format. Besonders wertvoll: lokale
Datei-Zugriffe über file:///- Protocol, InPrivate-Session-Detection,
Timeline-Export für Korrelations-Analyse und strukturierte Datenausgabe
für forensische Dokumentation.
skillLevel: beginner
url: https://www.nirsoft.net/utils/web_cache_view.html
domains:
- static-investigations
- incident-response
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
tags:
- gui
- web-cache-analysis
- internet-explorer
- edge-browser
- ese-database
- download-history
- cookies-analysis
- file-protocol
- inprivate-detection
- nirsoft
related_concepts:
- Timeline Analysis & Event Correlation
related_software:
- BrowsingHistoryView
- IECacheView
icon: 🌐
license: Freeware
accessType: download
- name: libpff/pffexport
type: software
description: >-
Open-Source-Bibliothek für PST/OST-Forensik mit detaillierter
Personal-Folder- File-Analyse und Deleted-Item-Recovery. Exportiert
E-Mails, Kontakte, Kalender aus Microsoft-Outlook-Dateien ohne
Outlook-Installation. Besonders wertvoll: Low-Level-MAPI-Property-Zugriff,
gefälschte E-Mail-Detection durch Metadaten- Analyse,
Cross-Platform-Support und Integration in forensische Toolchains.
skillLevel: advanced
url: https://github.com/libyal/libpff
domains:
- static-investigations
- fraud-investigation
- incident-response
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
tags:
- cli
- pst-analysis
- ost-forensics
- email-forensics
- deleted-recovery
- mapi-properties
- outlook-forensics
- cross-platform
- libyal
- falsification-detection
related_concepts:
- Timeline Analysis & Event Correlation
- Digital Evidence Chain of Custody
related_software:
- Outlook Forensic Toolbox
icon: 📧
license: LGPL-3.0
accessType: download
- name: Linux Netzwerk-Konfiguration Analyse
type: method
description: >-
Systematische Auswertung von /etc/network/interfaces (Debian/Ubuntu),
/etc/sysconfig/network (SUSE), /etc/NetworkManager (WLAN) für
Netzwerk-Timeline-Reconstruction. Static/Dynamic-IP-Analysis,
Gateway-Configuration, WLAN-SSID-History und Interface-Status-Tracking.
url: https://cloud.cc24.dev/f/32342
skillLevel: intermediate
domains:
- incident-response
- network-forensics
phases:
- examination
- analysis
tags:
- network-configuration
- interface-analysis
- wlan-analysis
- ip-configuration
- gateway-analysis
related_concepts:
- Network Protocols & Packet Analysis
- name: Linux File Access Timestamp Analyse
type: method
description: >-
Dateizugriffs-Rekonstruktion durch stat, ls -l, date -r für
Access/Modify/Change-Time-Analysis. Filesystem-Metadaten-Extraction,
Touch-Command-Detection, Root-Manipulation-Identification. Correlation
mit System-Logs für vollständige File-Activity-Timeline.
url: https://cloud.cc24.dev/f/32342
skillLevel: beginner
domains:
- static-investigations
- incident-response
phases:
- examination
- analysis
tags:
- file-timestamps
- metadata-analysis
- access-time
- modification-time
- filesystem-analysis
related_concepts:
- File Systems & Storage Forensics
- Timeline Analysis & Event Correlation
- name: Linux Package Management Forensik
type: method
description: >-
APT/RPM-Paketmanager-Analyse für Software-Installation-Timeline und
Integrity-Verification. Repository-Source-Analysis, Package-History-
Reconstruction, Dependency-Tracking, Malicious-Package-Detection durch
Signature-Verification und Update-Pattern-Analysis.
url: https://cloud.cc24.dev/f/32342
skillLevel: intermediate
domains:
- incident-response
- malware-analysis
phases:
- examination
- analysis
tags:
- package-analysis
- software-timeline
- installation-history
- dependency-tracking
- integrity-verification
related_concepts:
- Hash Functions & Digital Signatures
- Timeline Analysis & Event Correlation
- name: Linux Namespace Container-Forensik
type: method
description: >-
Container-Isolation-Analysis durch Mount-, UTS-, IPC-, PID-, Network-,
User-Namespace-Examination. Unshare-Command-Analysis, Process-Container-
Mapping, Resource-Limitation-Detection via /sys/fs/cgroup für
Container-Escape-Investigation und Privilege-Escalation-Detection.
url: https://cloud.cc24.dev/f/32342
skillLevel: expert
domains:
- incident-response
- malware-analysis
phases:
- examination
- analysis
tags:
- container-analysis
- namespace-isolation
- privilege-escalation
- process-isolation
- container-escape
- cgroup-analysis
related_concepts:
- Memory Forensics & Process Analysis
- name: Docker Container Forensische Analyse
type: method
description: >-
Docker-Image/Container-Layer-Analysis für Containerized-Application-
Forensics. Dockerfile-Reconstruction, Image-History-Analysis,
Container-Runtime-Investigation, Volume-Mount-Analysis und
Network-Bridge-Examination für Container-Security-Incident-Response.
url: https://cloud.cc24.dev/f/32342
skillLevel: advanced
domains:
- incident-response
- cloud-forensics
- malware-analysis
phases:
- examination
- analysis
tags:
- container-forensics
- docker-analysis
- image-analysis
- layer-analysis
- volume-analysis
- containerized-malware
related_concepts:
- Memory Forensics & Process Analysis
related_software:
- Docker Explorer
- name: Linux System Monitoring Forensik
type: method
description: >-
Live-System-Überwachung durch ps, top, htop für Process-Analysis und
Malware-Detection. SHA256-Hash-Verification von System-Binaries,
Update-Status-Verification, Hidden-Process-Detection und
Resource-Usage-Anomaly-Analysis für APT-Investigation.
url: https://cloud.cc24.dev/f/32342
skillLevel: intermediate
domains:
- incident-response
- malware-analysis
phases:
- examination
- analysis
tags:
- process-monitoring
- hash-verification
- malware-detection
- system-integrity
- anomaly-detection
- apt-investigation
related_concepts:
- Hash Functions & Digital Signatures
- Memory Forensics & Process Analysis
related_software:
- hashdeep
- md5sum / sha256sum
- name: DNS Filtering Analysis (Linux)
type: method
description: >-
/etc/hosts-File-Analysis für DNS-Manipulation-Detection und
Domain-Blocking-Investigation. Static-DNS-Entry-Analysis,
Malware-DNS-Hijacking-Detection, Sinkhole-Configuration-Analysis für
Network-Traffic-Redirection-Investigation und Anti-Malware-Verification.
url: https://cloud.cc24.dev/f/32342
skillLevel: beginner
domains:
- incident-response
- network-forensics
- malware-analysis
phases:
- examination
- analysis
tags:
- dns-analysis
- hosts-file
- domain-blocking
- dns-hijacking
- traffic-redirection
- sinkhole-analysis
related_concepts:
- Network Protocols & Packet Analysis
- name: Linux Route Filtering Forensik
type: method
description: >-
Routing-Table-Analysis durch route-Command für Network-Traffic-Flow-
Investigation. Static-Route-Configuration-Analysis, Gateway-Manipulation-
Detection, Traffic-Filtering-Verification für Network-Isolation-Analysis
und Lateral-Movement-Investigation.
url: https://cloud.cc24.dev/f/32342
skillLevel: intermediate
domains:
- incident-response
- network-forensics
phases:
- examination
- analysis
tags:
- routing-analysis
- traffic-filtering
- gateway-analysis
- network-isolation
- lateral-movement
- route-manipulation
related_concepts:
- Network Protocols & Packet Analysis
- name: GnuPG Verschlüsselungs-Forensik
type: method
description: >-
OpenPGP-Encryption-Analysis für verschlüsselte Kommunikation und
File-Protection-Investigation. Public/Private-Key-Analysis,
Signature-Verification, Encrypted-Message-Recovery-Techniques und
Key-Ring-Analysis für Cryptographic-Evidence-Processing.
url: https://cloud.cc24.dev/f/32342
skillLevel: advanced
domains:
- static-investigations
- incident-response
phases:
- examination
- analysis
tags:
- encryption-analysis
- pgp-analysis
- key-analysis
- signature-verification
- encrypted-communications
- cryptographic-evidence
related_concepts:
- Hash Functions & Digital Signatures
- name: X.509 Certificate Analysis
type: method
description: >-
SSL/TLS-Certificate-Forensik für HTTPS-Communication-Analysis und
PKI-Investigation. Certificate-Chain-Verification, CA-Trust-Analysis,
Certificate-Metadata-Extraction, Expired/Revoked-Certificate-Detection
für Network-Security-Incident-Analysis.
url: https://cloud.cc24.dev/f/32342
skillLevel: intermediate
domains:
- incident-response
- network-forensics
phases:
- examination
- analysis
tags:
- certificate-analysis
- ssl-tls-analysis
- pki-analysis
- trust-verification
- network-security
- https-analysis
related_concepts:
- Hash Functions & Digital Signatures
- Network Protocols & Packet Analysis
- name: USB Device Forensic Analysis (Linux)
type: method
description: >-
USB-Hardware-Forensik durch usbauth-Framework für Device-Access-Control-
Analysis. USB-Device-History-Reconstruction, Vendor/Product-ID-Analysis,
Port-Binding-Investigation und Device-Type-Classification für
Hardware-Based-Attack-Investigation und Data-Exfiltration-Analysis.
url: https://cloud.cc24.dev/f/32342
skillLevel: intermediate
domains:
- incident-response
- static-investigations
phases:
- examination
- analysis
tags:
- usb-forensics
- hardware-analysis
- device-history
- access-control
- data-exfiltration
- hardware-attacks
related_concepts:
- Timeline Analysis & Event Correlation
- name: Linux Live-Boot Forensik-Umgebung
type: method
description: >-
Kontaminationsfreie Systemuntersuchung durch Boot von USB/DVD ohne
Festplatten-Zugriff. Forensics-Mode deaktiviert automatisches Mounting
und Netzwerk-Services. Ermöglicht saubere Evidence-Akquisition ohne
Host-System-Veränderungen. Alle Änderungen sind nach Ausschalten gelöscht.
url: https://cloud.cc24.dev/f/32342
skillLevel: beginner
domains:
- incident-response
- static-investigations
phases:
- data-collection
- examination
tags:
- live-acquisition
- write-blocker
- contamination-prevention
- forensic-imaging
- read-only-access
related_concepts:
- Digital Evidence Chain of Custody
related_software:
- Kali Linux
- SIFT Workstation
- CAINE
- name: Linux Festplatten-Partitionierung
type: method
description: >-
Systematische Datenträger-Aufteilung mit fdisk (MBR) oder gdisk (GPT) für
forensische Imaging-Workflows. Unterstützt DOS-, GPT-, SGI- und
Sun-Partitionierungen. Kombiniert mit mkfs für Dateisystem-Erstellung.
Essentiell für Evidence-Storage und Analyse-Partitionen.
url: https://cloud.cc24.dev/f/32342
skillLevel: intermediate
domains:
- incident-response
- static-investigations
phases:
- data-collection
- examination
tags:
- disk-partitioning
- gpt-analysis
- mbr-analysis
- filesystem-creation
- evidence-storage
related_concepts:
- File Systems & Storage Forensics
- Digital Evidence Chain of Custody
related_software:
- dd
- FTK Imager
- name: Linux Benutzer- und Rechteverwaltung
type: method
description: >-
Systematische Analyse von /etc/passwd, /etc/shadow und /etc/group für
User-Activity-Reconstruction. Zahlencodierung (chmod 755) und
Symbolic-Notation (rwxr-xr-x) für Dateiberechtigungen. Includes setuid,
setgid und sticky-bit Analyse für Privilege-Escalation-Detection.
url: https://cloud.cc24.dev/f/32342
skillLevel: intermediate
domains:
- incident-response
- static-investigations
- malware-analysis
phases:
- examination
- analysis
tags:
- user-analysis
- permission-analysis
- privilege-escalation
- system-metadata
- access-control
related_concepts:
- File Systems & Storage Forensics
- Timeline Analysis & Event Correlation
related_software:
- grep
- strings
- name: Linux Log-Analyse Methodik
type: method
description: >-
Strukturierte Auswertung von /var/log/* für
Incident-Timeline-Reconstruction. Unix-Time-Konvertierung,
Kernel-Ring-Buffer-Analyse mit dmesg, Authentication-Logs in
auth.log/secure. Korrelation zwischen System-, Kernel- und
Application-Logs für vollständige Event-Sequencing.
url: https://cloud.cc24.dev/f/32342
skillLevel: intermediate
domains:
- incident-response
- static-investigations
- network-forensics
phases:
- examination
- analysis
tags:
- log-analysis
- timeline-analysis
- unix-time
- kernel-analysis
- authentication-logs
- syslog-analysis
related_concepts:
- Timeline Analysis & Event Correlation
related_software:
- grep
- Plaso (log2timeline)
- name: Linux Shell-Historie Forensik
type: method
description: >-
Bash-History-Analyse aus ~/.bash_history für Command-Execution-Timeline.
Erkennung von Anti-Forensik-Techniken: geleerte History, Softlinks auf
/dev/null, manipulierte Timestamps. Korrelation mit Login-Logs für
vollständige User-Activity-Reconstruction ohne Zeitstempel.
url: https://cloud.cc24.dev/f/32342
skillLevel: intermediate
domains:
- incident-response
- static-investigations
- malware-analysis
phases:
- examination
- analysis
tags:
- command-history
- user-activity
- anti-forensics-detection
- bash-analysis
- timeline-reconstruction
- indicator-of-compromise
related_concepts:
- Timeline Analysis & Event Correlation
related_software:
- grep
- strings
- name: Git Repository Forensik
type: method
description: >-
Versionskontroll-System-Analyse für Source-Code-Forensik und
Entwickler-Activity-Tracking. Branch-Timeline-Reconstruction,
Commit-Hash-Verifizierung, Merge-Conflict-Analysis. Collaborative-
Workflow-Investigation über Remote-Repositories und Pull-Requests.
url: https://cloud.cc24.dev/f/32342
skillLevel: advanced
domains:
- incident-response
- static-investigations
- malware-analysis
phases:
- examination
- analysis
tags:
- version-control
- source-code-analysis
- developer-tracking
- commit-analysis
- collaboration-forensics
- hash-verification
related_concepts:
- Hash Functions & Digital Signatures
- Timeline Analysis & Event Correlation
related_software:
- Gitea
- name: iptables Firewall-Forensik
type: method
description: >-
Netzwerk-Traffic-Filtering-Analysis durch iptables-Rules-Reconstruction.
INPUT/OUTPUT/FORWARD-Chain-Analysis, ACCEPT/DROP/REJECT-Actions,
Port-based und IP-based Filtering. Regel-Persistence-Verification und
Anti-Evasion-Configuration für Incident-Response.
url: https://cloud.cc24.dev/f/32342
skillLevel: advanced
domains:
- incident-response
- network-forensics
phases:
- examination
- analysis
tags:
- firewall-analysis
- network-filtering
- traffic-analysis
- rule-analysis
- packet-filtering
- network-security
related_concepts:
- Network Protocols & Packet Analysis
- name: LUKS Disk-Encryption Analysis
type: method
description: >-
Linux Unified Key Setup Verschlüsselungs-Forensik für encrypted
Partitions und Container. Cryptsetup-based Key-Slot-Analysis,
Metadata-Header-Examination, Passphrase-Recovery-Techniques. Integration
mit Filesystem-Mounting für decrypted Evidence-Access.
url: https://cloud.cc24.dev/f/32342
skillLevel: expert
domains:
- static-investigations
- incident-response
phases:
- examination
- analysis
tags:
- disk-encryption
- key-analysis
- encrypted-storage
- partition-analysis
- cryptographic-analysis
- access-recovery
related_concepts:
- Hash Functions & Digital Signatures
- File Systems & Storage Forensics
- name: Linux Secure File Deletion Verification
type: method
description: >-
Forensische Verifikation sicherer Löschvorgänge durch Overwrite-Pattern-
Analysis. Unterscheidung zwischen rm (Filesystem-Entry-Deletion) und
shred (Multi-Pass-Overwriting). Recovery-Verification und Anti-Forensik-
Detection bei unvollständigen Secure-Wipe-Operationen.
url: https://cloud.cc24.dev/f/32342
skillLevel: intermediate
domains:
- static-investigations
- incident-response
phases:
- examination
- analysis
tags:
- secure-deletion
- data-recovery
- overwrite-analysis
- anti-forensics
- file-system-analysis
- data-sanitization
related_concepts:
- File Systems & Storage Forensics
related_software:
- PhotoRec
- dd
- name: Linux Process Memory Analysis
type: method
description: >-
Live-System-Speicher-Untersuchung durch /proc-Filesystem-Analysis.
Process-State-Examination, Memory-Maps-Analysis, Open-Files-Detection via
/proc/PID/. Kernel-Module-Verification und Hidden-Process-Detection für
Rootkit-Analysis ohne Memory-Dump-Tools.
url: https://cloud.cc24.dev/f/32342
skillLevel: advanced
domains:
- incident-response
- malware-analysis
phases:
- examination
- analysis
tags:
- process-analysis
- memory-analysis
- proc-filesystem
- rootkit-detection
- live-analysis
- kernel-analysis
related_concepts:
- Memory Forensics & Process Analysis
- name: ChipWhisperer
type: software
description: >-
Hardware-Sicherheitsanalyse-Plattform für Firmware-Extraktion aus
eingebetteten Systemen durch Stromverbrauchsanalysen. Automatisierte
Differential-Power-Analysis (DPA) und Correlation-Power-Analysis (CPA)
brechen AES-Implementierungen und extrahieren Verschlüsselungsschlüssel
aus Mikrocontrollern. Fehlereinschleusung umgeht Bootloader-Überprüfung
und Secure-Boot-Mechanismen. Besonders wertvoll für IoT-Geräte-Forensik:
Umgehung von Hardware-Security-Modulen, Clock-Glitching für
Code-Ausführungs-Übernahme, Spannungsfehler für
Authentifizierungs-Umgehung. Python-API automatisiert Angriffsszenarien,
CW-Lite/Pro-Hardware skaliert von Hobby bis professionelle
Penetrationstests. Standardplattform für Hardware-Hacking und eingebettete
Systemforensik.
url: https://www.newae.com/chipwhisperer
skillLevel: expert
domains:
- ics-forensics
- static-investigations
phases:
- data-collection
- analysis
platforms:
- Windows
- Linux
- macOS
tags:
- hardware-analysis
- side-channel-attack
- power-analysis
- fault-injection
- embedded-security
- firmware-extraction
- iot-forensics
- hardware-hacking
- encryption-bypass
- python-api
related_concepts:
- Hash Functions & Digital Signatures
related_software:
- Binwalk
- Ghidra
- ICSpector
icon: 🫓
license: GPL-3.0
accessType: download
- name: JTAG-Analyse
type: method
description: >-
Direkter Hardware-Schnittstellenzugriff auf eingebettete Systeme über
Joint Test Action Group Debug-Schnittstelle für Firmware-Extraktion und
Systemanalyse. Boundary-Scan-Verfahren identifiziert verfügbare JTAG-Pins
auch bei undokumentierten Geräten durch systematische Pin-Tests.
Flash-Speicher-Abzüge umgehen Software-Schutzmaßnahmen und extrahieren
komplette Firmware-Abbilder inklusive verschlüsselter Bereiche.
Debug-Port-Ausnutzung ermöglicht Live-Speicherzugriff,
Register-Manipulation und Code-Injection in laufende Systeme. Besonders
kritisch für IoT-Forensik: Router-Hintertüren, intelligente
Geräte-Manipulationen, Industriesteuerungsanlagen-Kompromittierungen.
Kombiniert mit Chip-Off-Techniken für maximale Datenwiederherstellung bei
sicherheitsgehärteten Geräten. Standard-Methodik für Hardware-Forensik.
url: https://www.jtag.com/what-is-jtag-testing-of-electronics-tutorial/#
skillLevel: expert
domains:
- ics-forensics
- mobile-forensics
- static-investigations
phases:
- data-collection
- examination
tags:
- hardware-interface
- firmware-extraction
- debug-access
- boundary-scan
- embedded-analysis
- iot-forensics
- flash-memory
- system-exploitation
- hardware-forensics
- pin-identification
related_concepts:
- Digital Evidence Chain of Custody
related_software:
- ChipWhisperer
- Binwalk
- OpenOCD
icon: 💳
knowledgebase: true
domains:
- id: incident-response
name: Incident Response & Breach-Untersuchung
- id: static-investigations
name: Datenträgerforensik & Ermittlungen
- id: malware-analysis
name: Malware-Analyse & Reverse Engineering
- id: fraud-investigation
name: Betrugs- & Finanzkriminalität
- id: network-forensics
name: Netzwerk-Forensik & Traffic-Analyse
- id: mobile-forensics
name: Mobile Geräte & App-Forensik
- id: cloud-forensics
name: Cloud & Virtuelle Umgebungen
- id: ics-forensics
name: Industrielle Kontrollsysteme (ICS/SCADA)
phases:
- id: data-collection
name: Datensammlung
description: >-
Sicherung digitaler Beweise durch Imaging, Remote Collection und
Live-Akquisition
- id: examination
name: Auswertung
description: >-
Extraktion und initiale Analyse von Artefakten, Parsing von
Datenstrukturen
- id: analysis
name: Analyse
description: >-
Tiefgehende Untersuchung, Korrelation von Beweisen und Rekonstruktion von
Ereignissen
- id: reporting
name: Bericht & Präsentation
description: Dokumentation der Findings, Visualisierung und gerichtsfeste Aufbereitung
domain-agnostic-software:
- id: collaboration-general
name: Übergreifend & Kollaboration
description: Cross-Domain-Tools für Teamwork und Case-Management
- id: specific-os
name: Spezialisierte Betriebssysteme
description: Forensik-optimierte Linux-Distributionen und Live-Systeme
scenarios:
- id: scenario:disk_imaging
icon: 💽
friendly_name: Datenträger sichern
- id: scenario:memory_dump
icon: 🧠
friendly_name: RAM-Speicher analysieren
- id: scenario:file_recovery
icon: 🗑️
friendly_name: Gelöschte Dateien wiederherstellen
- id: scenario:browser_history
icon: 🌍
friendly_name: Browser-Verlauf untersuchen
- id: scenario:credential_theft
icon: 🔑
friendly_name: Gestohlene Zugangsdaten finden
- id: scenario:remote_access
icon: 📡
friendly_name: Fernzugriffe nachweisen
- id: scenario:persistence
icon: ♻️
friendly_name: Persistenz-Mechanismen aufdecken
- id: scenario:windows-registry
icon: 📜
friendly_name: Windows Registry analysieren
skill_levels: {}
Reference in New Issue View Git Blame Copy Permalink