mstoeck3/forensic-pathways
2
0
Fork 0
Code Issues 3 Pull Requests Projects Releases Activity
forensic-pathways/src/data/tools.yaml
overcuriousity a8cc30d5ac finalize methods implementation
2025-07-19 18:54:31 +02:00

1897 lines
55 KiB
YAML
Raw Blame History

tools:
- name: Autopsy
type: software
description: >-
Die führende Open-Source-Alternative zu kommerziellen Forensik-Suiten mit
intuitiver grafischer Oberfläche. Besonders stark in der Timeline-Analyse,
Keyword-Suche und dem Carving gelöschter Dateien. Die modulare
Plugin-Architektur erlaubt Erweiterungen für spezielle
Untersuchungsszenarien. Zwar komplexer als kommerzielle Lösungen, aber
dafür vollständig transparent und kostenfrei.
domains:
- incident-response
- law-enforcement
- malware-analysis
- mobile-forensics
- cloud-forensics
phases:
- examination
- analysis
platforms:
- Windows
- Linux
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://www.autopsy.com/
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- gui
- filesystem
- timeline-analysis
- carving
- artifact-extraction
- keyword-search
- name: Volatility 3
type: software
description: >-
Das Schweizer Taschenmesser der Memory-Forensik, unverzichtbar für die
Analyse von RAM-Dumps. Mit über 100 Plugins extrahiert es Prozesse,
Netzwerkverbindungen, Registry-Keys und versteckte Malware aus dem
Arbeitsspeicher. Die Python-basierte Architektur macht es flexibel
erweiterbar, erfordert aber solide Kommandozeilen-Kenntnisse. Version 3
bringt deutliche Performance-Verbesserungen und bessere
Formatunterstützung.
domains:
- incident-response
- law-enforcement
- malware-analysis
- network-forensics
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
domain-agnostic-software: null
skillLevel: advanced
accessType: download
url: https://www.volatilityfoundation.org/
projectUrl: ''
license: VSL
knowledgebase: false
tags:
- commandline
- memory
- malware-analysis
- artifact-extraction
- scripting
- process-analysis
- name: TheHive 5
type: software
description: >-
Moderne Security-Orchestrierungs-Plattform für die koordinierte
Incident-Response im Team. Integriert nahtlos mit MISP, Cortex und anderen
Security-Tools für automatisierte Workflows. Die kostenlose Community
Edition wurde 2021 eingestellt, was die Langzeitperspektive fraglich
macht. Für professionelle SOCs dennoch eine der besten
Kollaborations-Lösungen am Markt.
domains:
- incident-response
- law-enforcement
- malware-analysis
- network-forensics
phases:
- analysis
- reporting
platforms:
- Web
domain-agnostic-software:
- collaboration-general
skillLevel: intermediate
accessType: server-based
url: https://github.com/TheHive-Project/TheHive
projectUrl: ''
license: Community Edition (Free) / Commercial
knowledgebase: false
tags:
- web-based
- case-management
- collaboration
- api
- workflow-automation
- incident-tracking
statusUrl: https://uptime.example.lab/api/badge/1/status
- name: MISP
type: software
description: >-
Das Rückgrat des modernen Threat-Intelligence-Sharings mit über 40.000
aktiven Instanzen weltweit. Ermöglicht den strukturierten Austausch von
IoCs zwischen Organisationen und automatisierte Bedrohungsanalyse. Die
föderierte Architektur und umfangreiche Taxonomie machen es zum
De-facto-Standard für CTI. Besonders wertvoll durch die Integration in
SIEMs, Firewalls und andere Sicherheitssysteme.
domains:
- incident-response
- law-enforcement
- malware-analysis
- network-forensics
- cloud-forensics
phases:
- examination
- analysis
platforms:
- Web
skillLevel: intermediate
accessType: server-based
url: https://misp-project.org/
projectUrl: https://misp.cc24.dev
license: AGPL-3.0
knowledgebase: true
tags:
- web-based
- threat-intelligence
- api
- correlation
- ioc-sharing
- automation
statusUrl: https://status.mikoshi.de/api/badge/34/status
- name: Timesketch
type: software
description: >-
Google's Open-Source-Lösung für kollaborative Timeline-Analyse großer
Datensätze. Visualisiert und korreliert Ereignisse aus verschiedenen
Quellen in einer interaktiven Zeitachse. Die Plaso-Integration ermöglicht
automatisches Parsing hunderter Log-Formate. Ideal für komplexe Fälle mit
mehreren Analysten und Millionen von Zeitstempeln.
domains:
- incident-response
- law-enforcement
- network-forensics
- cloud-forensics
phases:
- analysis
- reporting
platforms:
- Web
domain-agnostic-software: null
skillLevel: intermediate
accessType: server-based
url: https://timesketch.org/
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- web-based
- timeline-analysis
- visualization
- collaboration
- logs
- correlation
statusUrl: https://uptime.example.lab/api/badge/3/status
- name: Wireshark
type: software
description: >-
Der unangefochtene König der Netzwerk-Protokoll-Analyse mit Support für
über 3000 Protokolle. Unverzichtbar für die Untersuchung von
Netzwerk-Anomalien, Malware-Kommunikation und Datenexfiltration. Die
mächtigen Display-Filter und Follow-Stream-Funktionen machen komplexe
Analysen zugänglich. Hauptnachteil: Benötigt vorhandene PCAP-Dateien,
eignet sich weniger für historische Analysen.
domains:
- incident-response
- malware-analysis
- network-forensics
- cloud-forensics
- ics-forensics
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://www.wireshark.org/
projectUrl: ''
license: GPL-2.0
knowledgebase: false
tags:
- gui
- network-traffic
- packet-capture
- protocol-analysis
- visualization
- filtering
- name: Magnet AXIOM
type: software
description: >-
Die Rolls-Royce unter den kommerziellen Forensik-Suiten mit
beeindruckender Automatisierung. Glänzt besonders bei Cloud-Forensik mit
nativer Unterstützung für Google, Apple und Microsoft-Dienste. Die
KI-gestützte Bilderkennung und Connection-Analyse spart Ermittlern
wertvolle Zeit. Der Preis von mehreren zehntausend Euro macht es primär
für Behörden und Großunternehmen interessant.
domains:
- incident-response
- law-enforcement
- mobile-forensics
- cloud-forensics
phases:
- data-collection
- examination
- analysis
- reporting
platforms:
- Windows
domain-agnostic-software: null
skillLevel: beginner
accessType: commercial
url: https://www.magnetforensics.com/products/magnet-axiom/
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- gui
- cloud-data
- mobile-data
- artifact-extraction
- automated-analysis
- reporting
- name: Cellebrite UFED
type: software
description: >-
Der Goldstandard der mobilen Forensik mit legendären
Entsperrungsfähigkeiten für aktuelle Smartphones. Nutzt Zero-Day-Exploits
und Hardware-Schwachstellen für den Zugriff auf verschlüsselte Geräte. Die
Physical Analyzer Software macht die extrahierten Daten durch intelligente
Visualisierung verständlich. Mit Preisen im sechsstelligen Bereich und
ethischen Bedenken bezüglich der Käuferauswahl nicht unumstritten.
domains:
- law-enforcement
- mobile-forensics
phases:
- data-collection
- examination
- analysis
platforms:
- Windows
domain-agnostic-software: null
skillLevel: beginner
accessType: commercial
url: https://cellebrite.com/en/ufed/
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- gui
- mobile-data
- decryption
- artifact-extraction
- hardware-interface
- automated-analysis
- name: Cuckoo Sandbox 3
type: software
description: >-
Die führende Open-Source-Sandbox für automatisierte Malware-Analyse in
isolierten Umgebungen. Zeichnet Systemaufrufe, Netzwerkverkehr und
Verhaltensänderungen während der Malware-Ausführung auf. Version 3 vom
CERT-EE bringt moderne Python-3-Unterstützung und verbesserte
Erkennungsumgehung. Die Einrichtung erfordert fundierte
Virtualisierungskenntnisse, belohnt aber mit detaillierten Reports.
domains:
- incident-response
- malware-analysis
phases:
- examination
- analysis
platforms:
- Linux
- Web
domain-agnostic-software: null
skillLevel: advanced
accessType: server-based
url: https://github.com/cert-ee/cuckoo3
projectUrl: ''
license: GPL-3.0
knowledgebase: false
tags:
- web-based
- malware-analysis
- behavioral-analysis
- api
- virtualization
- automated-analysis
- name: Ghidra
type: software
description: >-
NSAs Geschenk an die Reverse-Engineering-Community als mächtige
Alternative zu IDA Pro. Der Decompiler verwandelt Maschinencode zurück in
lesbaren Pseudocode für tiefgehende Analyse. Unterstützt dutzende
Prozessorarchitekturen von x86 bis zu obskuren Embedded-Systemen. Die
steile Lernkurve wird durch die aktive Community und exzellente
Dokumentation gemildert.
domains:
- malware-analysis
- ics-forensics
phases:
- analysis
platforms:
- Windows
- Linux
- macOS
domain-agnostic-software: null
skillLevel: expert
accessType: download
url: https://github.com/NationalSecurityAgency/ghidra
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- gui
- reverse-engineering
- binary
- decompilation
- scripting
- static-analysis
- name: Plaso (log2timeline)
type: software
description: >-
Der industrielle Staubsauger für Zeitstempel - extrahiert aus hunderten
Quellen eine Super-Timeline. Parst Windows-Event-Logs, Browser-Historie,
Registry und vieles mehr in ein einheitliches Format. Die Integration mit
Timesketch ermöglicht die Visualisierung von Millionen Events. Performance
kann bei großen Datenmengen leiden, aber die Vollständigkeit ist
unübertroffen.
domains:
- incident-response
- law-enforcement
- network-forensics
- cloud-forensics
phases:
- data-collection
- examination
platforms:
- Windows
- Linux
- macOS
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://plaso.readthedocs.io/
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- commandline
- logs
- timeline-analysis
- parsing
- artifact-extraction
- scripting
- name: CyberChef
type: software
description: >-
Das digitale Schweizer Taschenmesser für Daten-Manipulation mit über 300
Operations. Von Base64-Dekodierung über Verschlüsselung bis zur
Malware-Deobfuskation - alles im Browser. Die visuelle "Rezept"-Metapher
macht komplexe Transformationsketten intuitiv verständlich. Unverzichtbar
für CTF-Challenges und tägliche Forensik-Aufgaben gleichermaßen.
domains:
- incident-response
- law-enforcement
- malware-analysis
- network-forensics
phases:
- examination
- analysis
platforms:
- Web
domain-agnostic-software: null
skillLevel: beginner
accessType: server-based
url: https://gchq.github.io/CyberChef/
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- web-based
- decoding
- encryption
- data-transformation
- visualization
- parsing
- name: Velociraptor
type: software
description: >-
Die nächste Evolution der Endpoint-Forensik mit skalierbarer
Remote-Collection-Architektur. Die mächtige VQL-Abfragesprache ermöglicht
chirurgisch präzise Artefakt-Sammlung ohne Full-Disk-Images.
Hunt-Funktionen durchsuchen tausende Endpoints gleichzeitig nach
Kompromittierungs-Indikatoren. Die Lernkurve ist steil, aber die
Effizienzgewinne bei großen Infrastrukturen sind enorm.
domains:
- incident-response
- law-enforcement
- malware-analysis
- fraud-investigation
- network-forensics
- cloud-forensics
phases:
- data-collection
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
- Web
domain-agnostic-software: null
skillLevel: advanced
accessType: server-based
url: https://www.velociraptor.app/
projectUrl: https://raptor.cc24.dev
license: Apache 2.0
knowledgebase: true
tags:
- web-based
- endpoint-monitoring
- artifact-extraction
- scripting
- live-forensics
- hunting
statusUrl: https://status.mikoshi.de/api/badge/33/status
- name: GRR Rapid Response
type: software
description: >-
Googles Antwort auf Enterprise-Scale-Forensik für die Untersuchung von
Flotten mit tausenden Clients. Sammelt gezielt Artefakte und führt
Memory-Analysen remote durch, ohne Systeme offline zu nehmen. Weniger
Features als Velociraptor, dafür stabiler und einfacher in der Handhabung.
Die Python-API ermöglicht die Automatisierung wiederkehrender
Untersuchungen.
domains:
- incident-response
- law-enforcement
- malware-analysis
- fraud-investigation
phases:
- data-collection
- examination
platforms:
- Windows
- Linux
- macOS
- Web
domain-agnostic-software: null
skillLevel: advanced
accessType: server-based
url: https://github.com/google/grr
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- web-based
- endpoint-monitoring
- artifact-extraction
- api
- live-forensics
- fleet-management
- name: Arkime
type: software
description: >-
Das Heavy-Metal-Tool für Full-Packet-Capture mit der Fähigkeit, Petabytes
an Netzwerkverkehr zu speichern. Indiziert in Echtzeit Metadaten für
blitzschnelle Suchen über Monate historischer Daten. Die Integration mit
Elasticsearch ermöglicht komplexe Queries über Sessions, IPs und Payloads.
Ressourcenhungrig aber unverzichtbar für ernsthafte Network Security
Monitoring Operations.
domains:
- incident-response
- law-enforcement
- network-forensics
- cloud-forensics
phases:
- data-collection
- examination
- analysis
platforms:
- Linux
domain-agnostic-software: null
skillLevel: expert
accessType: server-based
url: https://arkime.com/
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- web-based
- network-traffic
- packet-capture
- indexing
- api
- big-data
- name: NetworkMiner
type: software
description: >-
Der benutzerfreundliche kleine Bruder von Wireshark mit Fokus auf Forensik
statt Live-Analyse. Extrahiert automatisch übertragene Dateien, Bilder und
Credentials aus PCAP-Dateien. Die intuitive GUI zeigt Hosts, Sessions und
DNS-Queries übersichtlich ohne komplexe Filter. Perfekt für Einsteiger und
schnelle Übersichten, an Grenzen bei verschlüsseltem Traffic.
domains:
- incident-response
- law-enforcement
- malware-analysis
- network-forensics
phases:
- examination
- analysis
platforms:
- Windows
- Linux
domain-agnostic-software: null
skillLevel: beginner
accessType: download
url: https://www.netresec.com/?page=NetworkMiner
projectUrl: ''
license: GPL-2.0 / Commercial
knowledgebase: false
tags:
- gui
- network-traffic
- file-extraction
- visualization
- parsing
- session-reconstruction
- name: ExifTool
type: software
description: >-
Der Metadaten-Maestro, der aus über 1000 Dateiformaten verborgene
Informationen extrahiert. Findet GPS-Koordinaten in Fotos, Autoren in
Dokumenten und Bearbeitungshistorien in PDFs. Die Kommandozeile mag
abschrecken, aber die Mächtigkeit ist unübertroffen. Ein Must-Have für
jede Forensik-Toolbox, oft der erste Schritt bei
Dokumenten-Untersuchungen.
domains:
- incident-response
- law-enforcement
- fraud-investigation
- mobile-forensics
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
domain-agnostic-software: null
skillLevel: novice
accessType: download
url: https://exiftool.org/
projectUrl: ''
license: Perl Artistic License
knowledgebase: false
tags:
- commandline
- metadata
- parsing
- artifact-extraction
- scripting
- batch-processing
- name: Chainalysis
type: software
description: >-
Der Platzhirsch der Blockchain-Forensik mit Zugriff auf die größte
Krypto-Intelligence-Datenbank weltweit. Clustering-Algorithmen
identifizieren Exchanges, Mixer und Darknet-Märkte mit beeindruckender
Genauigkeit. Die Sanctions Screening und Compliance-Features machen es zur
ersten Wahl für Behörden. Lizenzkosten im sechsstelligen Bereich
limitieren den Zugang auf Großorganisationen.
domains:
- law-enforcement
- fraud-investigation
phases:
- analysis
- reporting
platforms:
- Web
domain-agnostic-software: null
skillLevel: intermediate
accessType: commercial
url: https://www.chainalysis.com/
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- web-based
- blockchain
- visualization
- correlation
- api
- reporting
- name: Neo4j
type: software
description: >-
Die führende Graph-Datenbank verwandelt komplexe Beziehungsgeflechte in
verständliche Visualisierungen. Mit Cypher-Queries lassen sich
Verbindungen zwischen Personen, Transaktionen und Events aufdecken.
Besonders wertvoll für Social-Media-Analysen, Geldflüsse und
Organisations-Strukturen. Die Community Edition limitiert auf einen
Benutzer - für Teams ist die kommerzielle Version nötig.
domains:
- law-enforcement
- malware-analysis
- fraud-investigation
- network-forensics
- cloud-forensics
phases:
- analysis
- reporting
platforms:
- Windows
- Linux
- macOS
- Web
domain-agnostic-software: null
skillLevel: intermediate
accessType: server-based
url: https://neo4j.com/
projectUrl: https://graph.cc24.dev
license: GPL-3.0 / Commercial
knowledgebase: false
tags:
- web-based
- visualization
- graph-analysis
- api
- correlation
- query-language
statusUrl: https://status.mikoshi.de/api/badge/32/status
- name: QGIS
type: software
description: >-
Das Open-Source-GIS-Kraftpaket für die Visualisierung von Geodaten in
forensischen Untersuchungen. Erstellt aus GPS-Logs von Smartphones
beeindruckende Bewegungsprofile und Heatmaps. Die Python-Integration
ermöglicht automatisierte Analysen großer Datensätze. Unverzichtbar wenn
Fahrzeuge, Drohnen oder mobile Geräte mit Standortdaten involviert sind.
domains:
- law-enforcement
- fraud-investigation
- mobile-forensics
phases:
- analysis
- reporting
platforms:
- Windows
- Linux
- macOS
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://qgis.org/
projectUrl: ''
license: GPL-2.0
knowledgebase: false
tags:
- gui
- geospatial
- visualization
- mapping
- scripting
- reporting
- name: Nextcloud
type: software
description: >-
Die Open-Source-Cloud-Suite als sichere Kollaborations-Zentrale für
Forensik-Teams. Bietet verschlüsselte Dateifreigabe, Office-Integration
und Videokonferenzen DSGVO-konform. Der eingebaute SSO-Provider
vereinfacht das Identity Management für andere Forensik-Tools. Skaliert
vom Raspberry Pi für kleine Teams bis zur High-Availability-Installation.
domains:
- incident-response
- law-enforcement
- malware-analysis
- fraud-investigation
- network-forensics
- mobile-forensics
- cloud-forensics
- ics-forensics
phases:
- reporting
platforms:
- Web
domain-agnostic-software:
- collaboration-general
skillLevel: novice
accessType: server-based
url: https://nextcloud.com/
projectUrl: https://cloud.cc24.dev
license: AGPL-3.0
knowledgebase: true
tags:
- web-based
- collaboration
- file-sharing
- api
- encryption
- document-management
statusUrl: https://status.mikoshi.de/api/badge/11/status
- name: Gitea
type: software
description: >-
Das leichtgewichtige Git-Repository für die Versionierung von
Forensik-Skripten und Dokumentation. Perfekt für die Verwaltung von
YARA-Rules, Volatility-Plugins und Analysetools im Team. Die eingebaute
CI/CD-Pipeline automatisiert Tool-Deployments und Qualitätschecks.
Ressourcenschonend genug für den Betrieb auf einem NAS oder Mini-Server.
domains:
- incident-response
- malware-analysis
phases:
- reporting
platforms:
- Web
domain-agnostic-software:
- collaboration-general
skillLevel: beginner
accessType: server-based
url: https://gitea.io/
projectUrl: https://git.cc24.dev
license: MIT
knowledgebase: null
tags:
- web-based
- version-control
- collaboration
- api
- documentation
- ci-cd
statusUrl: https://status.mikoshi.de/api/badge/18/status
- name: Binwalk
type: software
description: >-
Der Firmware-Flüsterer, der aus IoT-Geräten und Routern ihre Geheimnisse
extrahiert. Erkennt eingebettete Dateisysteme, komprimierte Archive und
versteckte Partitionen automatisch. Besonders wertvoll für die Analyse von
Embedded-Malware und Backdoors in Smart Devices. Die Magie liegt in den
Signaturen - mit eigenen Rules erweiterbar für spezielle Formate.
domains:
- malware-analysis
- ics-forensics
phases:
- examination
- analysis
platforms:
- Linux
- macOS
domain-agnostic-software: null
skillLevel: advanced
accessType: download
url: https://github.com/ReFirmLabs/binwalk
projectUrl: ''
license: MIT
knowledgebase: false
tags:
- commandline
- firmware
- carving
- binary
- extraction
- scripting
- name: LibreOffice
type: software
description: >-
Die freie Office-Suite, die mehr kann als nur Berichte schreiben. Calc
eignet sich hervorragend für die Analyse von CSV-Exporten und Log-Dateien.
Die Makro-Funktionen ermöglichen die Automatisierung wiederkehrender
Auswertungen. Als Standardformat für Abschlussberichte unverzichtbar und
überall einsetzbar.
domains:
- incident-response
- law-enforcement
- malware-analysis
- fraud-investigation
- network-forensics
- mobile-forensics
- cloud-forensics
- ics-forensics
phases:
- examination
- analysis
- reporting
platforms:
- Windows
- Linux
- macOS
domain-agnostic-software:
- collaboration-general
skillLevel: novice
accessType: download
url: https://www.libreoffice.org/
projectUrl: ''
license: Mozilla Public License Version 2.0
knowledgebase: false
tags:
- gui
- document-creation
- spreadsheet-analysis
- reporting
- data-processing
- scripting
- name: Microsoft Office 365
type: software
description: >-
Der Industriestandard für professionelle Dokumentation mit nahtloser
Cloud-Integration. Excel's Power Query verwandelt komplexe
Forensik-Datensätze in aussagekräftige Visualisierungen. Die
Kollaborations-Features ermöglichen Echtzeit-Zusammenarbeit an Berichten.
Datenschutzbedenken bei Cloud-Speicherung sensibler Forensik-Daten sollten
bedacht werden.
domains:
- incident-response
- law-enforcement
- malware-analysis
- fraud-investigation
- network-forensics
- mobile-forensics
- cloud-forensics
- ics-forensics
phases:
- examination
- analysis
- reporting
platforms:
- Windows
- macOS
- Web
domain-agnostic-software:
- collaboration-general
skillLevel: novice
accessType: commercial
url: https://www.office.com/
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- gui
- document-creation
- spreadsheet-analysis
- collaboration
- cloud-based
- reporting
- name: GraphSense
type: software
description: >-
Die europäische Alternative zu Chainalysis mit Open-Source-Kern und Fokus
auf Privatsphäre. Clustering-Qualität noch nicht auf Chainalysis-Niveau,
dafür vollständige Kontrolle über die Daten. Die
Cassandra-Backend-Anforderungen machen Self-Hosting zur Herausforderung
für kleine Teams. Ideal für Organisationen, die Blockchain-Analysen ohne
US-Cloud-Abhängigkeit benötigen.
domains:
- law-enforcement
- fraud-investigation
phases:
- analysis
- reporting
platforms:
- Web
domain-agnostic-software: null
skillLevel: intermediate
accessType: server-based
url: https://graphsense.org/
projectUrl: ''
license: MIT
knowledgebase: false
tags:
- web-based
- blockchain
- visualization
- graph-analysis
- api
- big-data
- name: FTK Imager
type: software
description: >-
Der Oldtimer unter den Imaging-Tools, aber immer noch zuverlässig wie ein
Schweizer Uhrwerk. Erstellt bit-genaue Kopien von Festplatten mit
integrierter Hash-Verifizierung für die Beweiskette. Die kostenlose
Version reicht für die meisten Aufgaben, unterstützt alle gängigen
Image-Formate. Etwas angestaubt in der Oberfläche, aber bewährt in
tausenden Gerichtsverfahren.
domains:
- law-enforcement
- incident-response
phases:
- data-collection
platforms:
- Windows
domain-agnostic-software: null
skillLevel: beginner
accessType: download
url: https://www.exterro.com/digital-forensics-software/ftk-imager
projectUrl: ''
license: Freeware
knowledgebase: false
tags:
- gui
- imaging
- filesystem
- hashing
- verification
- write-blocking
- name: Guymager
type: software
description: >-
Das schlanke Linux-Imaging-Tool mit Fokus auf Performance und
Zuverlässigkeit. Multi-threaded Design nutzt moderne CPUs optimal für
schnellstmögliche Akquisition. Unterstützt RAW, EWF und AFF Formate mit
simultaner Hash-Berechnung. Die spartanische Oberfläche täuscht über die
solide Technik unter der Haube hinweg.
domains:
- incident-response
- law-enforcement
phases:
- data-collection
platforms:
- Linux
domain-agnostic-software: null
skillLevel: novice
accessType: download
url: https://guymager.sourceforge.io/
projectUrl: ''
license: GPL-2.0
knowledgebase: false
tags:
- gui
- imaging
- filesystem
- hashing
- multi-threading
- write-blocking
- name: Fuji
type: software
description: >-
Der Geheimtipp für macOS-Forensiker - Live-Imaging ohne
Kernel-Modifikationen. Umgeht geschickt Apples Sicherheitsmechanismen für
forensisch saubere Speicherabbilder. Besonders wertvoll da kommerzielle
Mac-Forensik-Tools rar und teuer sind. Die aktive Community sorgt für
Updates bei neuen macOS-Versionen.
domains:
- incident-response
- law-enforcement
phases:
- data-collection
platforms:
- macOS
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/Lazza/Fuji
projectUrl: ''
license: GPL-3.0
knowledgebase: false
tags:
- commandline
- imaging
- memory
- live-forensics
- filesystem
- macos-specific
- name: ALEAPP
type: software
description: >-
Android-Forensik leicht gemacht - parst dutzende Apps und System-Artefakte
automatisch. Von WhatsApp-Chats über Standortdaten bis zu gelöschten
SQLite-Einträgen wird alles extrahiert. Die HTML-Reports sind gerichtsfest
aufbereitet mit Timeline und Kommunikationsanalyse. Teil der beliebten
LEAPP-Familie, ständig aktualisiert für neue Android-Versionen.
domains:
- incident-response
- law-enforcement
- mobile-forensics
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/abrignoni/ALEAPP
projectUrl: ''
license: MIT
knowledgebase: false
tags:
- gui
- mobile-data
- artifact-extraction
- parsing
- reporting
- timeline-analysis
- name: iLEAPP
type: software
description: >-
Das iOS-Pendant zu ALEAPP mit Fokus auf Apple's geschlossenem Ökosystem.
Extrahiert versteckte Schätze aus iPhone-Backups inklusive gelöschter
Daten. Besonders stark bei der Analyse von iMessage, FaceTime und
Apple-eigenen Apps. Die regelmäßigen Updates halten Schritt mit
iOS-Änderungen und neuen Artefakten.
domains:
- incident-response
- law-enforcement
- mobile-forensics
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/abrignoni/iLEAPP
projectUrl: ''
license: MIT
knowledgebase: false
tags:
- gui
- mobile-data
- artifact-extraction
- parsing
- reporting
- ios-specific
- name: VLEAPP
type: software
description: >-
Die Zukunft der Fahrzeug-Forensik für vernetzte Autos und
Infotainment-Systeme. Parst CAN-Bus-Daten, GPS-Tracks und
Smartphone-Verbindungen aus modernen Fahrzeugen. Ein Nischen-Tool, aber
unverzichtbar bei Unfallrekonstruktionen und Kriminalfällen. Die
Unterstützung für verschiedene Hersteller wächst mit der Community.
domains:
- law-enforcement
- ics-forensics
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/abrignoni/VLEAPP
projectUrl: ''
license: MIT
knowledgebase: false
tags:
- gui
- vehicle-data
- artifact-extraction
- parsing
- gps-analysis
- can-bus
- name: Kali Linux
type: software
description: >-
Die Schweizer Armee-Messer-Distribution mit über 600 vorinstallierten
Security-Tools. Von Forensik über Penetration Testing bis Reverse
Engineering ist alles an Bord. Die Live-Boot-Option ermöglicht forensische
Untersuchungen ohne Installation. Regelmäßige Updates halten die
Tool-Sammlung auf dem neuesten Stand.
domains:
- incident-response
- law-enforcement
- malware-analysis
- fraud-investigation
- network-forensics
- mobile-forensics
- cloud-forensics
- ics-forensics
phases: []
platforms:
- OS
domain-agnostic-software:
- specific-os
skillLevel: intermediate
accessType: download
url: https://kali.org/
projectUrl: null
license: GPL-3.0
knowledgebase: true
tags:
- live-boot
- tool-collection
- penetration-testing
- forensics-suite
- virtualization
- arm-support
- name: dd
type: software
description: >-
Das Unix-Urgestein für bit-genaues Kopieren von Datenträgern seit 1974.
Minimalistisch aber mächtig - der Goldstandard für forensische Disk-Images
unter Linux. Mit den richtigen Parametern (conv=noerror,sync) übersteht es
auch defekte Sektoren. Keine Schnörkel, keine GUI, nur pure
Zuverlässigkeit für Forensik-Puristen.
domains:
- incident-response
- law-enforcement
phases:
- data-collection
platforms:
- Linux
- macOS
domain-agnostic-software: null
skillLevel: intermediate
accessType: built-in
url: https://www.gnu.org/software/coreutils/dd
projectUrl: ''
license: GPL-3.0
knowledgebase: false
tags:
- commandline
- imaging
- raw-copy
- block-device
- unix-tool
- scripting
- name: dcfldd
type: software
description: >-
Die forensische Weiterentwicklung von dd mit eingebauter
Hash-Verifizierung. Zeigt Fortschrittsbalken, splittet große Images und
berechnet mehrere Hashes gleichzeitig. Von der DoD Computer Forensics Lab
entwickelt für professionelle Anforderungen. Die Status-Ausgabe während
langer Imaging-Vorgänge rettet Nerven und Zeit.
domains:
- incident-response
- law-enforcement
phases:
- data-collection
platforms:
- Linux
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/resurrecting-open-source-projects/dcfldd
projectUrl: ''
license: GPL-2.0
knowledgebase: false
tags:
- commandline
- imaging
- hashing
- verification
- progress-monitoring
- split-output
- name: ewfacquire
type: software
description: >-
Das Kommandozeilen-Tool für Expert Witness Format (E01) Images mit
Kompression. Teil der libewf-Suite, erstellt gerichtsfeste Images mit
Metadaten und Chain of Custody. Besonders wertvoll für große Datenträger
dank effizienter Kompression. Die E01-Kompatibilität ermöglicht nahtlosen
Austausch mit kommerziellen Tools.
domains:
- incident-response
- law-enforcement
phases:
- data-collection
platforms:
- Linux
- macOS
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/libyal/libewf
projectUrl: ''
license: LGPL-3.0
knowledgebase: false
tags:
- commandline
- imaging
- compression
- ewf-format
- metadata
- verification
- name: PhotoRec
type: software
description: >-
Der Datenretter in der Not - findet gelöschte Dateien ohne
Dateisystem-Strukturen. Signature-basiertes Carving für über 300
Dateiformate von Fotos bis Office-Dokumenten. Arbeitet read-only und ist
damit forensisch sauber für die Beweissicherung. Die Schwestersoftware
TestDisk repariert zusätzlich beschädigte Partitionen.
domains:
- incident-response
- law-enforcement
- fraud-investigation
phases:
- examination
platforms:
- Windows
- Linux
- macOS
domain-agnostic-software: null
skillLevel: beginner
accessType: download
url: https://www.cgsecurity.org/wiki/PhotoRec
projectUrl: ''
license: GPL-2.0
knowledgebase: false
tags:
- commandline
- carving
- file-recovery
- deleted-data
- signature-based
- cross-platform
- name: Kismet
type: software
description: >-
Der WLAN-Schnüffler der Extraklasse für Wireless-Forensik und
Sicherheitsaudits. Passives Monitoring deckt versteckte Netzwerke, Rogue
Access Points und Client-Geräte auf. Die GPS-Integration ermöglicht
War-Driving mit präziser Standort-Zuordnung. Unterstützt moderne Standards
wie 802.11ac und Bluetooth LE Sniffing.
domains:
- incident-response
- network-forensics
phases:
- data-collection
- examination
platforms:
- Linux
domain-agnostic-software: null
skillLevel: advanced
accessType: download
url: https://www.kismetwireless.net/
projectUrl: ''
license: GPL-2.0
knowledgebase: false
tags:
- commandline
- wireless-monitoring
- packet-capture
- gps-integration
- passive-scanning
- api
- name: OSFMount
type: software
description: >-
Mountet Disk-Images als virtuelle Laufwerke unter Windows für komfortable
Analyse. Unterstützt alle gängigen Formate von RAW über E01 bis zu
VM-Images. Der schreibgeschützte Modus garantiert forensische Integrität
der Beweise. Besonders praktisch für schnelle Triage ohne vollständige
Forensik-Suite.
domains:
- incident-response
- law-enforcement
phases:
- examination
platforms:
- Windows
domain-agnostic-software: null
skillLevel: beginner
accessType: download
url: https://www.osforensics.com/tools/mount-disk-images.html
projectUrl: ''
license: Freeware
knowledgebase: false
tags:
- gui
- image-mounting
- filesystem
- read-only
- virtual-drive
- format-support
- name: Thumbcache Viewer
type: software
description: >-
Spezialist für Windows Thumbnail-Caches mit Zugriff auf gelöschte
Bildvorschauen. Extrahiert Thumbnails aus thumbcache_*.db Dateien
inklusive EXIF-Zeitstempel. Unbezahlbar für den Nachweis, dass Bilder auf
einem System vorhanden waren. Die einfache GUI macht es auch für weniger
technische Ermittler zugänglich.
domains:
- law-enforcement
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
domain-agnostic-software: null
skillLevel: beginner
accessType: download
url: https://thumbcacheviewer.github.io/
projectUrl: ''
license: GPL-3.0
knowledgebase: false
tags:
- gui
- windows-artifacts
- image-analysis
- cache-analysis
- thumbnail-extraction
- deleted-data
- name: RegRipper
type: software
description: >-
Der Windows-Registry-Experte mit hunderten Plugins für automatisierte
Analyse. Extrahiert USB-Historie, installierte Software,
Benutzeraktivitäten und Malware-Spuren. Die Plugin-Architektur erlaubt
maßgeschneiderte Untersuchungen für spezielle Fälle. Spart Stunden
manueller Registry-Analyse und findet oft übersehene Artefakte.
domains:
- incident-response
- law-enforcement
- malware-analysis
phases:
- examination
- analysis
platforms:
- Windows
- Linux
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/keydet89/RegRipper3.0
projectUrl: ''
license: MIT
knowledgebase: false
tags:
- commandline
- registry
- windows-artifacts
- parsing
- plugin-system
- artifact-extraction
- name: YARA
type: software
description: >-
Die Pattern-Matching-Engine für Malware-Jäger und Threat Hunter.
Regelbasierte Suche nach Strings, Byte-Sequenzen und regulären Ausdrücken.
De-facto Standard für Malware-Signaturen mit riesiger
Community-Rule-Sammlung. Integration in viele Forensik-Tools macht es zum
universellen Schweizer Messer.
domains:
- incident-response
- malware-analysis
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://virustotal.github.io/yara/
projectUrl: ''
license: BSD-3-Clause
knowledgebase: false
tags:
- commandline
- pattern-matching
- malware-detection
- rule-engine
- library
- signature-based
- name: Strings
type: software
description: >-
Das simple Tool mit großer Wirkung - extrahiert lesbare Texte aus
Binärdateien. Findet URLs, Passwörter, Pfade und andere
ASCII/Unicode-Strings in Malware. Die Ausgabe gibt oft erste Hinweise auf
Funktionalität und Herkunft. In Kombination mit grep ein mächtiges
Werkzeug für schnelle Triage.
domains:
- incident-response
- malware-analysis
phases:
- examination
platforms:
- Windows
- Linux
- macOS
domain-agnostic-software: null
skillLevel: novice
accessType: built-in
url: https://docs.microsoft.com/en-us/sysinternals/downloads/strings
projectUrl: ''
license: Proprietary/GPL
knowledgebase: false
tags:
- commandline
- string-extraction
- binary
- quick-analysis
- text-search
- cross-platform
- name: MaxMind GeoIP
type: software
description: >-
Die Geolocation-Datenbank für IP-Adressen-Zuordnung zu Ländern und
Städten. Unverzichtbar für die Analyse von Netzwerk-Logs und
Angriffsherkunft. Die kostenlose GeoLite2-Version reicht für die meisten
forensischen Zwecke. API-Integration ermöglicht automatisierte
Anreicherung großer Datensätze.
domains:
- incident-response
- network-forensics
- fraud-investigation
phases:
- analysis
platforms:
- Windows
- Linux
- macOS
domain-agnostic-software: null
skillLevel: beginner
accessType: download
url: https://www.maxmind.com/
projectUrl: ''
license: GeoLite2 EULA / Commercial
knowledgebase: false
tags:
- api
- geolocation
- ip-analysis
- database
- enrichment
- library
- name: SIFT Workstation
type: software
description: >-
SANS' kuratierte Ubuntu-Distribution vollgepackt mit Forensik-Tools und
Skripten. Über 500 Tools vorinstalliert, vorkonfiguriert und dokumentiert
für sofortigen Einsatz. Die begleitenden Trainingsmaterialien machen es
zur idealen Lernumgebung. Regelmäßige Updates vom SANS-Team halten die
Tool-Sammlung aktuell.
domains:
- incident-response
- law-enforcement
- malware-analysis
- network-forensics
- mobile-forensics
phases: []
platforms:
- OS
domain-agnostic-software:
- specific-os
skillLevel: intermediate
accessType: download
url: https://www.sans.org/tools/sift-workstation/
projectUrl: ''
license: Free / Mixed
knowledgebase: false
tags:
- virtual-machine
- tool-collection
- forensics-suite
- training-focused
- documentation
- ubuntu-based
- name: Tsurugi Linux
type: software
description: >-
Die von Forensikern entwickelte Forensik-Distribution mit Fokus auf
Benutzerfreundlichkeit. Besonders stark bei Mobile- und Malware-Forensik
mit vielen spezialisierten Tools. Die DFIR-Menüstruktur gruppiert Tools
logisch nach Untersuchungsphasen. Läuft performant auch auf älterer
Hardware dank optimiertem Kernel. Hat einen integrierten Write-Blocker und
existiert in einer reduzierten "Acquire"-Version, die Imaging als
Live-System-Umgebung ermöglicht.
domains:
- incident-response
- law-enforcement
- malware-analysis
- mobile-forensics
platforms:
- OS
domain-agnostic-software:
- specific-os
skillLevel: intermediate
accessType: download
url: https://tsurugi-linux.org/
license: GPL / Mixed
knowledgebase: false
tags:
- live-boot
- tool-collection
- forensics-suite
- mobile-focus
- lightweight
- name: Parrot Security OS
type: software
description: >-
Die Datenschutz-fokussierte Alternative zu Kali mit Forensik-Werkzeugen.
AnonSurf für anonymisierte Ermittlungen und verschlüsselte Kommunikation
eingebaut. Ressourcenschonender als Kali, läuft flüssig auch in VMs mit
wenig RAM. Die rolling-release Natur hält Tools aktuell ohne
Neuinstallation.
domains:
- incident-response
- law-enforcement
- malware-analysis
- network-forensics
phases: []
platforms:
- OS
domain-agnostic-software:
- specific-os
skillLevel: intermediate
accessType: download
url: https://parrotsec.org/
projectUrl: ''
license: GPL-3.0
knowledgebase: false
tags:
- live-boot
- privacy-focused
- tool-collection
- rolling-release
- lightweight
- anonymization
- name: Eric Zimmerman Tools
type: software
description: >-
Die Tool-Sammlung des Windows-Forensik-Gurus für Artefakt-Analyse. Von
ShellBags über Prefetch bis zu Amcache - jedes Tool ein Spezialist. Die
Timeline Explorer GUI vereint alle Ausgaben in einer durchsuchbaren
Ansicht. Ständige Updates für neue Windows-Versionen und Cloud-Artefakte.
domains:
- incident-response
- law-enforcement
phases:
- examination
- analysis
platforms:
- Windows
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://ericzimmerman.github.io/
projectUrl: ''
license: MIT
knowledgebase: false
tags:
- commandline
- windows-artifacts
- parsing
- timeline-analysis
- tool-collection
- artifact-extraction
- name: Impacket
type: software
description: >-
Python-Bibliothek für Netzwerk-Protokoll-Manipulation und
Windows-Forensik. Ermöglicht Remote-Zugriff auf Windows-Systeme für
Live-Forensik und IR. Die Skript-Sammlung deckt von SMB-Enumeration bis
Kerberos-Attacks alles ab. Unverzichtbar für die Untersuchung von Lateral
Movement und Persistence.
domains:
- incident-response
- network-forensics
- malware-analysis
phases:
- data-collection
- examination
platforms:
- Linux
- Windows
- macOS
domain-agnostic-software: null
skillLevel: advanced
accessType: download
url: https://github.com/SecureAuthCorp/impacket
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- library
- network-protocols
- windows-forensics
- remote-access
- scripting
- api
- name: RSA NetWitness
type: software
description: >-
Enterprise-Grade SIEM und Forensik-Plattform für große Netzwerke.
Korreliert Logs, Packets und Endpoints für 360-Grad-Sicht auf Incidents.
Die Hunting-Funktionen nutzen ML für Anomalie-Erkennung in Petabytes von
Daten. Lizenzkosten im siebenstelligen Bereich für vollständige
Deployment.
domains:
- incident-response
- network-forensics
- malware-analysis
phases:
- data-collection
- examination
- analysis
platforms:
- Web
domain-agnostic-software: null
skillLevel: expert
accessType: commercial
url: https://www.netwitness.com/
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- web-based
- siem
- big-data
- correlation
- machine-learning
- enterprise
- name: X-Ways Forensics
type: software
description: >-
Der deutsche Präzisionsskalpell unter den Forensik-Tools mit
unübertroffener Effizienz. Besonders geschätzt für blitzschnelle Searches
in Multi-Terabyte-Images. Die spartanische Oberfläche schreckt Einsteiger
ab, Profis schwören darauf. Deutlich günstiger als US-Konkurrenz bei
vergleichbarer Funktionalität.
domains:
- law-enforcement
- incident-response
phases:
- examination
- analysis
platforms:
- Windows
domain-agnostic-software: null
skillLevel: expert
accessType: commercial
url: https://www.x-ways.net/forensics/
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- gui
- filesystem
- carving
- high-performance
- german-made
- hex-editor
- name: EnCase
type: software
description: >-
Der Veteran der kommerziellen Forensik-Tools mit 25 Jahren
Gerichtserfahrung. EnScript-Programmierung ermöglicht maßgeschneiderte
Automatisierung. Die Zertifizierung (EnCE) ist in vielen Behörden
Einstellungsvoraussetzung.
domains:
- law-enforcement
- incident-response
phases:
- data-collection
- examination
- analysis
- reporting
platforms:
- Windows
domain-agnostic-software: null
skillLevel: intermediate
accessType: commercial
url: https://www.opentext.com/products/encase-forensic
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- gui
- filesystem
- enterprise
- court-proven
- certification
- scripting
- name: FRED
type: software
description: >-
Forensic Recovery of Evidence Device - spezialisierte Hardware für
Imaging. Kombiniert Write-Blocker, Imager und Analyse-Workstation in einem
System. Die Ultrabay-Technologie ermöglicht Hot-Swap mehrerer Drives
gleichzeitig. Für High-Volume-Labs die Investition wert, für
Gelegenheitsnutzer Overkill.
domains:
- law-enforcement
- incident-response
phases:
- data-collection
platforms:
- Hardware
domain-agnostic-software: null
skillLevel: intermediate
accessType: commercial
url: https://www.digitalintelligence.com/products/fred/
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- hardware
- imaging
- write-blocking
- multiple-drives
- professional-lab
- integrated-system
- name: ICSpector
type: software
description: >-
Ein von Microsoft entwickeltes Open-Source-Framework, das eine besondere
Nische bedient: Die Datensammlung bei Industriekontrollsystemen und
PLC-Metadaten.
domains:
- ics-forensics
phases:
- data-collection
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
skillLevel: advanced
accessType: download
url: https://github.com/microsoft/ics-forensics-tools
license: MIT
knowledgebase: false
tags:
- python
- binary
- scripting
- name: "Live Memory Acquisition Procedure"
type: method
description: >-
Standardisiertes Verfahren zur forensisch korrekten Akquisition des
Arbeitsspeichers laufender Systeme. Umfasst Bewertung der
Systemkritikalität, Auswahl geeigneter Tools, Minimierung der
System-Kontamination und Dokumentation der Chain of Custody. Essentiell
für die Sicherung flüchtiger Beweise wie Prozess-Informationen,
Netzwerkverbindungen und Verschlüsselungsschlüssel.
domains:
- incident-response
- law-enforcement
- malware-analysis
phases:
- data-collection
platforms: []
domain-agnostic-software: null
skillLevel: advanced
accessType: null
url: https://www.nist.gov/publications/guide-integrating-forensic-techniques-incident-response
projectUrl:
license: null
knowledgebase: false
tags:
- memory-acquisition
- volatile-evidence
- live-forensics
- ram-dump
- evidence-preservation
- procedure
- name: "Rapid Incident Response Triage on macOS"
type: method
description: >-
Spezialisierte Methodik für die schnelle Incident Response auf
macOS-Systemen mit Fokus auf die Sammlung kritischer forensischer
Artefakte in unter einer Stunde. Adressiert die Lücke zwischen
Windows-zentrierten IR-Prozessen und macOS-spezifischen
Sicherheitsarchitekturen. Nutzt Tools wie Aftermath für effiziente
Datensammlung ohne zeitaufwändige Full-Disk-Images. Besonders wertvoll
für Unternehmensumgebungen mit gemischten Betriebssystem-Landschaften.
domains:
- incident-response
- law-enforcement
- malware-analysis
phases:
- data-collection
- examination
platforms: []
domain-agnostic-software: null
skillLevel: intermediate
accessType: null
url: https://www.sans.org/white-papers/rapid-incident-response-on-macos-actionable-insights-under-hour/
projectUrl:
license: null
knowledgebase:
tags:
- macos
- rapid-response
- triage
- incident-response
- aftermath
- enterprise
- methodology
- apple
- name: "Aftermath"
type: software
description: >-
Jamf's Open-Source-Tool für die schnelle Sammlung forensischer Artefakte
auf macOS-Systemen. Sammelt kritische Daten wie Prozessinformationen,
Netzwerkverbindungen, Dateisystem-Metadaten und Systemkonfigurationen
ohne Full-Disk-Imaging. Speziell entwickelt für die Rapid-Response-Triage
in Enterprise-Umgebungen mit macOS-Geräten. Normalisiert Zeitstempel und
erstellt durchsuchbare Ausgabeformate für effiziente Analyse.
domains:
- incident-response
- law-enforcement
- malware-analysis
phases:
- data-collection
- examination
platforms:
- macOS
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/jamf/aftermath/
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- macos
- incident-response
- triage
- artifact-collection
- rapid-response
- jamf
- enterprise
- commandline
domains:
- id: incident-response
name: Incident Response & Breach-Untersuchung
- id: law-enforcement
name: Strafverfolgung & Kriminalermittlung
- id: malware-analysis
name: Malware-Analyse & Reverse Engineering
- id: fraud-investigation
name: Betrugs- & Finanzkriminalität
- id: network-forensics
name: Netzwerk-Forensik & Traffic-Analyse
- id: mobile-forensics
name: Mobile Geräte & App-Forensik
- id: cloud-forensics
name: Cloud & Virtuelle Umgebungen
- id: ics-forensics
name: Industrielle Kontrollsysteme (ICS/SCADA)
phases:
- id: data-collection
name: Datensammlung
description: Imaging, Acquisition, Remote Collection Tools
- id: examination
name: Auswertung
description: Parsing, Extraction, Initial Analysis Tools
- id: analysis
name: Analyse
description: Deep Analysis, Correlation, Visualization Tools
- id: reporting
name: Bericht & Präsentation
description: >-
Documentation, Visualization, Presentation Tools (z.B. QGIS für Geodaten,
Timeline-Tools)
domain-agnostic-software:
- id: collaboration-general
name: Übergreifend & Kollaboration
description: Cross-cutting tools and collaboration platforms
- id: specific-os
name: Betriebssysteme
description: Operating Systems which focus on forensics
Reference in New Issue View Git Blame Copy Permalink