mstoeck3/forensic-pathways
2
0
Fork 0
Code Issues 3 Pull Requests Projects Releases Activity
forensic-pathways/src/data/tools.yaml
overcuriousity fe1be323bb confidence updates, content adjustment
2025-08-05 21:35:38 +02:00

5095 lines
183 KiB
YAML
Raw Blame History

This file contains invisible Unicode characters

This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

tools:
- name: Autopsy
type: software
description: >-
Die bekannte Open-Source-Forensik-Suite vereint hunderte Analyse-Module
unter einer intuitiven Oberfläche. Exzellent für Timeline-Rekonstruktion
durch automatische Korrelation von Dateisystem-Artefakten,
Registry-Einträgen und Log-Dateien. Das integrierte Keyword-Search-Modul
findet Beweise in gelöschten Dateien, Slack-Space und unallokierten
Bereichen. Die TSK-basierte Engine unterstützt alle gängigen Dateisysteme
von NTFS über ext4 bis APFS. Besonders wertvoll: Die PhotoRec-Integration
für signaturbasiertes Carving und die automatische Hash-Analyse gegen NSRL
und eigene Datenbanken. Plugins erweitern die Funktionalität für
Spezialfälle wie Smartphone-Forensik oder Cloud-Artefakte.
skillLevel: intermediate
url: https://www.autopsy.com/
icon: 🔍
domains:
- incident-response
- static-investigations
- malware-analysis
- mobile-forensics
- cloud-forensics
- fraud-investigation
phases:
- examination
- analysis
- reporting
tags:
- gui
- timeline
- file-carving
- keyword-search
- plugin-support
- opensource
- hash-analysis
- deleted-data
- artifact-extraction
- multi-user
- case-management
- report-generation
- tsk-framework
- scenario:disk_imaging
- scenario:file_recovery
- scenario:browser_history
related_concepts:
- SQL
- Hash Functions & Digital Signatures
- Digital Evidence Chain of Custody
related_software:
- Plaso (log2timeline)
- PhotoRec
- RegRipper
platforms:
- Windows
- Linux
accessType: download
license: Apache 2.0
knowledgebase: false
- name: Volatility 3
type: software
description: >-
Der Standard für Memory-Forensik - komplett neu entwickelt für moderne
Ermittlungen. Version 3 (Feature-Parity Mai 2025) eliminiert das lästige
--profile durch automatische OS-Erkennung. Revolutionäre Performance durch
symbolbasierte Analyse verarbeitet Multi-GB-Dumps in Sekunden statt
Minuten. Über 100 Plugins dekodieren Prozesse, DLL-Injections,
Netzwerkverbindungen, Registry-Hives und versteckte Rootkits. Native
Python-3-Architektur mit Timeline-Integration und Cloud-Storage-Support
(S3, GCS). Neue Plugins: windows.hollowprocesses für Process-Ghosting,
linux.ebpf für Kernel-Hooks, windows.shimcachemem für Persistence.
YARA-Integration und Sigma-Rules direkt im Framework. Die intuitivere API
beschleunigt Plugin-Entwicklung drastisch. Unterstützt aktuelle Windows
11, Linux 6.x und macOS Sonoma. Der Umstieg von V2 lohnt sich allein wegen
der Performance - Analysen die früher Stunden dauerten sind jetzt in
Minuten erledigt.
skillLevel: advanced
url: https://www.volatilityfoundation.org/
icon: 🧠
domains:
- incident-response
- static-investigations
- malware-analysis
- network-forensics
phases:
- examination
- analysis
tags:
- command-line
- plugin-support
- scripting
- memory-timeline
- process-analysis
- network-artifacts
- rootkit-detection
- code-injection
- yara-integration
- python-api
- scenario:memory_dump
- opensource
related_concepts:
- Hash Functions & Digital Signatures
- Regular Expressions (Regex)
related_software:
- YARA
- Rekall
- WinPmem
- LiME
platforms:
- Windows
- Linux
- macOS
accessType: download
license: VSL
knowledgebase: false
- name: MISP
icon: 🌐
type: software
description: >-
Die Threat-Intelligence-Sharing-Plattform vernetzt viele Organisationen
weltweit im Kampf gegen Cyberkriminalität. Strukturiertes Teilen von IOCs
durch standardisierte Attribute: IP-Adressen, Domains, Hashes, YARA-Rules,
Malware-Samples. Die Galaxies und Taxonomien klassifizieren Bedrohungen
nach ATT&CK, Kill-Chain oder eigenen Schemata. Föderierte Architektur
ermöglicht selektives Sharing zwischen vertrauenswürdigen Partnern.
Correlation-Engine findet Zusammenhänge zwischen scheinbar unabhängigen
Incidents. Warninglists reduzieren False-Positives durch Whitelisting
bekannter Good-Entities. ZeroMQ-Feed pusht IOCs in Echtzeit an Firewalls
und SIEMs. Die ausgereiften APIs (REST, PyMISP) automatisieren
Threat-Intelligence-Workflows. Export in STIX, OpenIOC und Dutzende andere
Formate. Essenziell für proaktive Verteidigung.
domains:
- incident-response
- static-investigations
- malware-analysis
- network-forensics
- cloud-forensics
- fraud-investigation
phases:
- data-collection
- examination
- analysis
platforms:
- Web
skillLevel: intermediate
accessType: server-based
url: https://misp-project.org/
projectUrl: https://misp.cc24.dev
license: AGPL-3.0
knowledgebase: true
statusUrl: https://status.mikoshi.de/api/badge/34/status
tags:
- web-interface
- IOC-matching
- taxonomies
- api
- threat-scoring
- collaboration
- correlation-engine
- galaxy-clusters
- warninglists
- zeromq-feed
- stix-export
- federation
related_concepts:
- Hash Functions & Digital Signatures
related_software:
- Cortex
- OpenCTI
- name: DFIR-IRIS
icon: 🌺
type: software
description: >-
Collaborative Incident Response Management Platform für strukturierte
DFIR-Case-Organisation. Zentralisiert alle Aspekte einer Untersuchung:
Assets, IOCs, Tasks, Timeline, Evidence-Tracking. Multi-User-Environment
mit granularen Permissions für verschiedene Analysten-Rollen. Besonders
wertvoll: Case-Templates standardisieren Workflows, automatische IOC-
Enrichment via MISP/OpenCTI, integrierte Timeline-Visualisierung,
Evidence-Chain-of-Custody-Tracking. Plugin-System erweitert für Custom-
Integrations. RESTful API für Tool-Orchestrierung. Dashboard zeigt Case-
Status und Team-Workload. Notes-System dokumentiert Findings strukturiert.
Reporting-Engine generiert Executive-Summaries. Die Web-basierte
Architektur skaliert von kleinen Teams bis Enterprise-SOCs. Docker-
Deployment vereinfacht Installation. Besonders stark bei komplexen,
langwierigen Ermittlungen mit mehreren Beteiligten. Open-Source
Alternative zu kommerziellen Case-Management-Systemen.
domains:
- incident-response
- static-investigations
- malware-analysis
- fraud-investigation
- network-forensics
- mobile-forensics
- cloud-forensics
phases:
- data-collection
- examination
- analysis
- reporting
platforms:
- Web
related_software:
- MISP
- OpenCTI
domain-agnostic-software:
- collaboration-general
skillLevel: intermediate
accessType: server-based
url: https://dfir-iris.org/
projectUrl: ''
license: LGPL-3.0
knowledgebase: false
tags:
- web-interface
- case-management
- collaboration
- multi-user-support
- api
- workflow
- timeline-view
- ioc-tracking
- evidence-management
- reporting
- plugin-support
- docker-ready
related_concepts:
- Digital Evidence Chain of Custody
- name: Timesketch
icon: ⏱️
type: software
description: >-
Googles Timeline-Analyse-Platform meistert die Herausforderung, Millionen
von Zeitstempeln aus heterogenen Quellen zu korrelieren. Die
Elasticsearch-Backend-Architektur ermöglicht Suchen über Mengen
forensischer Daten in verhältnismäßig kurzer Zeit.
Plaso/Log2timeline-Integration parst automatisch über 300 Log-Formate in
eine einheitliche Super-Timeline. Collaborative Investigation durch
geteilte Sketches, Kommentare und Saved Searches. Die Timeline-Explorer
visualisiert Ereignisse interaktiv mit Heatmaps und Aktivitätsgraphen.
Analyzers erkennen Anomalien wie Login-Brute-Force oder
Data-Exfiltration-Muster. Sigma-Rules werden direkt auf Timelines
angewendet. Stories dokumentieren Findings narrativ für
Management-Reports. Die Python-API ermöglicht automatisierte Analysen.
Unverzichtbar für Incidents mit komplexen zeitlichen Abläufen über
multiple Systeme.
domains:
- incident-response
- static-investigations
- network-forensics
- cloud-forensics
- fraud-investigation
phases:
- analysis
- reporting
platforms:
- Web
related_software:
- Plaso (log2timeline)
- Elasticsearch
- Kibana
domain-agnostic-software: null
skillLevel: intermediate
accessType: server-based
url: https://timesketch.org/
projectUrl: https://timesketch.cc24.dev
license: Apache 2.0
knowledgebase: false
statusUrl: https://uptime.example.lab/api/badge/3/status
tags:
- web-interface
- timeline
- collaboration
- visualization
- timeline-correlation
- timeline-view
- elasticsearch-backend
- plaso-integration
- sigma-rules
- heatmaps
- anomaly-detection
- narrative-documentation
related_concepts:
- Regular Expressions (Regex)
- name: Wireshark
icon: 🦈
type: software
description: >-
Der unangefochtene König der Netzwerk-Protokoll-Analyse dekodiert die
meisten Netzwerkprotokolle von Ethernet bis zu exotischen ICS-Protokollen.
Display-Filter mit mächtiger Syntax ermöglichen chirurgisch präzise
Paket-Selektion. Follow-Stream rekonstruiert komplette TCP-Sessions,
HTTP-Uploads oder FTP-Transfers. Expert-Info identifiziert Anomalien wie
Retransmissions, Malformed Packets oder Protokoll-Violations. Die
Statistik-Funktionen visualisieren Conversations, IO-Graphs und
Protocol-Hierarchien. Export-Objekte extrahiert übertragene Dateien aus
HTTP, SMB oder TFTP. Coloring-Rules heben verdächtige Pakete hervor.
GeoIP-Integration zeigt geografische Verbindungsdaten. TLS-Decryption mit
Private Keys oder SSLKEYLOGFILE. Die Lua- und C-Plugin-API erlaubt
Custom-Dissectors. Unverzichtbar für Malware-C2-Analyse,
Data-Exfiltration-Erkennung und Netzwerk-Troubleshooting.
domains:
- incident-response
- malware-analysis
- network-forensics
- cloud-forensics
- ics-forensics
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
related_software:
- NetworkMiner
- tcpdump
- Arkime
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://www.wireshark.org/
projectUrl: ''
license: GPL-2.0
knowledgebase: false
tags:
- gui
- protocol-decode
- packet-filtering
- pcap-capture
- cross-platform
- session-reconstruction
- display-filters
- follow-stream
- expert-info
- statistics
- coloring-rules
- tls-decryption
related_concepts:
- Regular Expressions (Regex)
- name: Magnet AXIOM
icon: 🧲
type: software
description: >-
Die umfassende Digital-Investigation-Plattform kombiniert Akquisition,
Analyse und Reporting in einer integrierten Suite für
End-to-End-Forensik. AXIOM Process sammelt Artefakte von über 300
Datenquellen: Computers, Mobile Devices, Cloud Services, IoT-Geräte. Die
KI-gestützte Artifact- Categorization klassifiziert automatisch
verdächtige Inhalte und reduziert manuelle Review-Zeit drastisch.
Besonders wertvoll: Internet Evidence Finder (IEF) Engine extrahiert
Web-Artefakte aus allen Major-Browsern, Magnet.AI beschleunigt
CSAM-Detection, Connections-View visualisiert Kommunikations-Patterns
zwischen Personen. Cloud-Forensics-Module greifen auf Google, Microsoft,
Apple-Accounts zu. Die Parallel-Processing-Engine analysiert Terabytes in
Stunden statt Tagen. Advanced-Carving rekonstruiert gelöschte
Multimedia-Dateien. Timeline-Engine korreliert Events über alle
Evidenzen. Report-Templates generieren gerichtsfeste Dokumentation.
Integration mit AXIOM Cyber für Endpoint-Response. Eine etablierte
Software für High-Volume-Ermittlungen mit Budget für Enterprise-Lizenzen.
domains:
- incident-response
- static-investigations
- mobile-forensics
- cloud-forensics
- fraud-investigation
phases:
- data-collection
- examination
- analysis
- reporting
platforms:
- Windows
related_software:
- GrayKey
- Cellebrite UFED
domain-agnostic-software: null
skillLevel: beginner
accessType: commercial
url: https://www.magnetforensics.com/products/magnet-axiom/
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- gui
- commercial
- cloud-artifacts
- mobile-app-data
- automation-ready
- court-admissible
- ai-categorization
- ief-engine
- connections-view
- timeline-analysis
- csam-detection
- parallel-processing
related_concepts:
- Digital Evidence Chain of Custody
- Hash Functions & Digital Signatures
- name: Cellebrite UFED
icon: 📱
type: software
description: >-
Der de-facto-Behördenstandard der mobilen Forensik greift aktuelle iPhones
und Android-Flaggschiffe durch Zero-Day-Exploits und proprietäre
Bypass-Methoden an, ist aber auch sehr teuer. Physical Extraction umgeht
Verschlüsselung für vollständigen Dateisystem-Zugriff. Logical Plus
erweitert Standard-Backups um gelöschte Daten. Advanced Services greifen
auf Cellebrites Exploit-Labor für besonders resistente Geräte zurück.
Physical Analyzer visualisiert extrahierte Daten intelligent:
Timeline-Ansicht, Geo-Location-Maps, Social-Network-Graphen,
Kommunikations-Muster. Project-VIC Integration für CSAM-Erkennung.
Chain-of-Custody-Dokumentation erfüllt höchste forensische Standards. Die
Cloud-Analyzer-Lizenz ermöglicht Zugriff auf über 50 Cloud-Services.
Updates alle 3 Monate für neue Geräte und Apps.
domains:
- static-investigations
- mobile-forensics
- fraud-investigation
phases:
- data-collection
- examination
- analysis
platforms:
- Windows
related_software:
- Magnet AXIOM
- Oxygen Forensic Suite
- MSAB XRY
domain-agnostic-software: null
skillLevel: beginner
accessType: commercial
url: https://cellebrite.com/en/ufed/
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- gui
- commercial
- mobile-app-data
- decryption
- physical-copy
- dongle-license
- zero-day-exploits
- cloud-analyzer
- project-vic
- timeline-view
- geo-mapping
- advanced-services
related_concepts:
- SQL
- Digital Evidence Chain of Custody
- name: Cuckoo Sandbox 3
icon: 🥚
type: software
description: >-
Die automatisierte Malware-Analyse-Umgebung führt Schadsoftware
kontrolliert in isolierten VMs aus und dokumentiert jede Aktion. Version 3
vom CERT-EE modernisiert die Architektur mit Python 3, verbesserter
Evasion-Resistenz und Cloud-Scale-Fähigkeiten. Behavioral Analysis trackt
API-Calls, Registry-Änderungen, Datei-Operationen und
Netzwerk-Kommunikation. PCAP-Recording für vollständige Traffic-Analyse.
Memory-Dumps werden automatisch mit Volatility analysiert. Simulated
Services täuschen Internet-Konnektivität vor. Anti-Anti-VM umgeht moderne
Sandbox-Erkennung. Distributed-Mode analysiert hunderte Samples parallel.
Die Reporting-Engine generiert detaillierte JSON/HTML-Reports mit MITRE
ATT&CK Mapping. YARA-Integration für Signatur-Matching. REST-API für
Integration in CI/CD-Pipelines. Die komplexe Installation erfordert
Virtualisierungs-Expertise, belohnt aber mit industrieller
Malware-Analyse-Kapazität.
domains:
- incident-response
- malware-analysis
phases:
- examination
- analysis
platforms:
- Linux
- Web
related_software:
- YARA
- Volatility 3
- MISP
- VirusTotal
domain-agnostic-software: null
skillLevel: advanced
accessType: server-based
url: https://github.com/cert-ee/cuckoo3
projectUrl: ''
license: GPL-3.0
knowledgebase: false
tags:
- web-interface
- sandboxing
- behavioral-analysis
- malware-unpacking
- virtual-analysis
- sandbox-reports
- api-monitoring
- network-capture
- memory-analysis
- mitre-attack
- distributed-analysis
- anti-evasion
related_concepts:
- Regular Expressions (Regex)
- name: Ghidra
icon: 🔮
type: software
description: >-
NSAs Reverse-Engineering-Suite demokratisiert Binary-Analyse auf
IDA-Pro-Niveau. Der Decompiler transformiert Assembly in lesbaren C-Code
für intuitiveres Verständnis von Programm-Logik. Unterstützt über 30
Prozessor-Architekturen von x86/x64 über ARM bis zu obskuren
Embedded-CPUs. Das Software Reverse Engineering Framework ermöglicht
kollaborative Analyse durch Ghidra-Server. PCode als Intermediate Language
vereinheitlicht Cross-Architecture-Analysen. Der Function-Graph
visualisiert Control-Flow. Data-Type-Manager rekonstruiert Strukturen und
Klassen. Script-Manager automatisiert mit Python/Java wiederkehrende
Analysen. Version Tracking vergleicht Binaries über Versionen.
Cryptographic-Signature-Finder identifiziert Verschlüsselungs-Routinen.
Die Extension-Architektur erlaubt Custom-Analyzers. Perfekt für
Malware-Dekonstruktion, Vulnerability-Research und Firmware-Analyse. Die
steile Lernkurve wird durch exzellente Dokumentation und
NSA-Trainingsmaterial gemildert.
domains:
- malware-analysis
- ics-forensics
- static-investigations
phases:
- analysis
platforms:
- Windows
- Linux
- macOS
related_software:
- IDA Pro
- Radare2
- x64dbg
- Binary Ninja
domain-agnostic-software: null
skillLevel: expert
accessType: download
url: https://ghidra-sre.org/
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- gui
- binary-decode
- malware-unpacking
- cross-platform
- scripting
- opensource
- decompiler
- multi-architecture
- collaborative
- function-graph
- pattern-matching
- version-tracking
related_concepts:
- Regular Expressions (Regex)
- name: Plaso (log2timeline)
icon:
type: software
description: >-
Der industrielle Timeline-Generator extrahiert Zeitstempel aus hunderten
Artefakt-Typen für lückenlose Aktivitäts-Rekonstruktion. Parsers für
Windows Event Logs, Registry, Prefetch, Browser-History, Mobile Apps,
Cloud-Services und Linux-Logs. Die Storage-Architektur verarbeitet
Massendaten effizient. Output in standardisierten Formaten für
Elasticsearch, Timesketch oder CSV. Besonders wertvoll: Normalisierung
verschiedener Zeitstempel-Formate und Zeitzonen in UTC. Filterung nach
Zeitraum, Artefakt-Typ oder Keywords. Die modulare Parser-Architektur
erlaubt einfache Erweiterung für neue Formate. Psort sortiert und
dedupliziert Events. Analysis-Plugins erkennen Anomalien wie Timestomping.
Docker-Support vereinfacht Deployment. Die Performance bei sehr großen
Datensätzen kann leiden, aber die Vollständigkeit der Timeline ist
unübertroffen. Integration mit Timesketch für kollaborative Analyse macht
es zum Forensik-Kraftpaket.
domains:
- incident-response
- static-investigations
- network-forensics
- cloud-forensics
- mobile-forensics
phases:
- data-collection
- examination
platforms:
- Windows
- Linux
- macOS
related_software:
- Timesketch
- Autopsy
- Plaso (log2timeline)
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://plaso.readthedocs.io/
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- command-line
- timeline
- log-parser
- cross-platform
- timeline-merge
- time-normalization
- artifact-parser
- elasticsearch-export
- docker-support
- timestomping-detection
- modular-parsers
- batch-processing
related_concepts:
- Regular Expressions (Regex)
- name: CyberChef
icon: 👨‍🍳
type: software
description: >-
Das "Schweizer Taschenmesser" der Daten-Manipulation vereint über 400
Operations für Encoding, Verschlüsselung, Analyse und Transformation. Die
visuelle "Rezept"-Metapher macht komplexe Operationsketten intuitiv:
Base64 dekodieren → XOR entschlüsseln → Strings extrahieren → Hashes
berechnen. Besonders wertvoll für Malware-Deobfuskation, CTF-Challenges
und forensische Datenanalyse. Magic-Mode erkennt automatisch Encodings.
Regex-Support für Pattern-Extraktion. Entropy-Visualisierung identifiziert
verschlüsselte Bereiche. Die Offline-Fähigkeit (läuft komplett im Browser)
macht es DSGVO-konform für sensible Daten. Import/Export von Rezepten für
Wiederverwendung. Unterstützt Dateien bis 2GB. Code-Beautifier für
JavaScript, JSON, XML. Image-Forensik mit EXIF-Extraktion. Die
GitHub-Version kann selbst gehostet werden. Unverzichtbar für jeden
digitalen Ermittler.
domains:
- incident-response
- static-investigations
- malware-analysis
- network-forensics
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Web
related_software:
- GCHQ Tools
domain-agnostic-software: null
skillLevel: beginner
accessType: server-based
url: https://gchq.github.io/CyberChef/
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- web-interface
- binary-decode
- decryption
- malware-unpacking
- string-search
- triage
- regex-operations
- magic-detection
- entropy-analysis
- recipe-based
- offline-capable
- data-transformation
related_concepts:
- Regular Expressions (Regex)
- Hash Functions & Digital Signatures
- name: Velociraptor
icon: 🦖
type: software
description: >-
Die nächste Evolution der Endpoint-Forensik skaliert digitale Ermittlungen
auf zahlreiche Systeme. VQL (Velociraptor Query Language) ermöglicht
chirurgisch präzise Artefakt-Sammlung ohne Full-Disk-Images: "SELECT *
FROM glob('/Users/*/Downloads/*.exe')". Hunt-Kampagnen durchsuchen die
gesamte Infrastruktur parallel nach IOCs. Der Agent läuft mit minimalem
Footprint und sammelt Artefakte verschlüsselt. Notebooks für gespeicherte
Queries und Analysen. Die Timeline-Funktion korreliert Events über alle
Endpoints. Offline-Collector für Air-Gapped-Systeme.
Server-Event-Monitoring für Real-Time-Detection. Automatische Triage mit
Artifact-Packs. Die eingebaute Quarantäne isoliert kompromittierte
Systeme. Cloud-Native-Architektur mit Multi-Tenancy. GUI und CLI für
verschiedene Nutzergruppen. Die Lernkurve für VQL ist steil, aber die
Effizienz-Gewinne sind enorm. Perfekt für Enterprise-IR und
Threat-Hunting.
domains:
- incident-response
- static-investigations
- malware-analysis
- fraud-investigation
- network-forensics
- cloud-forensics
phases:
- data-collection
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
- Web
related_software:
- GRR Rapid Response
- osquery
- KAPE
domain-agnostic-software: null
skillLevel: advanced
accessType: server-based
url: https://www.velociraptor.app/
projectUrl: https://raptor.cc24.dev
license: Apache 2.0
knowledgebase: true
statusUrl: https://status.mikoshi.de/api/badge/33/status
tags:
- web-interface
- remote-collection
- distributed
- scripting
- cross-platform
- triage
- vql-queries
- hunt-campaigns
- real-time-monitoring
- offline-collector
- artifact-packs
- multi-tenancy
related_concepts:
- SQL
- name: GRR Rapid Response
icon: 🚨
type: software
description: >-
Googles Remote-Live-Forensik-Framework wurde für die Untersuchung ihrer
globalen Infrastruktur entwickelt. Skaliert auf hunderttausende Clients
mit minimalem Server-Overhead. Der Python-Agent sammelt Artefakte, führt
YARA-Scans durch und erstellt Timeline-Daten. Flow-basierte Architektur
für asynchrone Operationen. Rekall-Integration für Remote-Memory-Analyse.
Hunt-Feature für unternehmensweite IOC-Suche. Approval-Workflows für
datenschutzkonforme Ermittlungen. Die Admin-UI visualisiert Client-Status
und Collection-Progress. Export zu BigQuery für Big-Data-Analysen. Der
Output-Plugin-System integriert mit SIEMs und Ticketing. Besonders stark
bei Linux-Flotten. Die API ermöglicht Automatisierung wiederkehrender
Ermittlungen. Weniger Features als Velociraptor, dafür ausgereifter und
stabiler. Ideal für Organisationen mit großen, homogenen Infrastrukturen.
domains:
- incident-response
- static-investigations
- malware-analysis
- fraud-investigation
phases:
- data-collection
- examination
platforms:
- Windows
- Linux
- macOS
- Web
related_software:
- Velociraptor
- osquery
- Rekall
domain-agnostic-software: null
skillLevel: advanced
accessType: server-based
url: https://github.com/google/grr
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- web-interface
- remote-collection
- distributed
- api
- cross-platform
- triage
- flow-architecture
- hunt-feature
- approval-workflow
- bigquery-export
- yara-scanning
- timeline-generation
related_concepts:
- Regular Expressions (Regex)
- name: Arkime
icon: 🦈
type: software
description: >-
Das Full-Packet-Capture-Monster (früher Moloch) speichert und indiziert
große Aufkommen von Netzwerkverkehr für historische Forensik. Erfasst
Traffic mit 10Gbit/s+ und speichert PCAP mit intelligenter Kompression.
Die Elasticsearch-Integration ermöglicht schnelle Suchen über Monate von
Daten: IPs, Ports, Protokolle, HTTP-Header, SSL-Zertifikate. Session-Page
visualisiert Verbindungen mit Protokoll-Dekodierung. SPI-Graph zeigt
Traffic-Patterns. WISE (With Intelligence See Everything) reichert Daten
mit Threat-Intel an. Arkime-Capture skaliert horizontal für Multiple
10G-Links. Die Viewer-Permissions ermöglichen granulare Zugriffskontrolle.
Hunt-Jobs durchsuchen historische Daten nach neuen IOCs. API für
Integration mit SOC-Tools. Die Hardware-Anforderungen sind massiv (TB RAM,
PB Storage), aber für ernsthafte NSM unverzichtbar. Perfekt für APT-Jagd
und Incident-Rekonstruktion.
domains:
- incident-response
- static-investigations
- network-forensics
- cloud-forensics
- malware-analysis
phases:
- data-collection
- examination
- analysis
platforms:
- Linux
related_software:
- Wireshark
- Elasticsearch
- Suricata
- Zeek
domain-agnostic-software: null
skillLevel: expert
accessType: server-based
url: https://arkime.com/
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- web-interface
- pcap-capture
- elasticsearch-integration
- historical-analysis
- packet-filtering
- distributed
- full-packet-capture
- threat-intel-enrichment
- horizontal-scaling
- api-driven
- hunt-jobs
- spi-graph
related_concepts: null
- name: NetworkMiner
icon: ⛏️
type: software
description: >-
Der forensische Netzwerk-Analyzer extrahiert Artefakte aus PCAP-Dateien
mit Fokus auf Inhalts-Rekonstruktion statt Paket-Details. Automatische
Extraktion von Dateien (Bilder, Dokumente, Executables) aus HTTP, FTP,
TFTP und SMB-Traffic. Credentials-Harvesting findet Passwörter in
Klartext- Protokollen. Host-Inventar mit OS-Fingerprinting, offenen Ports
und Services. DNS-Resolution-Timeline zeigt Domain-Lookups. Keyword-Search
über alle extrahierten Inhalte. Die Professional-Version bietet
Geo-IP-Lokalisierung, VoIP-Rekonstruktion und Kommandozeilen-Scripting.
Besonders wertvoll: Frame-Reassembly auch bei Packet-Loss. Export zu
CSV/XML für weitere Analyse. Die intuitive GUI macht es zugänglich für
Nicht-Netzwerk-Spezialisten. Limitiert bei verschlüsseltem Traffic, glänzt
bei Klartext-Protokollen und Malware-C2-Analyse.
domains:
- incident-response
- static-investigations
- malware-analysis
- network-forensics
phases:
- examination
- analysis
platforms:
- Windows
- Linux
related_software:
- Wireshark
- tcpdump
- CapLoader
domain-agnostic-software: null
skillLevel: beginner
accessType: download
url: https://www.netresec.com/?page=NetworkMiner
projectUrl: ''
license: GPL-2.0 / Commercial
knowledgebase: false
tags:
- gui
- file-reconstruction
- pcap-capture
- session-reconstruction
- dns-resolution
- triage
- credential-extraction
- os-fingerprinting
- keyword-search
- artifact-extraction
- cleartext-protocols
- frame-reassembly
related_concepts: null
- name: ExifTool
icon: 📷
type: software
description: >-
Der universelle Metadaten-Extraktor liest und schreibt Informationen in
über 1200 Dateiformaten - von JPEG-EXIF über PDF-Metadata bis zu
proprietären RAW-Formaten. Findet versteckte Schätze: GPS-Koordinaten in
Smartphone-Fotos, Autoren-Informationen in Office-Dokumenten,
Änderungshistorien in PDFs, Kamera-Seriennummern in Bildern. Besonders
wertvoll für OSINT und Dokumenten-Forensik. Batch-Processing für tausende
Dateien. Timeline-Erstellung aus Datei-Zeitstempeln. Die -k Option behält
Original-Zeitstempel bei Analyse. JSON/XML-Export für programmatische
Weiterverarbeitung. Unterstützt verschachtelte Archive und eingebettete
Dokumente. Die Kommandozeile mag abschrecken, aber die Mächtigkeit ist
unübertroffen. GUI-Wrapper wie ExifToolGUI erleichtern Einsteigern den
Zugang. Unverzichtbar für jede digitale Ermittlung mit Multimedia-Bezug.
domains:
- incident-response
- static-investigations
- fraud-investigation
- mobile-forensics
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
related_software:
- ExifTool
- FOCA
domain-agnostic-software: null
skillLevel: novice
accessType: download
url: https://exiftool.org/
projectUrl: ''
license: Perl Artistic License
knowledgebase: false
tags:
- command-line
- metadata-parser
- geolocation
- cross-platform
- triage
- system-metadata
- batch-processing
- timeline-creation
- json-export
- osint-tool
- document-forensics
- multimedia-analysis
related_concepts: null
- name: Chainalysis
icon:
type: software
description: >-
Die Blockchain-Intelligence-Plattform ist wohlbekannt in Krypto-Forensik
mit einer der größten Attribution-Datenbank weltweit.
Clustering-Algorithmen identifizieren Millionen von Services: Exchanges,
Darknet-Märkte, Mixer, Ransomware-Wallets, Scams. Reactor visualisiert
Transaktionsflüsse mit automatischer Risikobewertung. KYT (Know Your
Transaction) für Echtzeit- Compliance. Sanctions Screening gegen OFAC und
internationale Listen. Der Investigation-Workflow traced Funds durch Mixer
und Tumblers. Intelligente Alerts bei verdächtigen Bewegungen. Court-Ready
Reports mit Blockchain-Beweiskette. Die API integriert in bestehende Case-
Management-Systeme. Unterstützt Bitcoin, Ethereum, und 100+ andere
Blockchains. Trainings und Zertifizierungen für Ermittler. Die
Lizenzkosten (sechsstellig) und US-Zentrierung limitieren auf
Großorganisationen.
domains:
- static-investigations
- fraud-investigation
- incident-response
phases:
- analysis
- reporting
platforms:
- Web
related_software:
- GraphSense
- Elliptic
domain-agnostic-software: null
skillLevel: intermediate
accessType: commercial
url: https://www.chainalysis.com/
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- web-interface
- blockchain-analysis
- commercial
- visualization
- anomaly-detection
- threat-scoring
- clustering-analysis
- compliance-screening
- transaction-tracing
- risk-assessment
- multi-blockchain
- api-integration
related_concepts: null
- name: Neo4j
icon: 🕸️
type: software
description: >-
Die Graph-Datenbank transformiert komplexe Beziehungsgeflechte in
verständliche Visualisierungen. Cypher-Query-Language ermöglicht intuitive
Abfragen: "MATCH (person)-[:TRANSFERRED_TO]->(account) RETURN *". Perfekt
für Fraud-Rings, Social-Networks, Geldwäsche-Netzwerke und
Kommunikations-Analysen. Graph-Algorithmen finden kürzeste Pfade,
Communities und Influencer. Der Visual-Graph-Explorer macht verborgene
Verbindungen sichtbar. Import aus CSV, JSON und relationalen Datenbanken.
Die APOC-Bibliothek bietet 450+ Prozeduren für erweiterte Analysen. Bloom
visualisiert für nicht-technische Stakeholder. Integration mit
Elasticsearch für Volltext-Suche. Multi-Datenbank für Case-Isolation. Die
Community-Edition (kostenlos) limitiert auf 1 User und 4 CPU-Cores.
Skaliert auf große Mengen von Nodes und Relationships. Unverzichtbar für
moderne Financial-Crime-Investigations.
domains:
- static-investigations
- malware-analysis
- fraud-investigation
- network-forensics
- cloud-forensics
phases:
- analysis
- reporting
platforms:
- Windows
- Linux
- macOS
- Web
related_software:
- Maltego
- Gephi
- Linkurious
domain-agnostic-software: null
skillLevel: intermediate
accessType: server-based
url: https://neo4j.com/
projectUrl: https://graph.cc24.dev
license: GPL-3.0 / Commercial
knowledgebase: false
statusUrl: https://status.mikoshi.de/api/badge/32/status
tags:
- web-interface
- graph-view
- visualization
- correlation-engine
- cross-platform
- api
- cypher-queries
- community-detection
- path-finding
- bloom-visualization
- apoc-procedures
- import-tools
related_concepts:
- SQL
- name: QGIS
icon: 🗺️
type: software
description: >-
Das Open-Source Geographic Information System verwandelt Forensik-Daten
mit Geobezug in aussagekräftige Karten und Analysen. Visualisiert
Bewegungsprofile aus Smartphone-GPS, Fahrzeug-Telematik oder
Fitness-Trackern. Heatmaps zeigen Aufenthaltsschwerpunkte. Buffer-Analysen
identifizieren mögliche Treffpunkte. Die Python-Integration (PyQGIS)
automatisiert Massen-Datenverarbeitung. Import aus GPX, KML, CSV mit
Koordinaten. Temporal Controller animiert Bewegungen über Zeit. Spatial
Queries finden Überschneidungen: "Wer war wann am selben Ort?".
OpenStreetMap- Integration für Kontext. 3D-Visualisierung für
Drohnen-Flugpfade. Print Composer erstellt gerichtsfeste Karten. Die
steile Lernkurve wird durch exzellente Tutorials gemildert. Plugins
erweitern für Spezialfälle wie Cell-Tower-Analyse. Unverzichtbar wenn
Wo-und-Wann zur Schlüsselfrage wird.
domains:
- static-investigations
- fraud-investigation
- mobile-forensics
- incident-response
phases:
- analysis
- reporting
platforms:
- Windows
- Linux
- macOS
related_software:
- Google Earth Pro
- ArcGIS
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://qgis.org/
projectUrl: ''
license: GPL-2.0
knowledgebase: false
tags:
- gui
- geolocation
- visualization
- heatmap
- scripting
- cross-platform
- movement-analysis
- temporal-animation
- spatial-queries
- 3d-visualization
- print-composer
- plugin-ecosystem
related_concepts: null
- name: Binwalk
icon: 🔬
type: software
description: >-
Der Firmware-Forensiker extrahiert versteckte Schätze aus IoT-Geräten,
Routern und Embedded Systems. Signature-Scanning identifiziert
eingebettete Dateisysteme (SquashFS, JFFS2, CramFS), komprimierte Archive
und verschlüsselte Bereiche. Automatische Extraktion mit -e Flag. Entropy-
Analyse visualisiert Zufälligkeit für Crypto-Erkennung. Die Rules-Engine
erlaubt Custom-Signaturen für proprietäre Formate. Besonders wertvoll für
IoT-Malware-Analyse, Router-Backdoor-Suche und IP-Kameras-Forensik.
3D-Entropy-Plots mit -E. Hexdump-Integration für manuelle Inspektion. Die
Plugin-Architektur ermöglicht Erweiterungen. Oft der erste Schritt bei
Hardware-Forensik. Kombiniert mit QEMU für Firmware-Emulation. Die
False-Positive-Rate kann hoch sein, aber die Alternative ist manuelles
Hex-Editing. Essential für jeden, der mit Embedded Devices arbeitet.
domains:
- malware-analysis
- ics-forensics
- static-investigations
phases:
- examination
- analysis
platforms:
- Linux
- macOS
related_software:
- Firmware Analysis Toolkit
- FACT
- Ghidra
domain-agnostic-software: null
skillLevel: advanced
accessType: download
url: https://github.com/ReFirmLabs/binwalk
projectUrl: ''
license: MIT
knowledgebase: false
tags:
- command-line
- firmware-extraction
- signature-analysis
- file-carving
- entropy-check
- binary-decode
- iot-forensics
- embedded-analysis
- custom-signatures
- hexdump-view
- plugin-support
- 3d-entropy
related_concepts: null
- name: Nextcloud
icon: ☁️
type: software
description: >-
Die DSGVO-konforme Cloud-Collaboration-Suite für sichere Forensik-Team-
Zusammenarbeit. End-to-End-Verschlüsselung schützt sensitive Ermittlungs-
daten. File-Sharing mit granularen Berechtigungen und Ablaufdaten.
Versionierung dokumentiert alle Änderungen.
Collabora/OnlyOffice-Integration für gemeinsame Berichterstellung. Talk
ermöglicht verschlüsselte Video- konferenzen für Remote-Teams. Der
Kalender koordiniert Ermittlungen. Flow automatisiert Workflows: "Wenn
Report fertig → Benachrichtige Team". Audit-Logs für Compliance. External
Storage bindet bestehende Shares ein. Die Federation vernetzt mehrere
Behörden-Instanzen. Two-Factor-Auth und SSO für Enterprise-Security. Apps
erweitern für Passwort-Management, Projekt-Boards und Notizen. Skaliert
vom Raspberry Pi für kleine Teams bis zur High-Availability-Cluster. Die
Kontrolle über die eigenen Daten macht es zur ersten Wahl für Behörden und
Consultants.
domains:
- incident-response
- static-investigations
- malware-analysis
- fraud-investigation
- network-forensics
- mobile-forensics
- cloud-forensics
- ics-forensics
phases:
- reporting
platforms:
- Web
related_software:
- Collabora Online
- OnlyOffice
domain-agnostic-software:
- collaboration-general
skillLevel: novice
accessType: server-based
url: https://nextcloud.com/
projectUrl: https://cloud.cc24.dev
license: AGPL-3.0
knowledgebase: true
statusUrl: https://status.mikoshi.de/api/badge/11/status
tags:
- web-interface
- collaboration
- secure-sharing
- multi-user-support
- encrypted-reports
- rbac
- end-to-end-encryption
- audit-logging
- workflow-automation
- video-conferencing
- version-control
- federation
related_concepts:
- Digital Evidence Chain of Custody
- name: Kali Linux
type: software
description: >-
Die legendäre Penetration-Testing-Distribution dient Forensikern als
Schweizer Taschenmesser mit 600+ vorinstallierten Security-Tools.
Live-Boot ermöglicht forensische Untersuchungen ohne Host-Kontamination.
Forensics-Mode deaktiviert Auto-Mount und Netzwerk für saubere
Akquisition. Die Tool-Kategorien decken alle Phasen ab: Imaging (dc3dd),
Carving (Foremost), Memory-Analyse (Volatility), Netzwerk (Wireshark),
Mobile (ADB), Krypto (hashcat). Metapackages installieren Tool-Gruppen
gezielt. Die Rolling-Release-Natur hält alles aktuell. ARM-Images für
Raspberry Pi und Mobile-Forensik. NetHunter bringt Kali aufs Smartphone.
Anpassbare ISO-Builds für spezialisierte Teams. Die Dokumentation und
Community sind exzellent. Vorsicht: Viele Tools sind offensiv - klare
Policies nötig! Der Standard für Incident-Response-Teams weltweit.
domains:
- incident-response
- static-investigations
- malware-analysis
- fraud-investigation
- network-forensics
- mobile-forensics
- cloud-forensics
- ics-forensics
skillLevel: intermediate
url: https://kali.org/
icon: 🐉
platforms:
- OS
accessType: download
license: GPL-3.0
knowledgebase: true
related_software:
- Parrot Security OS
- SIFT Workstation
domain-agnostic-software:
- specific-os
tags:
- gui
- command-line
- cross-platform
- live-acquisition
- write-blocker
- opensource
- forensics-mode
- tool-collection
- arm-support
- nethunter
- custom-builds
- rolling-release
related_concepts: null
- name: FTK Imager
icon: 💾
type: software
description: >-
Der Klassiker für Windows-basierte Disk-Akquisition erstellt gerichtsfeste
Images mit bewährter Zuverlässigkeit. Unterstützt RAW, SMART, E01 und AFF
Formate mit Kompression und Verschlüsselung. Die GUI führt durch den
Imaging-Prozess mit Hash-Verifizierung (MD5/SHA1). Preview-Mode ermöglicht
Triage ohne Full-Image. Memory-Capture für Live-RAM-Akquisition. Mount als
Read-Only für sichere Analyse. Die kostenlose Version deckt
Standard-Aufgaben ab, limitiert aber bei erweiterten Features. Besonders
geschätzt: Zuverlässigkeit bei defekten Sektoren, detaillierte Logs und
breite Gerichtsakzeptanz. Protected-Folder-Viewing für Systemdateien.
CLI-Version für Automatisierung. Die proprietäre Natur und Windows-Only
sind Nachteile, aber in vielen Labors der De-facto-Standard. Perfekt für
Einsteiger und Routine-Akquisitionen.
domains:
- static-investigations
- incident-response
phases:
- data-collection
platforms:
- Windows
related_software:
- EnCase
- X-Ways Forensics
domain-agnostic-software: null
skillLevel: beginner
accessType: download
url: https://www.exterro.com/digital-forensics-software/ftk-imager
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- gui
- physical-copy
- hashing
- court-admissible
- scenario:disk_imaging
- ewf-support
- memory-capture
- preview-mode
- bad-sector-handling
- protected-folders
- cli-available
- triage
related_concepts:
- Hash Functions & Digital Signatures
- Digital Evidence Chain of Custody
- name: YARA
type: software
description: >-
Die Pattern-Matching-Engine ist der De-facto-Standard für Malware-
Identifikation und Threat-Hunting. Rule-Syntax ermöglicht komplexe
Signaturen: Strings, Hex-Patterns, Regular Expressions, Bedingungen. Die
Community pflegt tausende Rules für bekannte Malware-Familien. Integration
in Forensik-Tools macht es allgegenwärtig: Volatility für Memory-Scans,
Cuckoo für Behavior-Matching, VirusTotal für Sample-Klassifikation.
Modules erweitern für PE-Analyse, Krypto- Erkennung und Macho-Parsing. Die
Condition-Syntax ermöglicht komplexe Logik: "any of ($a*) and filesize <
200KB". Performance-Optimierung durch Aho-Corasick-Algorithmus.
Python-Bindings für Automatisierung. YARA-Editor erleichtert
Rule-Entwicklung. Die False-Positive-Rate erfordert sorgfältiges Tuning.
Unverzichtbar für proaktive Threat-Detection und Incident-Response.
domains:
- incident-response
- malware-analysis
phases:
- examination
- analysis
skillLevel: intermediate
url: https://virustotal.github.io/yara/
icon: 🎯
platforms:
- Windows
- Linux
- macOS
accessType: download
license: BSD-3-Clause
knowledgebase: false
tags:
- command-line
- yara-scan
- signature-analysis
- regex-search
- cross-platform
- memory-signatures
- pattern-matching
- rule-based
- module-support
- python-bindings
- community-rules
- performance-optimized
related_concepts:
- Regular Expressions (Regex)
- Hash Functions & Digital Signatures
related_software:
- Volatility 3
- Cuckoo Sandbox 3
- Loki
- name: X-Ways Forensics
icon: 🔬
type: software
description: >-
Das deutsche Präzisionswerkzeug maximiert Effizienz durch überlegene
Performance und durchdachte Workflows. Blitzschnelle Searches in
Multi-Terabyte-Images durch optimierte Algorithmen. Simultane Analyse
mehrerer Evidenzen spart Zeit. Die Gallery-View mit Skin-Tone-Detection
beschleunigt CSAM-Ermittlungen. X-Tensions automatisieren wiederkehrende
Aufgaben. Besonders stark: Physical-Search über Sektorgrenzen hinweg,
Registry-Report-Generator, Timeline mit Millisekunden-Präzision. Der
Hex-Editor zeigt Rohdaten parallel zur interpretierten Ansicht.
Template-Support für proprietäre Dateiformate. Die spartanische GUI
schreckt Einsteiger ab, aber Profis schätzen die Effizienz. Deutlich
günstiger als US-Konkurrenz bei vergleichbarer Funktionalität. Der
legendäre Support durch Stefan Fleischmann persönlich. Made in Germany mit
Fokus auf Gründlichkeit statt Marketing.
domains:
- static-investigations
- incident-response
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
related_software:
- WinHex
- EnCase
- FTK Imager
domain-agnostic-software: null
skillLevel: expert
accessType: commercial
url: https://www.x-ways.net/forensics/
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- gui
- commercial
- keyword-search
- fast-scan
- court-admissible
- dongle-license
- hex-editor
- gallery-view
- x-tensions
- physical-search
- registry-analysis
- template-support
related_concepts:
- Digital Evidence Chain of Custody
- name: Eric Zimmerman Tools
icon: 🧰
type: software
description: >-
Die Tool-Suite des Windows-Forensik-Gurus Eric Zimmerman dekodiert
Windows-Artefakte mit unübertroffener Präzision. Jedes Tool ein
Spezialist: ShellBags Explorer zeigt Ordner-Zugriffe, PECmd parst Prefetch
für Programm-Ausführungen, AmcacheParser findet Programm- installationen,
JumpListExplorer enthüllt Recent Documents. Registry Explorer mit
Bookmarks und Plugins. MFTECmd extrahiert NTFS-Metadaten. Timeline
Explorer visualisiert CSV-Output aller Tools gemeinsam. KAPE orchestriert
die Tool-Collection. Besonders wertvoll: ständige Updates für neue
Windows-Versionen und Cloud-Artefakte wie OneDrive. Die
Kommandozeilen-Tools ermöglichen Batch-Processing. Kostenlos aber Spenden
erwünscht. Die aktive Community im Discord teilt Erfahrungen.
Dokumentation durch Cheat-Sheets und Blog-Posts.
domains:
- incident-response
- static-investigations
- malware-analysis
phases:
- examination
- analysis
platforms:
- Windows
related_software:
- KAPE
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://ericzimmerman.github.io/
projectUrl: ''
license: MIT
knowledgebase: false
tags:
- gui
- artifact-parser
- shellbags
- prefetch-viewer
- timeline
- jumplist
- registry-analysis
- mft-parser
- batch-processing
- cloud-artifacts
- community-driven
- free-tools
- scenario:windows-registry
- scenario:persistence
related_concepts:
- Digital Evidence Chain of Custody
- name: Regular Expressions (Regex)
type: concept
description: >-
Die universelle Mustererkennungssprache ermöglicht komplexe Textsuchen und
Datenextraktion in der digitalen Forensik. Von einfachen Wildcards bis zu
komplexen Capture-Groups: IP-Adressen (\d{1,3}\.){3}\d{1,3},
E-Mail-Adressen, Kreditkarten, Bitcoin-Adressen. Essentiell für
Log-Analyse, YARA-Rules, Grep-Searches und Data-Carving. Die Syntax
variiert zwischen Tools (PCRE, Python, grep), aber Grundkonzepte sind
universal. Quantifizierer (*, +, ?, {n,m}), Zeichenklassen ([a-z], \d,
\w), Anchors (^, $), Lookarounds für kontextuelle Matches. Online-Tester
wie regex101.com beschleunigen Entwicklung. Performance-Fallen bei
komplexen Patterns beachten. Integration in alle Major-Forensik-Tools
macht Regex-Kenntnisse unverzichtbar. Der Unterschied zwischen einem guten
und großartigen Forensiker liegt oft in der Regex-Beherrschung.
skillLevel: intermediate
url: https://regexr.com/
icon: 🔤
domains:
- incident-response
- static-investigations
- malware-analysis
- fraud-investigation
- network-forensics
phases:
- examination
- analysis
tags:
- regex-search
- string-search
- log-parser
- automation-ready
- pattern-matching
- data-extraction
- text-processing
- capture-groups
- lookarounds
- performance-critical
knowledgebase: true
- name: SQL
type: concept
description: >-
Die Structured Query Language ist das Rückgrat moderner Datenanalyse in
der digitalen Forensik. SQLite-Datenbanken dominieren mobile Forensik:
WhatsApp-Chats, Browser-History, App-Daten. Grundlegende Queries (SELECT,
JOIN, WHERE) bis zu komplexen Analysen mit Window-Functions und CTEs.
Forensik-spezifische Patterns: Timeline-Reconstruction mit ORDER BY
timestamp, Kommunikations-Analyse mit SELF-JOINs, Anomalie- Erkennung mit
GROUP BY/HAVING. Tools wie DB Browser for SQLite visualisieren Strukturen.
Vorsicht bei WAL-Mode und gelöschten Records. Python-Integration (sqlite3)
für Automatisierung. NoSQL- Grundlagen werden wichtiger (MongoDB in
Malware). Die Fähigkeit, aus Rohdaten Erkenntnisse zu extrahieren, macht
SQL zur Kernkompetenz. Unterschätzt aber unverzichtbar für moderne
Ermittlungen.
skillLevel: intermediate
url: https://www.w3schools.com/sql/
icon: 🗃️
domains:
- incident-response
- static-investigations
- fraud-investigation
- mobile-forensics
- cloud-forensics
phases:
- examination
- analysis
tags:
- sqlite-viewer
- correlation-engine
- mobile-app-data
- browser-history
- data-extraction
- timeline-queries
- join-operations
- aggregate-analysis
- wal-analysis
- python-integration
knowledgebase: true
- name: Hash Functions & Digital Signatures
type: concept
description: >-
Kryptographische Hash-Funktionen und digitale Signaturen bilden das
Fundament der digitalen Beweissicherung. MD5 (veraltet aber verbreitet),
SHA-1, SHA-256/512 für Integritätsprüfung. Kollisionsresistenz
gewährleistet Eindeutigkeit. Forensische Anwendungen: Datenträger-
Verifizierung vor/nach Imaging, Deduplizierung mit Hash-Sets (NSRL),
Known-Bad-Identifikation (Malware, CSAM). Rainbow-Tables für
Passwort-Cracking. Fuzzy-Hashing (ssdeep) für Ähnlichkeitsanalyse.
Digitale Signaturen authentifizieren Software und Dokumente.
Certificate-Chain-Analyse bei APT-Investigations. Timestamping für
Chain-of-Custody. Die Mathematik dahinter ist komplex, aber Anwendung ist
essentiell. Tools berechnen automatisch, aber Verständnis der Prinzipien
unterscheidet Profis von Amateuren. Blockchain als verteilte Hash-Kette
revolutioniert Evidence-Management.
skillLevel: advanced
url: https://en.wikipedia.org/wiki/Cryptographic_hash_function
icon: 🔐
domains:
- incident-response
- static-investigations
- malware-analysis
- mobile-forensics
- cloud-forensics
phases:
- data-collection
- examination
tags:
- hashing
- integrity-check
- chain-of-custody
- standards-compliant
- deduplication
- known-bad-detection
- fuzzy-hashing
- digital-signatures
- timestamping
- blockchain-evidence
knowledgebase: true
- name: Digital Evidence Chain of Custody
type: concept
description: >-
Die lückenlose Dokumentation digitaler Beweise von der Sicherstellung bis
zur Gerichtsverhandlung. Kernprinzipien: Authentizität, Integrität,
Nachvollziehbarkeit, Nicht-Abstreitbarkeit. Praktische Umsetzung durch
Hash-Verifizierung, Write-Blocker, detaillierte Dokumentation aller
Schritte. Formulare dokumentieren Wer/Was/Wann/Wo/Warum. Fotografische
Dokumentation der Hardware. Versiegelte Beweismitteltaschen mit
Tamper-Evidence. Digitale CoC durch Blockchain-Timestamping. ISO/IEC 27037
als internationaler Standard. Gerichtliche Anforderungen variieren nach
Jurisdiktion. Fehler in der CoC können zur Beweisverwerfung führen.
Automatisierung durch LIMS (Laboratory Information Management Systems).
Die CoC ist kein technisches sondern ein prozedurales Thema - oft
unterschätzt aber entscheidend für erfolgreiche Verfahren.
skillLevel: advanced
url: >-
https://www.unodc.org/e4j/en/cybercrime/module-6/key-issues/handling-of-digital-evidence.html
icon: ⛓️
domains:
- incident-response
- static-investigations
- fraud-investigation
- mobile-forensics
- cloud-forensics
phases:
- data-collection
- examination
- analysis
- reporting
tags:
- chain-of-custody
- standards-compliant
- court-admissible
- audit-trail
- documentation
- hash-verification
- tamper-evidence
- iso-27037
- legal-compliance
- process-management
knowledgebase: true
- name: MSAB XRY
type: software
description: >-
Die schwedische Mobile-Forensik-Suite bietet Physical und Logical
Extraction für iOS und Android mit regelmäßigen Exploit-Updates.
Besonders stark bei chinesischen Smartphones (Huawei, Xiaomi) und
speziellen Hardware-Typen. Der Drone-Module extrahiert Flugdaten von DJI
und Parrot. XRY Camera identifiziert Geräte aus Bildern. Die
Analyze-Software visualisiert Kommunikationsmuster und Bewegungs- profile.
XAMN-Elements für Link-Analyse zwischen mehreren Geräten.
Cloud-Extraction für 30+ Services. Die PIN-Code-Breaker-Hardware knackt
4-6 stellige Codes. Training und Zertifizierung inklusive. Preislich mit
Cellebrite vergleichbar (15.000€+) aber mit transparenterer
Verkaufspolitik. Updates alle 6-8 Wochen für neue Apps. EU-basierte
Alternative zu US-amerikanischen Lösungen.
skillLevel: beginner
url: https://www.msab.com/product/xry-extract/
icon: 📱
domains:
- mobile-forensics
- static-investigations
- fraud-investigation
phases:
- data-collection
- examination
- analysis
platforms:
- Windows
accessType: download
license: Proprietary
knowledgebase: false
tags:
- gui
- commercial
- mobile-app-data
- physical-copy
- decryption
- court-admissible
- drone-forensics
- chinese-phones
- pin-cracking
- cloud-extraction
- link-analysis
- eu-based
related_concepts:
- SQL
- Digital Evidence Chain of Custody
related_software:
- Cellebrite UFED
- Oxygen Forensic Suite
- Magnet AXIOM
- name: OSFMount
icon: 💿
type: software
description: >-
Das kostenlose Windows-Tool mountet Forensik-Images als virtuelle
Laufwerke für komfortable Analyse ohne Vollinstallation einer
Forensik-Suite. Unterstützt RAW (dd), E01 (EnCase), AFF, VHD, VMDK und
weitere Formate. Write-Cache-Modus schützt Original-Images vor
Veränderung. RAM-Disk-Feature für Performance bei kleinen Images. Die
Plugin-Architektur erweitert für exotische Formate. Besonders praktisch:
Partition-Selection bei Multi-Partition-Images, automatische
Offset-Erkennung, Unterstützung für Disk- und Memory-Images. Der
Image-Conversion-Wizard wandelt zwischen Formaten. Integration mit Windows
Explorer für gewohnte Navigation. Mounting von Volume Shadow Copies. Die
Freeware-Lizenz macht es zur ersten Wahl für Budget- bewusste Teams.
Limitiert bei verschlüsselten Images, glänzt bei Standard-Aufgaben.
Perfekt für schnelle Triage oder wenn kommerzielle Tools nicht verfügbar
sind.
domains:
- incident-response
- static-investigations
phases:
- examination
platforms:
- Windows
related_software:
- FTK Imager
domain-agnostic-software: null
skillLevel: beginner
accessType: download
url: https://www.osforensics.com/tools/mount-disk-images.html
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- gui
- virtual-machine
- ewf-support
- raw-image-support
- write-blocker
- triage
- format-conversion
- vss-support
- partition-selection
- ram-disk
- explorer-integration
- free-tool
related_concepts:
- Digital Evidence Chain of Custody
- name: Live Memory Acquisition Procedure
icon: 🧠
type: method
description: >-
Die forensisch korrekte Sicherung des Arbeitsspeichers laufender Systeme
erfordert systematisches Vorgehen zur Minimierung der
Artefakt-Kontamination. Kritische Entscheidung: Priorisierung flüchtiger
Beweise vs. System-Stabilität. Tool-Auswahl nach OS: WinPmem (Windows),
LiME (Linux), osxpmem (macOS). Vorbereitung: Tool auf externem Medium,
Admin-Rechte sichern, Ziel-Storage mit ausreichend Platz. Durchführung:
Dokumentation des System-Zustands, Tool-Ausführung mit minimalen Befehlen,
Hash-Generierung sofort. Besondere Herausforderungen:
Kernel-Schutz-Mechanismen (PatchGuard, Secure Boot),
Anti-Forensik-Malware, Virtualisierte Umgebungen. Die ersten Sekunden
kontaminieren unweigerlich - Transparenz in der Dokumentation essentiell.
Post-Akquisition: Volatility-Profil erstellen, Timeline der Sammlung,
Vergleich mit Disk-Artefakten. Der Unterschied zwischen verwertbaren und
wertlosen Memory-Dumps liegt oft in der Methodik.
domains:
- incident-response
- static-investigations
- malware-analysis
phases:
- data-collection
platforms: []
related_software:
- WinPmem
- LiME
- Volatility 3
domain-agnostic-software: null
skillLevel: advanced
accessType: null
url: >-
https://www.nist.gov/publications/guide-integrating-forensic-techniques-incident-response
projectUrl: null
license: null
knowledgebase: false
tags:
- live-acquisition
- scenario:memory_dump
- chain-of-custody
- standards-compliant
- contamination-aware
- tool-selection
- kernel-protection
- anti-forensics
- documentation-critical
- volatility-compatible
related_concepts:
- Digital Evidence Chain of Custody
- name: Android Logical Imaging
icon: 📱
type: method
description: >-
Die forensische Datenextraktion von Android-Geräten ohne Rooting oder
Exploits - ideal für Legacy-Geräte und BYOD-Szenarien. Nutzt ADB (Android
Debug Bridge) für autorisierten Zugriff. Vorbereitung: USB-Debugging
aktivieren, ADB-Autorisierung, OEM-spezifische Tricks (Samsung Smart
Switch, LG Mobile Switch). Extraktion: ADB backup für App-Daten,
Pull-Befehle für zugängliche Bereiche (/sdcard, /data/media), Content
Provider Queries für Kontakte/SMS. Parsing: Android Backup Extractor für
.ab-Files, SQLite-Analyse der Datenbanken, XML-Auswertung der Preferences.
Limitierungen: Keine System-Apps, verschlüsselte Bereiche unzugänglich,
neuere Android-Versionen (12+) stark eingeschränkt. Spezial-Techniken:
Downgrade-Attacks, Sideloading forensischer Apps, Screen-Recording für
UI-basierte Extraktion. Der Sweet-Spot: Android 4-8 Geräte mit schwachen
Sicherheitsmechanismen. Dokumentation der Berechtigungen und
Nutzer-Autorisierung für Gerichtsverwertbarkeit essentiell.
domains:
- mobile-forensics
- static-investigations
phases:
- data-collection
platforms: []
related_software:
- Android Studio
- ADB
- ALEAPP
- Android Backup Extractor
domain-agnostic-software: null
skillLevel: advanced
accessType: null
url: https://developer.android.com/studio/command-line/adb
projectUrl: null
license: null
knowledgebase: true
tags:
- command-line
- logical-copy
- mobile-app-data
- triage
- adb-based
- legacy-devices
- content-providers
- backup-extraction
- permission-based
- court-considerations
related_concepts:
- SQL
- Digital Evidence Chain of Custody
- name: ALEAPP
icon: 📱
type: software
description: >-
Android Logs Events And Protobuf Parser automatisiert die Extraktion
forensischer Artefakte aus Android-Geräten. Parst über 200 App-Datenbanken
und System-Logs in übersichtliche HTML-Reports. Von WhatsApp-Chats über
Google-Maps-Timeline bis zu gelöschten SQLite-Records - ALEAPP findet
versteckte Beweise. Die Timeline-Funktion korreliert Aktivitäten über alle
Apps. Besonders wertvoll: Protobuf-Dekodierung für moderne Apps, Analyse
von Well-Being-Daten, Batteriestatistiken für Aktivitätsmuster.
Unterstützt physische Dumps, logische Extractions und sogar Teilbackups.
Die Plugin-Architektur erlaubt Erweiterungen für neue Apps. Ständige
Updates durch die aktive Community halten mit Android-Entwicklungen
Schritt. Der generierte Report ist gerichtsfest strukturiert mit
Quellenangaben zu jedem Artefakt. Integration mit iLEAPP und VLEAPP für
Cross-Device-Analysen.
domains:
- incident-response
- static-investigations
- mobile-forensics
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
related_software:
- iLEAPP
- VLEAPP
- Autopsy
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/abrignoni/ALEAPP
projectUrl: ''
license: MIT
knowledgebase: false
tags:
- command-line
- mobile-app-data
- artifact-parser
- timeline
- html-export
- sqlite-viewer
- protobuf-parser
- whatsapp-analysis
- google-artifacts
- battery-stats
- well-being-data
- cross-platform
related_concepts:
- SQL
- name: iLEAPP
icon: 🍎
type: software
description: >-
iOS Logs, Events, And Plists Parser extrahiert forensische Schätze aus
iPhone-Backups und physischen Dumps. Über 350 Artefakt-Parser dekodieren
iOS-Geheimnisse: gelöschte iMessages, Safari-History, Screen-Time-Daten,
AirDrop-Transfers. Die KnowledgeC-Analyse rekonstruiert App-Nutzungsmuster
minutengenau. Besonders mächtig: Parsing von Unified Logs für
System-Events, Health-Daten-Extraktion, Significant-Locations mit
Karten-Visualisierung. Die HTML-Reports sind durchsuchbar und gerichtsfest
aufbereitet. Neue Features: iOS 17 Support, Live-Photos-Metadaten,
Apple-Pay-Transaktionen. Die ständigen Updates halten mit Apples
Verschleierungstaktiken Schritt. PowerLog-Parser zeigt Batterie-Events für
Aktivitätsanalyse. Die modulare Architektur erlaubt Custom-Parser für
proprietäre Apps. Cross-Referenzierung mit macOS-Artefakten über
Continuity. Ein Muss für jeden iOS-Forensiker.
domains:
- incident-response
- static-investigations
- mobile-forensics
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
related_software:
- ALEAPP
- VLEAPP
- Cellebrite UFED
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/abrignoni/iLEAPP
projectUrl: ''
license: MIT
knowledgebase: false
tags:
- command-line
- mobile-app-data
- artifact-parser
- timeline
- html-export
- deleted-file-recovery
- knowledgec-parser
- unified-logs
- health-data
- screen-time
- imessage-recovery
- ios-forensics
related_concepts:
- SQL
- name: VLEAPP
icon: 🚗
type: software
description: >-
Vehicle Logs, Events, And Properties Parser erschließt die digitale
Blackbox moderner Fahrzeuge. Extrahiert Daten aus Infotainment-Systemen,
Telematik- Modulen und verbundenen Smartphones. CAN-Bus-Logs enthüllen
Geschwindigkeit, Bremsverhalten, Airbag-Events für Unfallrekonstruktion.
Die GPS-Timeline zeigt Routen mit Stopps und Fahrtzeiten. Besonders
wertvoll: Bluetooth- Verbindungsprotokolle identifizieren Fahrer,
CarPlay/Android-Auto-Daten, gespeicherte WLAN-Hotspots. Unterstützt Tesla,
BMW, Mercedes, VW-Gruppe und erweitert ständig. Die
Kontaktlisten-Extraktion findet synchronisierte Telefonbücher.
USB-Historie zeigt angeschlossene Geräte. Event-Data-Recorder parsing für
Crash-Forensik. Die HTML-Reports visualisieren Bewegungsprofile auf
Karten. Unersetzlich für Unfälle, Diebstähle und Alibis. Die wachsende
Fahrzeug-Forensik-Community teilt Parser für neue Modelle.
domains:
- static-investigations
- ics-forensics
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
related_software:
- ALEAPP
- iLEAPP
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/abrignoni/VLEAPP
projectUrl: ''
license: MIT
knowledgebase: false
tags:
- command-line
- artifact-parser
- geolocation
- timeline
- html-export
- system-metadata
- vehicle-forensics
- can-bus-data
- infotainment
- crash-data
- bluetooth-connections
- gps-tracking
related_concepts: null
- name: dd
icon: 💾
type: software
description: >-
Das Unix-Urgestein 'data duplicator' ist seit 1974 der minimalistische
Standard für bit-genaue Datenträger-Kopien. Keine GUI, keine Extras - nur
pure Zuverlässigkeit. Die wichtigsten forensischen Parameter:
conv=noerror,sync für defekte Sektoren, bs=4M für optimale Performance,
status=progress für Fortschrittsanzeige. Pipe zu Hash-Tools für simultane
Verifizierung: dd if=/dev/sda | tee image.raw | md5sum. Die Einfachheit
ist die Stärke: funktioniert auf jedem Unix-System ohne Installation.
Vorsicht vor klassischen Fehlern: if/of-Verwechslung zerstört Beweise!
dcfldd und dc3dd sind forensische Weiterentwicklungen mit eingebauter
Hash-Verifizierung. Split-Feature für FAT32-Limits: dd if=/dev/sda | split
-b 4G. Network-Imaging via netcat möglich. Der Respekt vor dd trennt
Profis von Amateuren - ein falscher Parameter vernichtet unwiederbringlich
Daten. Immer noch die Basis vieler kommerzieller Imaging-Tools.
domains:
- incident-response
- static-investigations
phases:
- data-collection
platforms:
- Linux
- macOS
related_software:
- dcfldd
- dc3dd
- ewfacquire
domain-agnostic-software: null
skillLevel: intermediate
accessType: Linux (GNU-Utils)
url: https://www.gnu.org/software/coreutils/dd
projectUrl: ''
license: GPL-3.0
knowledgebase: false
tags:
- command-line
- physical-copy
- raw-image-support
- scenario:disk_imaging
- zero-footprint
- offline-mode
- bit-for-bit
- pipe-capable
- network-imaging
- unix-standard
- minimal-contamination
- performance-tuning
related_concepts:
- Digital Evidence Chain of Custody
- name: dcfldd
icon: 🔐
type: software
description: >-
Defense Computer Forensics Lab DD erweitert das klassische dd um
essenzielle forensische Features. Simultane Hash-Berechnung (MD5, SHA1,
SHA256) während des Imaging spart Zeit und garantiert Integrität.
Status-Output zeigt Geschwindigkeit, verbleibende Zeit und übertragene
Daten. Split-on-the-fly für Multi-Volume-Archives ohne
Zwischenspeicherung. Pattern-Wiping für sicheres Löschen nach
DoD-Standards. Log-Output dokumentiert jeden Schritt für Chain-of-Custody.
Die Verify-Funktion prüft geschriebene Daten sofort. Besonders wertvoll:
Hashing einzelner Blöcke für granulare Integritätsprüfung, Fortsetzen
unterbrochener Images, mehrere Output-Ziele gleichzeitig. Die forensischen
Erweiterungen machen es zur ersten Wahl für professionelle Labore. Syntax
bleibt dd-kompatibel für einfachen Umstieg. Performance mit großen
Blockgrößen optimiert. Die aktive Entwicklung hält mit modernen
Anforderungen Schritt. Standard in vielen Forensik-Distributionen.
domains:
- incident-response
- static-investigations
phases:
- data-collection
platforms:
- Linux
related_software:
- dd
- dc3dd
- FTK Imager
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/resurrecting-open-source-projects/dcfldd
projectUrl: ''
license: GPL-2.0
knowledgebase: false
tags:
- command-line
- physical-copy
- hashing
- scenario:disk_imaging
- compression
- integrity-check
- split-output
- status-display
- pattern-wipe
- verify-mode
- block-hashing
- progress-reporting
related_concepts:
- Hash Functions & Digital Signatures
- Digital Evidence Chain of Custody
- name: ewfacquire
icon: 💾
type: software
description: >-
Command-line Tool aus der libewf-Bibliothek zum Erstellen forensischer
Images im Expert Witness Format (E01/Ex01). Erstellt segmentierte Archive
mit MD5/SHA1-Hash-Verifizierung und optionaler Kompression. Besonders
wertvoll für Linux-basierte Imaging-Workflows ohne GUI-Overhead.
Unterstützt Case-Metadaten, Examiner-Notizen und Error-Granularity für
defekte Sektoren. Die Segment-Größe ist konfigurierbar für verschiedene
Storage-Medien. Integration in Autopsy und andere Tools über libewf.
Alternative zu proprietären Windows-Imaging-Tools für
Open-Source-Forensik-Umgebungen. Besonders geschätzt: Zuverlässigkeit,
Cross-Platform-Kompatibilität und Standards-Compliance für gerichtsfeste
Images.
domains:
- incident-response
- static-investigations
phases:
- data-collection
platforms:
- Linux
- macOS
related_software:
- FTK Imager
- EnCase
- dd
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/libyal/libewf
projectUrl: ''
license: LGPL-3.0
knowledgebase: false
tags:
- command-line
- physical-copy
- ewf-support
- compression
- chain-of-custody
- scenario:disk_imaging
- error-handling
- segment-files
- metadata-storage
- hash-verification
- resume-capability
- cross-tool-compatible
related_concepts:
- Hash Functions & Digital Signatures
- Digital Evidence Chain of Custody
- name: Guymager
icon: 💿
type: software
description: >-
Das schlanke Linux-Imaging-Tool maximiert Performance durch intelligentes
Multi-Threading und optimierte I/O-Operationen. Die Qt-basierte GUI macht
forensisches Imaging auch für Linux-Neulinge zugänglich. Gleichzeitiges
Schreiben mehrerer Formate (RAW + EWF) ohne Performance-Verlust. Die
eingebaute FIFO-Architektur ermöglicht Pipe-Operationen für
Netzwerk-Imaging. Besonders geschätzt: Automatische Badblock-Erkennung mit
detailliertem Logging, simultane Hash-Berechnung (MD5, SHA1, SHA256),
Fortschrittsbalken mit Zeitschätzung. Die Clone-Funktion dupliziert
Datenträger direkt. HPA/DCO-Erkennung warnt vor versteckten Bereichen.
Unterstützt USB-Write- Blocker für zusätzliche Sicherheit. Die Performance
übertrifft oft kommerzielle Tools bei gleicher Zuverlässigkeit.
Debian-Pakete vereinfachen Installation. Der niedrige Ressourcen-Verbrauch
erlaubt Imaging auf älteren Systemen. Logging im Detail-Level
konfigurierbar für verschiedene Compliance-Anforderungen.
domains:
- incident-response
- static-investigations
phases:
- data-collection
platforms:
- Linux
related_software:
- FTK Imager
- dc3dd
- ddrescue
domain-agnostic-software: null
skillLevel: novice
accessType: download
url: https://guymager.sourceforge.io/
projectUrl: ''
license: GPL-2.0
knowledgebase: false
tags:
- gui
- physical-copy
- multithreaded
- hashing
- scenario:file_recovery
- ewf-support
- performance-optimized
- bad-sector-handling
- hpa-dco-detection
- simultaneous-output
- progress-estimation
- low-resource
related_concepts:
- Hash Functions & Digital Signatures
- Digital Evidence Chain of Custody
- name: Fuji
icon: 🗻
type: software
description: >-
Das clevere macOS-Tool umgeht Apples restriktive Sicherheitsmechanismen
für forensisch saubere Datenträger-Akquisition. Nutzt undokumentierte APIs
für Raw-Device-Zugriff ohne Kernel-Extensions. Besonders wertvoll seit
macOS Big Sur mit verstärktem System Integrity Protection (SIP). Die
Target-Disk-Mode-Alternative für moderne Macs ohne Firewire. Unterstützt
APFS-Container-Imaging inklusive verschlüsselter Volumes (mit Passwort).
Live-Imaging von System-Volumes ohne Reboot möglich. Die minimale
Footprint kontaminiert das Zielsystem kaum. Besonders clever: Umgehung der
Read-Only-System-Volume-Beschränkungen. Hash-Verifizierung integriert für
forensische Standards. Die Active-Development durch macOS-Forensik-
Community garantiert Updates für neue OS-Versionen. Perfekt für Incident
Response auf Macs ohne teure kommerzielle Tools. Die Kommandozeile
ermöglicht Scripting für Massenakquisitionen.
domains:
- incident-response
- static-investigations
phases:
- data-collection
platforms:
- macOS
related_software:
- dd
- FTK Imager
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/Lazza/Fuji
projectUrl: ''
license: GPL-3.0
knowledgebase: false
tags:
- command-line
- live-acquisition
- physical-copy
- apfs
- scenario:disk_imaging
- zero-footprint
- sip-bypass
- encrypted-volume
- container-imaging
- minimal-contamination
- scripting-capable
- macos-specific
related_concepts:
- Digital Evidence Chain of Custody
- name: Rapid Incident Response Triage on macOS
icon: 🚨
type: method
description: >-
Spezialisierte Methodik für schnelle forensische Triage auf macOS-Systemen
optimiert für Enterprise-Incident-Response. Priorisiert flüchtige
Artefakte und kritische Indicators of Compromise (IOCs) für Entscheidungen
in unter 60 Minuten. Sammlung ohne Full-Disk-Imaging: Prozesslisten,
Netzwerk- verbindungen, LaunchAgents/Daemons, Quarantine-Events,
TCC-Datenbank. Besondere macOS-Artefakte: Unified Logs, FSEvents,
Spotlight-Metadaten, XProtect-Detections. Tools wie Aftermath oder osquery
automatisieren Datensammlung. Die Methodik adressiert macOS-spezifische
Herausforderungen: SIP, Gatekeeper, Code-Signing-Verifizierung.
Timeline-Erstellung aus ASL/ULS für Ereigniskorrelation. Besonders
wertvoll für MDM-verwaltete Flotten mit hunderten Macs. Die Dokumentation
für Remote-Collection via SSH/ARD. Post-Triage-Entscheidung:
Full-Forensics oder Neuinstallation. Anpassbar für verschiedene
Bedrohungsszenarien von Malware bis Insider-Threats.
domains:
- incident-response
- static-investigations
- malware-analysis
phases:
- data-collection
- examination
platforms: []
related_software:
- Aftermath
- osquery
- Fuji
domain-agnostic-software: null
skillLevel: intermediate
accessType: null
url: >-
https://www.sans.org/white-papers/rapid-incident-response-on-macos-actionable-insights-under-hour/
projectUrl: null
license: null
knowledgebase: null
tags:
- triage
- fast-scan
- apfs
- selective-imaging
- macos-artifacts
- unified-logs
- launch-agents
- quarantine-events
- remote-collection
- mdm-compatible
- timeline-focused
- sip-aware
related_concepts:
- Digital Evidence Chain of Custody
- name: Aftermath
icon: 🎯
type: software
description: >-
Jamfs Open-Source-Juwel für macOS-Forensik sammelt systematisch Artefakte
ohne Full-System-Image. Optimiert für Incident-Response mit minimalem
System-Impact. Extrahiert kritische Daten: laufende Prozesse, Netzwerk-
verbindungen, installierte Software, Persistence-Mechanismen. Besonders
wertvoll: Unified-Log-Parser für System-Events, Browser-Artefakte aller
Major-Browser, Quick-Look-Thumbnails, FSEvents für Dateiaktivitäten. Die
modulare Architektur erlaubt selektive Sammlung. Output in strukturierten
JSON/CSV für einfache Analyse. Zeitstempel-Normalisierung für
Timeline-Erstellung. Unterstützt moderne macOS-Security-Features:
TCC-Permissions, Code-Signing-Status, XProtect-Matches. Die Remote-
Collection via MDM/SSH skaliert auf Unternehmensflotten. Besonders clever:
Sammlung von Cloud-Synchronisations-Artefakten (iCloud, Dropbox).
Regelmäßige Updates für neue macOS-Versionen. Die Alternative zu teuren
kommerziellen Mac-Forensik-Suiten.
domains:
- incident-response
- static-investigations
- malware-analysis
phases:
- data-collection
- examination
platforms:
- macOS
related_software:
- osquery
- KAPE
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/jamf/aftermath/
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- command-line
- triage
- system-metadata
- apfs
- time-normalization
- structured-output
- unified-log-parser
- browser-artifacts
- persistence-checks
- tcc-analysis
- remote-capable
- json-export
related_concepts:
- Digital Evidence Chain of Custody
- name: RegRipper
icon: 🔑
type: software
description: >-
Harlan Carveys Registry-Analyse-Framework revolutioniert Windows-Forensik
durch Plugin-basierte Automatisierung. Über 300 Plugins extrahieren
spezifische Artefakte aus Registry-Hives: USB-Historie, installierte
Software, User-Aktivitäten, Malware-Spuren. Die Perl-basierte Architektur
ermöglicht einfache Plugin-Entwicklung für neue Artefakte. Besonders
wertvoll: Timeline-Plugins für zeitbasierte Analyse, RegRipper-Reports im
strukturierten Format, automatische Korrelation zwischen Hives.
Profile-System gruppiert Plugins nach Untersuchungstyp (Malware, User-
Activity, Network). Die Community teilt ständig neue Plugins für aktuelle
Bedrohungen. Integration mit anderen Tools über CSV-Export. Besonders
stark bei APT-Investigations: Services-Analyse, Run-Keys, Scheduled-Tasks.
Die Plugin-Dokumentation erklärt forensische Relevanz jedes Artefakts.
Version 3.0 modernisiert für aktuelle Windows-Versionen. Der Time-Saver
für Registry-Deep-Dives - was manuell Stunden dauert, erledigt RegRipper
in Minuten.
domains:
- incident-response
- static-investigations
- malware-analysis
phases:
- examination
- analysis
platforms:
- Windows
- Linux
related_software:
- Eric Zimmerman Tools
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/keydet89/RegRipper3.0
projectUrl: ''
license: MIT
knowledgebase: false
tags:
- command-line
- registry-hives
- plugin-support
- scenario:windows-registry
- usb-history
- artifact-parser
- timeline-analysis
- malware-detection
- user-activity
- batch-processing
- profile-based
- community-plugins
- scenario:persistence
related_concepts:
- Digital Evidence Chain of Custody
- name: Strings
icon: 🔤
type: software
description: >-
Das unterschätzte Basis-Tool extrahiert lesbare ASCII- und Unicode-Strings
aus Binärdateien - oft der erste Hinweis auf Malware-Funktionalität.
Findet URLs für C2-Server, Hardcoded-Passwords, Pfadangaben,
Error-Messages. Die Sysinternals-Version (Windows) bietet GUI und
erweiterte Features. GNU-Strings (Linux) integriert perfekt in
Pipe-Workflows. Encoding-Options (-e) für Unicode-Varianten essentiell bei
modernen Samples. Minimum-Length (-n) filtert Rauschen. Offset-Anzeige
(-o) für spätere Hex-Editor-Analyse. Besonders wertvoll: Kombination mit
grep für Pattern-Matching, Sort/Uniq für Häufigkeitsanalyse, Integration
in automatisierte Malware-Triage. Die Einfachheit täuscht - erfahrene
Analysten extrahieren erstaunliche Intelligence. Perfekt für
verschlüsselte/gepackte Malware wenn Strings im Unpacking-Stub verbleiben.
Output oft Ausgangspunkt für YARA-Rules. Das 5-Minuten-Tool das Stunden
detaillierter Analyse spart.
domains:
- incident-response
- malware-analysis
- static-investigations
phases:
- examination
platforms:
- Windows
- Linux
- macOS
related_software: null
domain-agnostic-software: null
skillLevel: novice
accessType: Linux (GNU-Utils)
url: https://docs.microsoft.com/en-us/sysinternals/downloads/strings
projectUrl: ''
license: Proprietary/GPL
knowledgebase: false
tags:
- command-line
- string-search
- binary-decode
- triage
- cross-platform
- fast-scan
- unicode-support
- pattern-extraction
- malware-triage
- c2-discovery
- password-finding
- pipe-friendly
related_concepts:
- Regular Expressions (Regex)
- name: PhotoRec
icon: 📸
type: software
description: >-
Der Datenretter ignoriert Dateisysteme und findet gelöschte Dateien durch
Signature-Scanning - selbst nach Formatierung. Über 300 Dateiformate von
JPEGs über Office-Dokumente bis zu verschlüsselten Archives. Die
Companion- Software TestDisk repariert zusätzlich Partitionstabellen.
Arbeitet read-only für forensische Integrität. Besonders stark: Recovery
von FAT/NTFS/ext-Systemen, Rettung von SD-Karten und USB-Sticks,
funktioniert bei beschädigten Dateisystemen. Die Brute-Force-Methode
findet Dateien die andere Tools übersehen. Konfigurierbare Signaturen für
spezielle Formate. Der Paranoid-Mode prüft jeden Sektor. Besonders
wertvoll für Multimedia-Recovery bei Kinderpornografie-Fällen. Die Text-UI
wirkt antiquiert, aber die Effektivität ist unübertroffen. Batch-Mode für
automatisierte Recovery. Die freie Lizenz und Cross-Platform-Support
machen es zum Standard-Tool weltweit. Oft letzte Hoffnung wenn
kommerzielle Tools versagen.
domains:
- incident-response
- static-investigations
- fraud-investigation
phases:
- examination
platforms:
- Windows
- Linux
- macOS
related_software: null
domain-agnostic-software: null
skillLevel: beginner
accessType: download
url: https://www.cgsecurity.org/wiki/PhotoRec
projectUrl: ''
license: GPL-2.0
knowledgebase: false
tags:
- gui
- file-carving
- deleted-file-recovery
- scenario:file_recovery
- signature-analysis
- cross-platform
- filesystem-agnostic
- multimedia-recovery
- partition-recovery
- read-only-mode
- batch-capable
- custom-signatures
related_concepts:
- Digital Evidence Chain of Custody
- name: Thumbcache Viewer
icon: 🖼️
type: software
description: >-
Windows speichert Miniaturansichten aller betrachteten Bilder in
versteckten thumbcache_*.db Dateien - ein Goldschatz für Forensiker. Das
Tool extrahiert diese Thumbnails inklusive EXIF-Zeitstempel, selbst wenn
Originalbilder längst gelöscht sind. Beweist unwiderlegbar, dass Bilder
auf dem System vorhanden waren. Besonders wertvoll bei CSAM-Ermittlungen
und Datendiebstahl. Die verschiedenen Auflösungen (32, 96, 256, 1024)
zeigen Detailgrade. Timestamp-Analyse rekonstruiert
Betrachtungszeitpunkte. Export als einzelne Bilder oder HTML-Report. Die
GUI macht es auch für nicht-technische Ermittler zugänglich. Unterstützt
Windows Vista bis 11. Der Batch-Mode verarbeitet mehrere
Thumbcache-Dateien. Hash-Matching gegen bekannte CSAM-Datenbanken möglich.
Integration mit Timeline-Tools über CSV-Export. Die kostenlose Lizenz
demokratisiert wichtige Forensik-Fähigkeiten. Oft der entscheidende Beweis
in Kinderschutz-Fällen.
domains:
- static-investigations
- fraud-investigation
- incident-response
phases:
- examination
- analysis
platforms:
- Windows
related_software: null
domain-agnostic-software: null
skillLevel: beginner
accessType: download
url: https://thumbcacheviewer.github.io/
projectUrl: ''
license: GPL-3.0
knowledgebase: false
tags:
- gui
- deleted-file-recovery
- metadata-parser
- triage
- system-metadata
- thumbnail-analysis
- exif-extraction
- csam-investigation
- timeline-creation
- batch-processing
- html-reporting
- hash-export
related_concepts:
- Digital Evidence Chain of Custody
- name: MaxMind GeoIP
type: software
description: >-
Die Geolocation-Datenbank-Lösung übersetzt IP-Adressen in geografische
Standorte für Threat-Intelligence und Incident-Attribution. GeoLite2
(kostenlos) bietet Stadt-Level-Genauigkeit für die meisten IPs weltweit.
Die kommerzielle GeoIP2 erhöht Präzision und fügt ISP/Organisation-Daten
hinzu. Besonders wertvoll: VPN/Proxy-Erkennung identifiziert verschleierte
Verbindungen, Anonymous-IP-Datenbank für Tor/Hosting-Provider, Accuracy-
Radius zeigt Konfidenz. Die wöchentlichen Updates halten mit
IP-Allokationen Schritt. APIs für alle Major-Programmiersprachen
ermöglichen Integration in Forensik-Workflows. Bulk-Processing für
Log-Analyse. Die historischen Datenbanken ermöglichen Geolocation zum
Tatzeitpunkt. GDPR-konform durch Verzicht auf Tracking. Der Offline-Modus
schützt sensible Ermittlungsdaten. Integration in Splunk, ELK, und andere
SIEMs. Die Genauigkeit variiert nach Region - Europa/USA präziser als
Entwicklungsländer. Standard für Geo-Attribution in der Forensik.
domains:
- incident-response
- fraud-investigation
- network-forensics
phases:
- analysis
skillLevel: beginner
url: https://www.maxmind.com/
icon: 🌍
platforms:
- Windows
- Linux
- macOS
accessType: download
license: GeoLite2 EULA / Commercial
knowledgebase: false
tags:
- api
- geolocation
- data-enrichment
- cross-platform
- automation-ready
- offline-mode
- vpn-detection
- proxy-identification
- bulk-processing
- accuracy-metrics
- historical-data
- gdpr-compliant
related_concepts: null
related_software: null
- name: SIFT Workstation
type: software
description: >-
SANS Investigative Forensic Toolkit vereint über 500 Open-Source-Tools in
einer kuratierten Ubuntu-Distribution. Rob Lees Vision einer kostenlosen
Alternative zu kommerziellen Suiten wurde Realität. Vorinstalliert und
konfiguriert: Autopsy, Volatility, Plaso, Registry-Tools,
Timeline-Analyzer. Die DFIR-Menüstruktur gruppiert Tools nach
Untersuchungsphasen. Besonders wertvoll: Vorkonfigurierte
Python-Umgebungen, aktualisierte Tool-Versionen, integrierte
Dokumentation. REMnux-Integration für Malware-Analyse. Die VM kann als
Appliance oder WSL2 laufen. Regelmäßige Updates durch SANS- Community. Die
mitgelieferten Cheat-Sheets beschleunigen Einarbeitung. mount-image-pro
automatisiert Evidence-Mounting. SIFT-CLI verwaltet Updates. Die
kostenlosen Workbooks führen durch typische Untersuchungen. Performance
optimiert für Forensik-Workloads. Die Alternative wenn Budget für
kommerzielle Tools fehlt.
domains:
- incident-response
- static-investigations
- malware-analysis
- network-forensics
- mobile-forensics
skillLevel: intermediate
url: https://www.sans.org/tools/sift-workstation/
icon: 🧰
platforms:
- OS
accessType: download
license: Free / Mixed
knowledgebase: false
related_software:
- REMnux
- CAINE
- Kali Linux
domain-agnostic-software:
- specific-os
tags:
- gui
- command-line
- cross-platform
- write-blocker
- live-acquisition
- signature-updates
- tool-collection
- documentation-rich
- training-focused
- vm-ready
- wsl2-compatible
- community-maintained
related_concepts: null
- name: Tsurugi Linux
type: software
description: >-
Die Forensik-Distribution kombiniert Tools für ultimative
Ermittlungs-Power. Spezialisiert auf Mobile- und Malware-Forensik mit
einzigartigen Features. Der integrierte Hardware-Write-Blocker verhindert
Beweis-Kontamination. Bento-Menü organisiert Tools nach japanischer
Effizienz-Philosophie. Besonders stark: Android-Forensik-Suite mit
ADB-Automatisierung, iOS-Backup-Analyzer, umfangreiche Malware-Sandbox.
Die Acquire-Edition ist optimiert für schnelles Imaging mit minimalem RAM.
Performance- Kernel speziell für Forensik-Hardware. Einzigartig:
Integrierte Übersetzungs-Tools für internationale Ermittlungen,
Unterstützung asiatischer Zeichensätze, LINE-Messenger-Parser. Die
64-Bit-Only- Architektur nutzt modernen RAM voll aus. Live-Patching hält
Tools aktuell ohne Neustart. Der Stealth-Mode deaktiviert alle Netzwerk-
Interfaces. Die Alternative für Ermittler die mehr als
Standard-Distributionen wollen.
domains:
- incident-response
- static-investigations
- malware-analysis
- mobile-forensics
skillLevel: intermediate
url: https://tsurugi-linux.org/
icon: ⛩️
platforms:
- OS
accessType: download
license: GPL / Mixed
knowledgebase: false
related_software:
- CAINE
- Kali Linux
domain-agnostic-software:
- specific-os
tags:
- gui
- write-blocker
- live-acquisition
- triage
- forensic-snapshots
- selective-imaging
- mobile-focused
- malware-sandbox
- asian-language
- hardware-writeblock
- performance-kernel
- stealth-mode
related_concepts: null
- name: Parrot Security OS
type: software
description: >-
Die Privacy-fokussierte Alternative zu Kali Linux mit eingebautem
Anonymisierungs-Framework. AnonSurf routet Traffic durch Tor für verdeckte
Ermittlungen. Forensik-Tools treffen auf Pentesting-Arsenal in
datenschutzfreundlicher Umgebung. Rolling-Release hält 600+ Tools aktuell
ohne Neuinstallation. Der ressourcenschonende MATE-Desktop läuft flüssig
auf älteren Laptops. Besonders wertvoll: Eingebaute Kryptographie-Tools,
sichere Kommunikations-Apps, Sandbox für Malware. Die Forensik-Edition
fokussiert auf Incident-Response. Docker-Support für Tool-Isolation.
ARM-Versionen für Raspberry Pi und Mobile-Forensik. Die italienische
Entwicklung bringt europäische Datenschutz-Werte. Mehrere
Desktop-Umgebungen wählbar. Live-Boot mit Persistence für Feldarbeit. Der
AppArmor-Schutz härtet gegen Exploits. Community kleiner aber engagierter
als Kali. Perfekt für Ermittler die Privatsphäre und Sicherheit
priorisieren.
domains:
- incident-response
- static-investigations
- malware-analysis
- network-forensics
skillLevel: intermediate
url: https://parrotsec.org/
icon: 🦜
platforms:
- OS
accessType: download
license: GPL-3.0
knowledgebase: false
related_software:
- Kali Linux
domain-agnostic-software:
- specific-os
tags:
- gui
- command-line
- live-acquisition
- encrypted-traffic
- secure-sharing
- anonymous-analysis
- privacy-focused
- tor-integration
- rolling-release
- lightweight
- arm-support
- docker-ready
related_concepts: null
- name: LibreOffice
icon: 📄
type: software
description: >-
Die freie Office-Suite ist mehr als nur Dokumentenerstellung - ein
unterschätztes Forensik-Werkzeug. Calc verarbeitet massive CSV-Logs und
Datenbank-Exporte mit Pivot-Tabellen und Filtern. Die Makro-Sprache
automatisiert wiederkehrende Analysen. Writer erstellt gerichtsfeste
Reports mit Inhaltsverzeichnis und Querverweisen. Besonders wertvoll:
Import obskurer Dateiformate die Microsoft Office ablehnt, Reparatur
korrupter Dokumente, Metadaten-Anzeige fremder Files. Die Version-History
in Dokumenten enthüllt Bearbeitungen. Draw visualisiert Netzwerk-Diagramme
und Timelines. Base als Frontend für SQLite-Forensik-Datenbanken. Die
PDF-Export-Optionen mit Sicherheitseinstellungen für vertrauliche Reports.
Kompatibilität mit allen gängigen Formaten. Die Portable-Version läuft von
USB ohne Installation. Extensions erweitern für spezielle Aufgaben.
Kostenlos aber professionell - spart Lizenzbudget für Spezial-Tools. Der
Standard für Forensik-Dokumentation weltweit.
domains:
- incident-response
- static-investigations
- malware-analysis
- fraud-investigation
- network-forensics
- mobile-forensics
- cloud-forensics
- ics-forensics
phases:
- examination
- analysis
- reporting
platforms:
- Windows
- Linux
- macOS
related_software:
- Microsoft Office 365
domain-agnostic-software:
- collaboration-general
skillLevel: novice
accessType: download
url: https://www.libreoffice.org/
projectUrl: ''
license: Mozilla Public License Version 2.0
knowledgebase: false
tags:
- gui
- reporting
- csv-export
- cross-platform
- macro-automation
- visualization
- document-analysis
- metadata-viewer
- portable-version
- format-converter
- pdf-creation
- free-alternative
related_concepts: null
- name: Microsoft Office 365
type: software
description: >-
Der Industriestandard bietet mehr als Textverarbeitung - ein mächtiges
Forensik-Analyse-Toolkit. Excel's Power Query transformiert komplexe
Log-Dateien in aussagekräftige Visualisierungen. Power Pivot verarbeitet
Millionen Datensätze für Big-Data-Forensik. Die Kollaborations-Features
ermöglichen Echtzeit-Teamarbeit an Ermittlungen. Besonders wertvoll:
Cloud-Storage für große Beweis-Sammlungen, Version-History für
Audit-Trails, Advanced eDiscovery für Compliance. Teams integriert sichere
Kommunikation. Der Compliance-Manager dokumentiert Datenschutz-konform.
OneNote sammelt Notizen und Screenshots strukturiert. Die KI-Features in
Editor verbessern Report-Qualität. Makros automatisieren Routine-Analysen.
Die Mobile-Apps ermöglichen Feld-Dokumentation. Power Automate verbindet
mit Forensik-Tools. Der Industriestandard hat seinen Preis, aber die
Integration und Support sind unübertroffen. Vorsicht: Cloud-Storage kann
Datenschutz-problematisch sein für sensible Ermittlungen.
domains:
- incident-response
- static-investigations
- malware-analysis
- fraud-investigation
- network-forensics
- mobile-forensics
- cloud-forensics
- ics-forensics
phases:
- examination
- analysis
- reporting
skillLevel: novice
url: https://www.office.com/
icon: 📊
platforms:
- Windows
- macOS
- Web
accessType: commercial
license: Proprietary
knowledgebase: false
related_software:
- LibreOffice
domain-agnostic-software:
- collaboration-general
tags:
- gui
- web-interface
- commercial
- collaboration
- visualization
- cloud-artifacts
- power-query
- ediscovery
- version-control
- team-integration
- mobile-apps
- automation-capable
related_concepts: null
- name: EnCase
icon: 🔍
type: software
description: >-
Der Veteran der digitalen Forensik seit 1997 - in vielen Behörden noch
immer verwendet. EnScript-Programmierung ermöglicht komplexe
Automatisierungen die andere Tools nicht bieten. Die Gerichtserfahrung ist
unübertroffen - tausende erfolgreiche Verfahren weltweit. Version 21
modernisiert die alternde Architektur mit Cloud-Forensik und
Mobile-Support. Besonders stark: Evidence-Processor für
Batch-Verarbeitung, umfangreiche Dateisystem-Unterstützung, integrierte
Hex-Ansicht. Die EnCE-Zertifizierung öffnet Karrieretüren.
Physical-Analyzer-Modul für Smartphones konkurriert mit Cellebrite. Die
Case-Management-Features skalieren auf Großverfahren. Nachteile: Hohe
Kosten (20.000€+), steile Lernkurve, Performance-Probleme bei großen
Images. OpenText-Übernahme bringt Unsicherheit. Der Dongle-Schutz nervt im
Feldeinsatz. Viele wechseln zu moderneren Alternativen, aber für
EnScript-Power-User noch immer unverzichtbar. Das Prestige-Tool das
langsam seine Krone verliert.
domains:
- static-investigations
- incident-response
- mobile-forensics
phases:
- data-collection
- examination
- analysis
- reporting
platforms:
- Windows
related_software:
- FTK Imager
- X-Ways Forensics
- Autopsy
domain-agnostic-software: null
skillLevel: intermediate
accessType: commercial
url: https://www.opentext.com/products/encase-forensic
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- gui
- commercial
- scripting
- court-admissible
- case-management
- dongle-license
- enscript
- evidence-processor
- batch-capable
- certification-path
- legacy-standard
- enterprise-scale
related_concepts:
- Digital Evidence Chain of Custody
- name: FRED
icon: 🖥️
type: software
description: >-
Forensic Recovery of Evidence Device - die High-End-Hardware-Lösung für
professionelle Forensik-Labore. Kombiniert Workstation, Imager und
Write-Blocker in einem System. Die UltraBay-Technologie ermöglicht
Hot-Swap von bis zu 8 Laufwerken gleichzeitig. Eingebaute Hardware-
Write-Blocker für alle gängigen Interfaces: SATA, SAS, IDE, USB, FireWire.
Die RAID-Rekonstruktion arbeitet mit defekten Arrays. Besonders wertvoll:
Paralleles Imaging mehrerer Evidenzen, Hardware- beschleunigte Hashing,
Unterstützung exotischer Formate. Die Touchscreen- Konsole steuert
Imaging-Vorgänge. Field-Kit-Version für Vor-Ort-Einsätze. Integration mit
FTK, EnCase, X-Ways. Die Workstation-Komponente analysiert während des
Imaging. Der hohe Preis macht es zur Investition für High-Volume-Labs. Der
Support durch Digital Intelligence ist erstklassig. Die modulare Bauweise
erlaubt Upgrades. Für kleine Teams Overkill, für Behörden-Labs oft
Standard. Die Hardware-Zuverlässigkeit rechtfertigt den Premium-Preis.
domains:
- static-investigations
- incident-response
phases:
- data-collection
platforms:
- Hardware
related_software: null
domain-agnostic-software: null
skillLevel: intermediate
accessType: commercial
url: https://www.digitalintelligence.com/products/fred/
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- gui
- commercial
- write-blocker
- physical-copy
- scenario:disk_imaging
- multithreaded
- hardware-solution
- hot-swap
- raid-recovery
- parallel-imaging
- touch-control
- lab-equipment
related_concepts:
- Digital Evidence Chain of Custody
- name: GraphSense
icon: 📊
type: software
description: >-
Die Open-Source-Blockchain-Analyse-Plattform aus Österreich bietet eine
datenschutzfreundliche Alternative zu US-Diensten. Attributions- freie
Analyse respektiert Privatsphäre während Ermittlungen. Der
Clustering-Algorithmus gruppiert Adressen zu Entities basierend auf
Heuristiken. TagPacks ermöglichen kollaboratives Labeling bekannter
Services. Die Apache-Cassandra-Architektur skaliert auf Milliarden
Transaktionen. REST-API für Tool-Integration. Unterstützt Bitcoin,
Ethereum, Litecoin mit wachsender Liste. Besonders wertvoll: Graphbasierte
Visualisierung von Geldflüssen, Risiko-Scores ohne externe Abhängigkeiten,
Self-Hosting für sensible Ermittlungen. Die akademische Herkunft (AIT)
garantiert Transparenz. Docker-Deployment vereinfacht Installation. Die
Attributions-Qualität erreicht noch nicht Chainalysis-Niveau, verbessert
sich aber stetig. EU-Förderung sichert Weiterentwicklung. Perfekt für
Organisationen die Blockchain-Forensik ohne US-Cloud-Abhängigkeit
benötigen. Die Zukunft der souveränen Krypto-Ermittlungen.
domains:
- static-investigations
- fraud-investigation
- incident-response
phases:
- analysis
- reporting
platforms:
- Web
related_software:
- Chainalysis
- Maltego
- Neo4j
domain-agnostic-software: null
skillLevel: intermediate
accessType: server-based
url: https://graphsense.org/
projectUrl: ''
license: MIT
knowledgebase: false
tags:
- web-interface
- blockchain-analysis
- opensource
- visualization
- anomaly-detection
- correlation-engine
- privacy-preserving
- self-hosted
- clustering-algorithm
- tagpack-system
- academic-backing
- eu-compliant
related_concepts:
- Hash Functions & Digital Signatures
- name: Gitea
icon: 🍵
type: software
description: >-
Das federleichte Git-Repository-System perfekt für Forensik-Teams die ihre
Tools und Dokumentation versionieren. Go-basierte Architektur läuft
ressourcenschonend auf Raspberry Pi bis Enterprise-Server. Die intuitive
Web-UI macht Git zugänglich für weniger technische Teammitglieder.
Besonders wertvoll für Forensik: Versionierung von YARA-Rules, IOC-Listen,
Analysis-Scripts, Case-Dokumentation. Die eingebaute CI/CD-Pipeline
(Actions) automatisiert Tool-Deployments und Qualitätschecks.
Issue-Tracker organisiert Ermittlungs-Tasks. Wiki dokumentiert Prozeduren.
Der Code-Review-Workflow sichert Vier-Augen-Prinzip.
Pull-Request-Templates standardisieren Contributions. Die API integriert
mit Forensik-Workflows. Mirror-Funktionen synchronisieren externe
Repositories. Niedrige Systemanforderungen erlauben Hosting im eigenen
Lab. Die Migration von GitHub/GitLab ist nahtlos. Perfekt für Teams die
Kontrolle über ihre Forensik- Artefakte behalten wollen ohne
Cloud-Abhängigkeit. Der Community- Fork von Gogs mit aktiverer
Entwicklung.
domains:
- incident-response
- malware-analysis
- static-investigations
phases:
- reporting
platforms:
- Web
related_software: null
domain-agnostic-software:
- collaboration-general
skillLevel: beginner
accessType: server-based
url: https://gitea.io/
projectUrl: https://git.cc24.dev
license: MIT
knowledgebase: null
statusUrl: https://status.mikoshi.de/api/badge/18/status
tags:
- web-interface
- version-control
- git-integration
- collaboration
- multi-user-support
- automation-ready
- ci-cd-actions
- issue-tracking
- wiki-system
- code-review
- api-driven
- lightweight
related_concepts:
- Digital Evidence Chain of Custody
- name: ICSpector
type: software
description: >-
Microsofts Open-Source-Framework revolutioniert Industrial-Control-System-
Forensik mit spezialisierten Tools für SCADA/PLC-Untersuchungen.
Extrahiert Metadaten aus Siemens S7, Rockwell, Schneider Electric
Controllern. Die Python-basierte Architektur parst proprietäre Protokolle
und Dateiformate. Besonders wertvoll: Ladder-Logic-Extraktion zeigt
manipulierte Programme, Configuration-Diff erkennt unauthorized Changes,
Network-Capture-Analyse für ICS-Protokolle (Modbus, DNP3, IEC-104).
Timeline-Rekonstruktion aus Historian-Daten. Die Plugin-Architektur
erlaubt Erweiterung für neue Hersteller. Integration mit
Wireshark-Dissectors. Unterstützt sowohl Live-Systeme als auch
Offline-Images. Die Dokumentation erklärt ICS-Besonderheiten für
IT-Forensiker. Besonders relevant nach Stuxnet und zunehmenden
ICS-Angriffen. Die Community wächst mit kritischer
Infrastruktur-Bedeutung. Füllt die Lücke zwischen IT- und OT-Forensik.
Unverzichtbar für Kraftwerke, Wasserversorgung, Produktionsanlagen. Die
Zukunft der Infrastruktur-Forensik beginnt hier.
domains:
- ics-forensics
- incident-response
- malware-analysis
phases:
- data-collection
- examination
- analysis
skillLevel: advanced
url: https://github.com/microsoft/ics-forensics-tools
icon: 🏭
platforms:
- Windows
- Linux
- macOS
accessType: download
license: MIT
knowledgebase: false
tags:
- command-line
- system-metadata
- artifact-parser
- cross-platform
- scripting
- opensource
- plc-analysis
- scada-forensics
- ladder-logic
- protocol-parser
- configuration-analysis
- ot-security
related_concepts:
- Digital Evidence Chain of Custody
related_software:
- Wireshark
- name: Impacket
icon: 🔨
type: software
description: >-
Die Python-Bibliothek ist das Schweizer Taschenmesser für Windows-
Netzwerk-Forensik und Living-off-the-Land. Über 50 Beispiel-Scripts
demonstrieren mächtige Capabilities: smbexec.py für Remote-Execution,
secretsdump.py extrahiert Hashes, wmiexec.py für WMI-basierte Forensik.
Die Low-Level-Protokoll-Implementation ermöglicht granulare Kontrolle.
Besonders wertvoll für Incident-Response: Remote-Registry-Zugriff ohne
Agent, Kerberos-Ticket-Extraktion, NTLM-Relay-Detection. psexec.py als
forensische Alternative zu SysInternals. Die DCSync-Funktionalität hilft
bei Domain-Kompromittierungen. SMB/MSRPC-Parser für Traffic-Analyse.
Integration in Forensik-Frameworks wie Volatility. Die aktive SecureAuth-
Entwicklung hält mit Windows-Updates Schritt. Dokumentation erklärt
Windows-Interna für Linux-Forensiker. Vorsicht: Viele Features sind
dual-use - klare Policies nötig. Die ethische Nutzung unterscheidet
Forensiker von Angreifern. Unverzichtbar für moderne Windows-Forensik ohne
Microsoft-Tools.
domains:
- incident-response
- network-forensics
- malware-analysis
phases:
- data-collection
- examination
platforms:
- Linux
- Windows
- macOS
related_software: null
domain-agnostic-software: null
skillLevel: advanced
accessType: download
url: https://github.com/SecureAuthCorp/impacket
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- command-line
- remote-collection
- scripting
- scenario:persistence
- protocol-decode
- live-process-view
- windows-protocols
- credential-extraction
- lateral-movement
- registry-access
- wmi-forensics
- python-library
- scenario:credential_theft
related_concepts:
- Digital Evidence Chain of Custody
- name: Kismet
icon: 📡
type: software
description: >-
Der Wireless-Netzwerk-Detektor und Sniffer findet versteckte WLANs,
Rogue-Access-Points und verdächtige Clients. Passives Monitoring ohne
Aussenden von Probe-Requests macht es ideal für verdeckte Ermittlungen.
Unterstützt 802.11a/b/g/n/ac und moderne Standards. Die GPS-Integration
ermöglicht War-Driving mit präziser Standort-Zuordnung. Besonders
wertvoll: Erkennung von Deauth-Attacks, Evil-Twin-APs, Client-Isolation-
Bypasses. Die Plugin-Architektur erweitert für Bluetooth, Zigbee, andere
Funkprotokolle. REST-API für Integration in SOC-Dashboards. Der
Distributed-Mode koordiniert mehrere Sensoren. PCAP-Export für
Wireshark-Analyse. Die Alert-Engine meldet Sicherheitsverletzungen. Web-UI
visualisiert Netzwerk-Topologie. Besonders stark bei Firmen- WLAN-Audits
und Incident-Response. Die Log-Correlation findet Zusammenhänge zwischen
Events. Unterstützt Software-Defined-Radios für erweiterte
Frequenzbereiche. Die Community-Entwicklung fokussiert auf
Praktiker-Bedürfnisse. Standard-Tool für Wireless-Forensik weltweit.
domains:
- incident-response
- network-forensics
phases:
- data-collection
- examination
platforms:
- Linux
related_software:
- Aircrack-ng
- WiFi Pineapple
- Wireshark
domain-agnostic-software: null
skillLevel: advanced
accessType: download
url: https://www.kismetwireless.net/
projectUrl: ''
license: GPL-2.0
knowledgebase: false
tags:
- gui
- pcap-capture
- geolocation
- live-acquisition
- anomaly-detection
- wireless-analysis
- passive-monitoring
- gps-mapping
- multi-protocol
- distributed-sensors
- api-enabled
- wardrive-capable
related_concepts: null
- name: ArcGIS
type: software
description: >-
Esris kommerzielle GIS-Plattform transformiert forensische Geodaten in
aussagekräftige räumliche Analysen für Ermittlungen. Besonders wertvoll
für komplexe Bewegungsprofile aus GPS-Logs, Cell-Tower-Triangulation und
Fahrzeug-Telematik. Die ArcMap-Desktop-Anwendung bietet erweiterte
Spatial-Queries: Buffer-Analysen identifizieren Verdächtige in
Tatort-Nähe, Hot-Spot-Detection findet Kriminalitätsschwerpunkte,
Network-Analyst berechnet optimale Fluchtrouten. Integration mit
Datenbanken ermöglicht Korrelation von Orten mit Personen, Fahrzeugen,
Kommunikation. Die 3D-Scene-Funktionen rekonstruieren Tatorte
photorealistisch. Crime-Mapping- Extensions speziell für Strafverfolgung.
Der Enterprise-Fokus bedeutet hohe Kosten (ab 7.000€) und
Schulungsaufwand, aber bewährte Kompetenz für Geo-Intelligence.
skillLevel: intermediate
url: https://www.esri.com/arcgis
icon: 🌍
domains:
- fraud-investigation
- network-forensics
phases:
- reporting
tags:
- mapping
- visualization
related_concepts: null
platforms:
- Windows
- macOS
accessType: commercial
license: Proprietary
knowledgebase: false
- name: Binary Ninja
type: software
description: >-
Vector 35s moderne Reverse-Engineering-Plattform kombiniert traditionelle
Disassembly mit fortschrittlicher Program-Analysis. Die Multi-Level-IR
(Intermediate Representation) ermöglicht Cross-Architecture-Analysen
durch einheitliche Abstraktion. Besonders innovativ: Der Decompiler
erzeugt lesbaren High-Level-Code, Type-Recovery rekonstruiert
Datenstrukturen automatisch, die Plugin-API (Python/C++) erlaubt tiefe
Customization. Cloud-Integration synchronisiert Analysen zwischen Teams.
Die moderne GUI mit Multiple-Workspaces übertrifft IDA in Usability.
Debugger-Integration für Dynamic-Analysis. Scripting-Console für
Ad-hoc-Automation. Die Personal-License (399€) macht professionelle
Binary-Analysis erschwinglich. Commercial-Lizenzen bieten Team-Features
und Cloud-Sync. Besonders stark bei modernen Architekturen (ARM64,
RISC-V) die IDA vernachlässigt. Die Zukunft des Reverse Engineering für
eine neue Generation von Analysten.
skillLevel: advanced
url: https://binary.ninja
icon: 🛠️
domains:
- malware-analysis
- static-investigations
phases:
- analysis
tags:
- reverse-engineering
- decompiler
related_concepts: null
platforms:
- Windows
- macOS
- Linux
accessType: commercial
license: Proprietary
knowledgebase: false
- name: CapLoader
type: software
description: >-
Das Windows-Tool revolutioniert die Analyse großer PCAP-Sammlungen durch
intelligente Indexierung und Flow-Rekonstruktion. Lädt Multi-GB-Captures
in Sekunden und ermöglicht blitzschnelle Filterung nach Protokollen,
Timeframes oder Keyword-Patterns. Besonders wertvoll: Automatische
Flow-Reassembly rekonstruiert komplette TCP-Sessions, HTTP-Objects-
Extraktion speichert übertragene Dateien, Credential-Harvesting findet
Klartext-Passwörter in Streams. Die Timeline-Ansicht visualisiert
Traffic-Patterns über Zeit. Batch-Export zu NetworkMiner oder Wireshark
für Detailanalyse. Performance-optimiert für Forensiker die täglich mit
großen Packet-Captures arbeiten. Integration mit NetWitness und anderen
Enterprise-NSM-Lösungen. Der Workflow beschleunigt Incident- Response
erheblich durch Vorsortierung relevanter Flows.
skillLevel: intermediate
url: https://www.netresec.com/?page=CapLoader
icon: 📡
domains:
- network-forensics
phases:
- examination
- analysis
tags:
- pcap-analysis
- flow-extraction
- timeline-view
- credential-extraction
- file-reconstruction
- batch-processing
related_concepts: null
platforms:
- Windows
accessType: commercial
license: Proprietary
knowledgebase: false
- name: Collabora Online
type: software
description: >-
Webbasierte OpenSourceOfficeSuite mit kompletter
DokumentenBearbeitung und LiveKollaboration.
skillLevel: beginner
url: https://www.collaboraonline.com
icon: 📝
domains:
- collaboration-general
phases:
- reporting
tags:
- office
- collaboration
platforms:
- Linux
- Windows
accessType: download
license: "MPL\_/ AGPL"
knowledgebase: false
- name: ShadowExplorer
icon: 🗂️
type: software
description: >-
Das schlanke Windows-Tool macht Volume-Shadow-Copy-Snapshots auch in Home-Editionen sichtbar und erlaubt das komfortable Durchstöbern sowie Wiederherstellen früherer Datei-Versionen. Damit lassen sich versehentlich gelöschte oder überschriebene Dateien in Sekunden zurückholen geeignet für schnelle Triage und klassische Datenträgerforensik.
domains:
- static-investigations
- incident-response
phases:
- examination
- analysis
platforms:
- Windows
related_software:
- OSFMount
- PhotoRec
domain-agnostic-software: null
skillLevel: novice
accessType: download
url: https://www.shadowexplorer.com/
license: Freeware
knowledgebase: false
tags:
- gui
- shadow-copy
- snapshot-browsing
- file-recovery
- previous-versions
- scenario:file_recovery
- point-in-time-restore
related_concepts:
- Digital Evidence Chain of Custody
- name: Sonic Visualiser
icon: 🎵
type: software
description: >-
Die Open-Source-Audio-Analyse-Suite wird in der Forensik eingesetzt,
um Wave- und Kompressionsformate bis auf Sample-Ebene zu untersuchen.
Spektrogramm-Visualisierung, Zeit-/Frequenz-Annotationen und
Transkriptions-Plugins (Vamp) helfen, Manipulationen wie
Bandpass-Filter, Time-Stretching oder Insert-Edits nachzuweisen.
FFT- und Mel-Spectral-Views decken versteckte Audio-Watermarks oder
Steganografie auf. Export-Funktionen in CSV/JSON erlauben die
Weiterverarbeitung in Python-Notebooks oder SIEM-Pipelines.
Ideal für Voice-Authentication-Checks, Deep-Fake-Erkennung
und Beweisaufbereitung vor Gericht.
skillLevel: intermediate
url: https://www.sonicvisualiser.org/
domains:
- static-investigations
- fraud-investigation
phases:
- examination
- analysis
- reporting
platforms:
- Windows
- Linux
- macOS
accessType: download
license: GPL-2.0
knowledgebase: false
tags:
- gui
- audio-forensics
- spectrogram
- plugin-support
- annotation
- csv-export
related_concepts: []
related_software:
- Audacity
- name: Dissect
icon: 🧩
type: software
description: >-
Fox-ITs Python-Framework abstrahiert Windows- und Linux-Speicherabbilder
in virtuelle Objekte (Prozesse, Dateien, Registry, Kernel-Strukturen),
ohne zuvor ein Profil definieren zu müssen. Modularer
Hypervisor-Layer erlaubt das Mounten und gleichzeitige Analysieren
mehrerer Memory-Dumps perfekt für großflächige Incident-Response.
Plugins dekodieren PTEs, handle tables, APC-Queues und liefern
YARA-kompatible Scans. Die Zero-Copy-Architektur beschleunigt Queries auf
Multi-GB-Images signifikant. Unterstützt Windows 11 24H2-Kernel sowie
Linux 6.x-schichten ab Juli 2025.
skillLevel: advanced
url: https://github.com/fox-it/dissect
domains:
- incident-response
- malware-analysis
- static-investigations
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
accessType: download
license: Apache 2.0
knowledgebase: false
tags:
- command-line
- memory-analysis
- plugin-support
- python-library
- zero-copy
- profile-less
related_concepts:
- Regular Expressions (Regex)
related_software:
- Volatility 3
- Rekall
- name: Docker Explorer
icon: 🐳
type: software
description: >-
Googles Forensik-Toolkit zerlegt Offline-Docker-Volumes und
Overlay-Dateisysteme ohne laufenden Daemon. Es extrahiert
Container-Config, Image-Layer, ENV-Variablen, Mounted-Secrets
und schreibt Timeline-fähige Metadata-JSONs. Unterstützt btrfs,
overlay2 und zfs Storage-Driver sowie Docker Desktop (macOS/Windows).
Perfekt, um bösartige Images nach Supply-Chain-Attacken zu enttarnen
oder flüchtige Container nach einem Incident nachträglich zu analysieren.
skillLevel: intermediate
url: https://github.com/google/docker-explorer
domains:
- cloud-forensics
- incident-response
- static-investigations
phases:
- data-collection
- examination
- analysis
platforms:
- Linux
- macOS
- Windows
accessType: download
license: Apache 2.0
knowledgebase: false
tags:
- command-line
- container-forensics
- docker
- timeline
- json-export
- supply-chain
related_concepts: []
related_software:
- Velociraptor
- osquery
- name: Ghiro
icon: 🖼️
type: software
description: >-
Die Web-basierte Bild­forensik-Plattform automatisiert EXIF-Analyse,
Hash-Matching, Error-Level-Evaluation (ELA) und
Steganografie-Erkennung für große Dateibatches. Unterstützt
Gesichts- und NSFW-Detection sowie GPS-Reverse-Geocoding für
Bewegungsprofile. Reports sind gerichtsfest
versioniert, REST-API und Celery-Worker skalieren auf
Millionen Bilder ideal für CSAM-Ermittlungen oder Fake-News-Prüfung.
skillLevel: intermediate
url: https://getghiro.org/
domains:
- static-investigations
- fraud-investigation
- mobile-forensics
phases:
- examination
- analysis
- reporting
platforms:
- Web
- Linux
accessType: server-based
license: GPL-2.0
knowledgebase: false
tags:
- web-interface
- image-forensics
- exif-analysis
- steganography
- nsfw-detection
- batch-processing
related_concepts:
- Hash Functions & Digital Signatures
related_software:
- ExifTool
- PhotoRec
- name: Sherloq
icon: 🔍
type: software
description: >-
Das Python-GUI-Toolkit für visuelle Datei-Analyse kombiniert
klassische Reverse-Steganografie-Techniken (LSB, Palette-Tweaking,
DCT-Coefficient-Scanning) mit modernen CV-Algorithmen.
Heatmaps und Histogramm-Diffs zeigen Manipulations-Hotspots,
während eine „Carve-All-Layers“-Funktion versteckte Daten in PNG,
JPEG, BMP, GIF und Audio-Spectra aufspürt. Plugins für zsteg,
binwalk und exiftool erweitern die Pipeline.
Eine Must-have-Ergänzung zu Ghidra & friends, wenn
Malware Dateien als Dead-Drop nutzt.
skillLevel: intermediate
url: https://github.com/GuidoBartoli/sherloq
domains:
- malware-analysis
- static-investigations
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
accessType: download
license: MIT
knowledgebase: false
tags:
- gui
- image-forensics
- steganography
- lsb-extraction
- histogram-analysis
- plugin-support
related_concepts:
- Regular Expressions (Regex)
related_software:
- Ghiro
- CyberChef
- name: Cortex
type: software
description: >-
TheHives Analyzer-Engine automatisiert Observable-Intelligence durch über
100 integrierte Services von VirusTotal bis Shodan. Ein File-Hash
triggert parallel: AV-Scans, Sandbox-Detonation, YARA-Matching,
Reputation-Checks in Sekunden statt manueller Stunden-Arbeit. Die
Plugin-Architektur erweitert für Custom-APIs und interne
Threat-Intelligence. Besonders wertvoll: Responder-Actions ermöglichen
automatische Incident-Response (Block-IP, Quarantine-Host),
Taxonomy-Integration kategorisiert Threats nach MISP- Standards,
Job-History dokumentiert alle Analysen für Audit-Trails.
Docker-Deployment skaliert Workers je nach Load. Rate-Limiting verhindert
API-Quota-Erschöpfung. Die RESTful-API integriert in SOAR-Playbooks.
JSON-Templates definieren Analyzer-Konfigurationen. Community-Analyzer
erweitern für spezielle Use-Cases. Nach TheHive-Übernahme durch
StrangeBee wird Cortex 3.x als Open-Source weiterentwickelt.
Standard-Component moderner SOC-Automatisierung.
skillLevel: intermediate
url: https://strangebee.com/cortex
icon: 🧩
domains:
- incident-response
- malware-analysis
phases:
- analysis
tags:
- automation
- threat-intel
platforms:
- Linux
accessType: download
license: AGPLv3
knowledgebase: false
- name: Elasticsearch
type: software
description: >-
Die verteilte Such- und Analytics-Engine bildet das Herzstück moderner
Forensik-Infrastrukturen durch Near-Real-Time-Indexierung von Petabytes.
Lucene-basierte Volltext-Suche findet IOCs in Sekunden über Millionen
Logs. Die JSON-native Architektur verarbeitet strukturierte und
unstrukturierte Daten gleichermäßen. Besonders wertvoll:
Aggregations-Framework erstellt komplexe Timeline-Analysen, Geo-Queries
korrelieren Events geografisch, Machine-Learning-Features erkennen
Anomalien automatisch. Horizontal- Skalierung von Single-Node bis
Multi-Datacenter-Clusters. Die RESTful-API integriert mit allen
Forensik-Tools. Ingest-Pipelines normalisieren verschiedene Log-Formate.
Security-Features (X-Pack) bieten Encryption und RBAC für sensitive
Ermittlungen. Snapshot-Funktionen sichern forensische Integrität. Die
Index-Lifecycle-Management rotiert alte Daten automatisch. Basis für
ELK-Stack (Logstash, Kibana) und SIEM-Systeme. Unverzichtbar für moderne
SOCs und Incident-Response-Teams.
skillLevel: intermediate
url: https://www.elastic.co/elasticsearch
icon: 🔍
domains:
- incident-response
- network-forensics
phases:
- analysis
tags:
- search
- big-data
platforms:
- Linux
- Windows
accessType: download
license: "Elastic\_License\_/\_SSPL"
knowledgebase: false
- name: Elliptic
type: software
description: >-
Die kommerzielle Blockchain-Analytics-Plattform konkurriert mit
Chainalysis durch erweiterte Compliance-Features und RegTech-Integration.
Clustering- Algorithmen identifizieren Services durch
Transaction-Pattern-Analysis: Exchanges, Darknet-Markets, Mixers,
Ransomware-Wallets. Die Compliance- Suite bietet Real-Time-Screening gegen
OFAC/EU-Sanctions-Listen. Besonders stark: DeFi-Protocol-Analysis
dekodiert Smart-Contract- Interactions, Cross-Chain-Tracking folgt Funds
über Bridges, Investigation-Tools für Complex-Money-Laundering-Schemes.
API-Integration ermöglicht Automated-AML-Workflows. Die Typology-Library
kategorisiert Verdachtsmuster nach FATF-Standards. Court-Ready-Reports
mit Blockchain- Evidence-Chain. Training-Programme zertifizieren
Investigators. Unterstützt Bitcoin, Ethereum, und 15+ andere Blockchains.
Enterprise- Deployment für Banken, Exchanges und Strafverfolgung. Der
europäische Fokus macht es zur Alternative für EU-basierte
Organisationen.
skillLevel: intermediate
url: https://www.elliptic.co
icon:
domains:
- fraud-investigation
phases:
- analysis
tags:
- blockchain-analysis
- compliance-screening
- sanctions-checking
- defi-analysis
- cross-chain-tracking
- aml-workflows
- court-reporting
platforms:
- Web
accessType: cloud
license: Subscription
knowledgebase: false
- name: FACT
type: software
description: >-
Das Firmware Analysis and Comparison Tool des BSI revolutioniert
IoT-Security durch automatisierte Bulk-Analysis von Embedded-Firmware.
Web-Interface ermöglicht Upload ganzer Firmware-Sammlungen für parallele
Verarbeitung. Über 50 Analyzer dekomprimieren Archive, extrahieren
Dateisysteme, identifizieren Crypto-Keys, finden Backdoors. Besonders
mächtig: Diff-Analysis vergleicht Firmware-Versionen und identifiziert
Security- Patches, CVE-Matching findet bekannte Vulnerabilities in
embedded Libraries, Entropy-Analysis lokalisiert verschlüsselte Bereiche.
Die Plugin-Architektur ermöglicht Custom-Analyzer für proprietäre
Formate. YARA-Integration für Malware-Detection. Collaboration-Features
für Team-Analysis. REST-API automatisiert Bulk-Submissions. Die
PostgreSQL-Backend speichert Metadaten durchsuchbar. Perfekt für
Router-Hersteller, Security-Researcher und Incident-Response-Teams die
IoT-Compromises untersuchen. Open-Source aber Enterprise-Ready für
kritische Infrastruktur-Assessments.
skillLevel: advanced
url: https://github.com/fkie-cad/FACT_core
icon: 🔧
domains:
- ics-forensics
- malware-analysis
phases:
- analysis
tags:
- firmware
- automation
platforms:
- Linux
accessType: download
license: GPLv3
knowledgebase: false
- name: FOCA
type: software
description: >-
Elevenpaths (Telefonica) entwickelte dieses OSINT-Kraftpaket zur
Extraktion von Metadaten aus öffentlich verfügbaren Dokumenten für
Infrastructure- Reconnaissance. Crawlt systematisch Websites nach PDFs,
Office-Docs, Bildern und extrahiert: Autor-Namen (potentielle
Mitarbeiter), Software- Versionen (Attack-Surface), interne Pfade
(Network-Topology), Drucker- Namen (Physical-Access-Points). Die
DNS-Analysis korreliert Domains mit gefundenen Infrastrukturdaten.
Geolocation-Features mappen IP-Ranges. Besonders wertvoll für
Social-Engineering-Vorbereitung: Email-Pattern- Recognition generiert
Username-Listen, Organization-Chart-Reconstruction aus Metadaten.
Plugin-System erweitert für Custom-Document-Types. Shodan-Integration
enrichert IP-Intelligence. Die GUI macht komplexe OSINT-Workflows auch
für Non-Technical-Investigators zugänglich. Export-Funktionen für weitere
Analysis-Tools. Unverzichtbar für Penetration-Tester und
Financial-Crime-Investigators die Target- Organizations verstehen müssen.
skillLevel: beginner
url: https://github.com/ElevenPaths/FOCA
icon: 🗂️
domains:
- static-investigations
- fraud-investigation
phases:
- examination
tags:
- metadata
- osint
platforms:
- Windows
accessType: download
license: GPLv3
knowledgebase: false
- name: Firmware Analysis Toolkit
type: software
description: >-
Attifys Python-Framework automatisiert die komplexe Firmware-Emulation
für Dynamic-Analysis von IoT-Geräten. Basiert auf Firmadyne-Research aber
erweitert um praktische Exploitation-Tools. Automatischer Workflow:
Binwalk-Extraction → Filesystem-Reconstruction → QEMU-Emulation →
Network-Service-Discovery → Vulnerability-Scanning. Besonders wertvoll:
Web-Interface-Crawler findet Admin-Panels automatisch,
Default-Credential-Testing, SQL-Injection-Fuzzing der Management-
Interfaces. Die ARM/MIPS-Emulation ermöglicht Interactive-Debugging mit
GDB. Network-Simulation stellt Internet-Connectivity bereit.
Metasploit-Integration für Automated-Exploitation. Vulnerability- Database
korreliert Findings mit CVEs. Docker-Setup vereinfacht komplexe
Dependencies. Die Academic-Herkunft garantiert Research-Quality aber
User-Experience ist basic. Perfekt für Security-Researcher die
IoT-Firmware auf Scale analysieren müssen. Ergänzt statische Tools um
Dynamic-Analysis-Capabilities.
skillLevel: advanced
url: https://github.com/attify/firmware-analysis-toolkit
icon: 📦
domains:
- ics-forensics
- malware-analysis
phases:
- analysis
tags:
- emulation
- firmware
platforms:
- Linux
accessType: download
license: MIT
knowledgebase: false
- name: GCHQ Tools
type: software
description: >-
Sammlung freier GCHQUtilities, allen voran CyberChef\_ das
„CyberSchweizerTaschenmesser“ für Encoding, Crypto und Datenanalyse.
skillLevel: beginner
url: https://gchq.github.io/CyberChef
icon: 🥄
domains:
- domain-agnostic-software
phases:
- analysis
tags:
- encoding
- crypto
- parsing
platforms:
- Web
accessType: download
license: Apache2.0
knowledgebase: false
- name: Gephi
type: software
description: >-
Die Open-Source-Netzwerkanalyseplattform visualisiert komplexe
Beziehungsgeflechte durch mächtige Graph-Algorithmen und interaktive
Darstellung. Force-Atlas-Layout organisiert tausende Nodes automatisch,
Modularity-Clustering identifiziert Communities, Betweenness-Centrality
findet Schlüsselfiguren in Netzwerken. Besonders wertvoll für Fraud-
Investigations: Import von CSV/GEXF-Daten aus Transaktions-Logs,
Timeline-Animation zeigt Netzwerk-Evolution, Size/Color-Mapping nach
Attributen (Geldbeträge, Risikolevels). Die Statistics-Panel berechnet
Graph-Metriken automatisch. Filter isolieren verdächtige Subgraphen.
Export zu PDF/SVG für Reports. Plugin-Ecosystem erweitert für spezielle
Analysis-Methoden. Besonders stark bei großen Datensätzen (100k+ Nodes)
wo andere Tools versagen. Die Java-Basis macht es Cross-Platform
verfügbar. Steile Lernkurve aber unübertroffene Visualisierungs-Power für
Social-Network-Analysis und Money-Laundering-Detection.
skillLevel: intermediate
url: https://gephi.org
icon: 🕸️
domains:
- fraud-investigation
- network-forensics
phases:
- analysis
tags:
- graph-analysis
- visualization
platforms:
- Windows
- macOS
- Linux
accessType: download
license: "GPL\_v3\_/\_CDDL"
knowledgebase: false
- name: Google Earth Pro
type: software
description: >-
Googles professionelle Geo-Intelligence-Plattform bietet forensische
Capabilities weit jenseits der Consumer-Version. Historische
Satellitenbilder ab 1984 ermöglichen Timeline-Analysis von Tatorten,
Gebäude-Entwicklungen, Umwelt-Veränderungen. High-Resolution-Imagery (bis
60cm/Pixel) zeigt Details für Crime-Scene-Reconstruction. Besonders
wertvoll: KML/KMZ-Import von GPS-Tracks für Movement-Analysis,
Measurement-Tools für genaue Distanzen, 3D-Buildings für
Sichtlinien-Analysen. Movie-Maker erstellt Flyover-Animations für
Jury-Präsentationen. The Street-View-Integration zeigt
Ground-Truth-Perspective. Polygon-Tools markieren Search-Areas.
Koordinaten-Anzeige in verschiedenen Formaten (Lat/Long, UTM, MGRS).
Offline-Caching für Field-Operations. Die kostenlose Professional-Lizenz
(seit 2015) demokratisiert Geo-Intelligence. GPS-Data-Import von
Smartphones, Fitness-Trackern, Fahrzeug-Systemen. Standard-Tool für
OSINT-Verification und Court-Room-Presentations weltweit.
skillLevel: beginner
url: https://www.google.com/earth/versions/#earth-pro
icon: 🌐
domains:
- fraud-investigation
phases:
- reporting
tags:
- satellite
- osint
platforms:
- Windows
- macOS
accessType: download
license: Freeware
knowledgebase: false
- name: GrayKey
type: software
description: >-
Grayshift Technologies entwickelt die kontroverse iOS-Forensik-Lösung für
Strafverfolgung - eine dedizierte Hardware-Box die iPhones durch
Zero-Day-Exploits entsperrt. Die Lightning-Kabel-Verbindung umgeht Apples
USB-Restricted-Mode und Secure-Enclave-Schutz. Zwei Varianten:
GrayKey-On-Premises für lokale Nutzung, GrayKey-Connected mit Cloud-
Updates für neueste Exploits. Unterstützt iOS 7-17 mit wechselnder
Geräte-Coverage je nach verfügbaren Exploits. Die Brute-Force-Engine
knackt 4-6 stellige PINs in Stunden bis Tagen. Besonders wertvoll:
Partial-Extraction auch bei verschlüsselten Geräten, AFU/BFU-State-
Analysis, Keychain-Decryption. Der Preis (30.000€+) und ethische Bedenken
limitieren auf Strafverfolgung. Regelmäßige Exploits werden durch
iOS-Updates zunichte gemacht - ein Katz-und-Maus-Spiel zwischen Apple und
Grayshift. Standard-Tool in US-Polizei-Departments trotz rechtlicher und
ethischer Kontroversen um Überwachungstechnologie.
skillLevel: advanced
url: https://grayshift.com/graykey
icon: 🔑
domains:
- mobile-forensics
phases:
- data-collection
tags:
- ios-unlocking
- zero-day-exploits
- hardware-solution
- brute-force
- keychain-extraction
- law-enforcement
platforms:
- iOS
accessType: hardware
license: Proprietary
knowledgebase: false
- name: IDA Pro
type: software
description: >-
Vertreten im Bereich des Reverse Engineering seit über 30 Jahren -
HexRays IDA Pro definierte die statische Binary-Analyse. Der Disassembler
unterstützt über 50 Prozessor-Architekturen von x86 über ARM bis zu
exotischen DSPs. Der Decompiler wandelt Assembly in lesbaren C-Pseudocode
um, interaktive Cross-References visualisieren Code-Beziehungen, der
Graph-View zeigt Control-Flow intuitiv. IDAPython ermöglicht
Automatisierung komplexer Analysen. Die Signature- Datenbank (FLIRT)
identifiziert Standard-Bibliotheken automatisch. Collaborative-Features
für Teamanalysen. Besonders stark bei Malware- Dekonstruktion,
Vulnerability-Research und Firmware-Analyse. Der Preis schreckt
Hobbyisten ab.
skillLevel: advanced
url: https://hex-rays.com/ida-pro
icon: 🖥️
domains:
- malware-analysis
- static-investigations
phases:
- analysis
tags:
- disassembler
- decompiler
platforms:
- Windows
- macOS
- Linux
accessType: commercial
license: Proprietary
knowledgebase: false
- name: KAPE
type: software
description: >-
Kroll Artifact Parser and Extractor versucht sich an Windows-Forensik durch
intelligente Ziel-basierte Sammlung. Statt Full-Disk-Images extrahiert
KAPE gezielt kritische Artefakte: Registry-Hives, Event-Logs, Prefetch,
Browser- Daten, Scheduled-Tasks in Minuten statt Stunden. Die Target-Files
definieren was gesammelt wird, Module-Files wie es verarbeitet wird.
Besonders clever: Compound-Targets gruppieren zusammengehörige Artefakte
(z.B. "Browser" sammelt Chrome+Firefox+Edge), die gKAPE-GUI macht es auch
für Nicht-Techniker zugänglich. Batch-Mode verarbeitet mehrere Images
parallel. Output direkt kompatibel zu Timeline-Tools wie Plaso.
VSS-Processing analysiert Shadow- Copies automatisch. Der
Remote-Collection-Mode sammelt über Netzwerk. Kostenlos (mit Registrierung) aber
Enterprise-Support verfügbar.
skillLevel: intermediate
url: https://www.kroll.com/kape
icon: 🧰
domains:
- incident-response
- static-investigations
phases:
- data-collection
tags:
- artifact-collection
- triage
platforms:
- Windows
accessType: download
license: Proprietary
knowledgebase: false
- name: Kibana
type: software
description: >-
Das Visualisierungs-Frontend des Elastic-Stacks verwandelt rohe
Forensik-Daten in aussagekräftige Dashboards und Echtzeit-Analysen.
Drag-and-Drop-Interface erstellt komplexe Queries ohne
Programmierkenntnisse. Besonders wertvoll für Incident-Response:
Timeline-Visualisierungen korrelieren Events über verschiedene Systeme,
Geo-Maps zeigen Angriffs-Ursprünge, Heat-Maps identifizieren
Aktivitätsmuster. Die Discover-Funktion ermöglicht explorative
Datenanalyse mit Drill-Down-Capabilities. Canvas erstellt Infografiken
für Management-Reports. Machine-Learning-Integration erkennt Anomalien
automatisch. Alerting-Framework triggert bei verdächtigen Mustern.
Dashboard-Sharing für SOC-Teams. Der Dev-Tools-Bereich bietet direkten
Elasticsearch-Zugriff für Power-User. Spaces isolieren verschiedene
Ermittlungen. Die Integration mit Wazuh, Suricata und anderen
SIEM-Komponenten macht es zum Standard-Dashboard moderner
Security-Operations. Kostenlos bis zu Basic-Features, X-Pack-Lizenzierung
für Enterprise-Funktionen.
skillLevel: beginner
url: https://www.elastic.co/kibana
icon: 📊
domains:
- incident-response
phases:
- analysis
- reporting
tags:
- dashboards
- analytics
platforms:
- Linux
- Windows
accessType: download
license: "Elastic\_License\_/\_SSPL"
knowledgebase: false
- name: LiME
type: software
description: >-
Linux Memory Extractor ermöglicht forensisch saubere RAM-Akquisition auf
Linux-Systemen durch dynamisch ladbares Kernel-Modul. Besonders wertvoll:
Zero-Contamination durch minimalen Footprint, Network-Streaming überträgt
RAM direkt an Remote-Analyst ohne lokale Storage, Format-Options (Raw,
Padded, ELF) für verschiedene Analysis-Tools. Die Cross-Compilation
unterstützt embedded Systems und IoT-Geräte. Android-Portierung
ermöglicht Mobile-Memory-Forensics. Automatische Kernel-Symbol-Resolution
für Volatility-Profile-Generation. Die Installation erfordert
Kernel-Headers aber der Build-Prozess ist gut dokumentiert.
TCP-Dump-Integration für simultane Netzwerk-Capture. Besonders wichtig
für Container-Forensik und Cloud-Incidents wo traditionelle Tools
versagen. Der Standard für Linux-Memory-Acquisition in professionellen
DFIR-Teams. Ergänzt Windows-Tools wie WinPmem für heterogene Umgebungen.
skillLevel: advanced
url: https://github.com/504ensicsLabs/LiME
icon: 🧠
domains:
- incident-response
- mobile-forensics
phases:
- data-collection
tags:
- memory
- acquisition
- scenario:memory_dump
platforms:
- Linux
- Android
accessType: download
license: GPLv2
knowledgebase: false
- name: Loki
type: software
description: >-
Florian Roths Portable-IOC-Scanner bringt Enterprise-Level-Threat-Hunting
auf jeden Windows-Endpoint ohne Agent-Installation. Die Python-basierte
Engine scannt File-Hashes gegen NSRL-Whitelist und Custom-IOC-Sets,
YARA-Rules gegen Memory und Dateisystem, Registry-Keys nach Malware-
Persistence, Running-Processes nach bekannten Threats. Besonders
wertvoll: Network-Share-Scanning durchsucht ganze Domänen,
False-Positive-Reduction durch Whitelist-Management, Detailed-Logging für
Compliance-Audits. Configuration-Files steuern Scan-Intensität vs.
Performance. Integration mit MISP für IOC-Updates. Die Executable-Version
läuft ohne Python-Installation. Härtungs-Checks validieren Sicherheits-
Konfigurationen. Sigma-Rule-Support für Log-Analysis. Community- IOCs
halten Threat-Database aktuell. Perfekt für Rapid-Response wenn
vollständige EDR-Lösungen fehlen. Standard-Tool in vielen
CERT-Incident-Response-Kits. Der Einstieg in professionelles
Threat-Hunting ohne Budget-Hürden.
skillLevel: intermediate
url: https://github.com/Neo23x0/Loki
icon: 🔎
domains:
- incident-response
phases:
- examination
tags:
- ioc
- yara
platforms:
- Windows
- Linux
accessType: download
license: GPLv3
knowledgebase: false
- name: Maltego
type: software
description: >-
Die Link-Analysis-Suite transformiert OSINT-Recherchen in visuelle
Netzwerke für Fraud-Ermittlungen und Threat-Intelligence. Graph-basierte
Darstellung zeigt Verbindungen zwischen Personen, Domains, IP-Adressen,
Social-Media- Accounts intuitiv. Transform-Engine automatisiert
Datensammlung aus hunderten Quellen: DNS-Records, Whois-Daten,
Social-Networks, Darkweb-Mentions. Besonders mächtig für BEC-Fraud:
Email-to-Domain-to-Infrastructure-Mapping enthüllt Scammer-Netzwerke. Die
Maltego-Teeth-Integration bringt kommerzielle Datenquellen.
Machine-Learning-Algorithmen finden versteckte Cluster.
Collaboration-Features für Team-Ermittlungen. Case-Management
dokumentiert Recherche-Pfade. Export zu verschiedenen Formaten für
Reports. Die Community-Edition (kostenlos) limitiert auf 12 Entities,
aber ausreichend für kleinere Fälle. Professional-Versionen (ab 999€)
entfernen Limits. Standard-Tool für Financial-Crime-Units und
OSINT-Analysten weltweit.
skillLevel: intermediate
url: https://www.maltego.com
icon: 🌐
domains:
- fraud-investigation
- network-forensics
phases:
- analysis
tags:
- osint
- link-analysis
platforms:
- Windows
- macOS
- Linux
accessType: freemium
license: Proprietary
knowledgebase: false
- name: OnlyOffice
type: software
description: >-
Die kollaborationsfokussierte Office-Suite kombiniert Microsoft-Office-
Kompatibilität mit Open-Source-Flexibilität für forensische Team-Arbeit.
Real-Time-Co-Editing ermöglicht simultane Report-Erstellung durch mehrere
Ermittler. Besonders wertvoll: Version-History dokumentiert alle
Änderungen für Audit-Trails, Comment-System koordiniert Review-Prozesse,
PDF-Forms für strukturierte Evidence-Collection. Die Plugin-Architecture
integriert mit Nextcloud, ownCloud für sichere File-Sharing.
Macro-Support (mit Sicherheits-Sandboxing) automatisiert repetitive
Analysen. Advanced-Mail-Merge für Bulk-Correspondence. Mathematical-
Formulas in Spreadsheets für Statistical-Analysis. Die Self-Hosted-
Deployment-Option hält sensitive Ermittlungsdaten in-house.
Enterprise-Features: SSO-Integration, LDAP-Authentication, Custom-
Branding für behördliche Anforderungen. Mobile-Apps ermöglichen
Field-Documentation. Deutlich günstiger als Microsoft-Lizenzen bei
vergleichbarer Funktionalität. Perfekte Balance zwischen Features und
Datenschutz für professionelle Forensik-Teams.
skillLevel: beginner
url: https://www.onlyoffice.com
icon: 📄
domains:
- collaboration-general
phases:
- reporting
tags:
- office
- collaboration
platforms:
- Windows
- Linux
- macOS
accessType: download
license: "AGPL\_/\_Apache\_2.0"
knowledgebase: false
- name: OpenCTI
type: software
description: >-
Filigrans Cyber-Threat-Intelligence-Plattform orchestriert moderne
Threat-Research durch Knowledge-Graph-basierte Datenmodellierung nach
STIX-Standards. Import von IOCs, TTPs, Malware-Analysen aus hunderten
Quellen: MISP-Feeds, Commercial-Intel, Custom-Research. Die Graph-Engine
korreliert scheinbar unabhängige Indicators zu Attack-Campaigns.
Besonders mächtig: Automated-Enrichment durch Connector-Ecosystem,
Confidence-Scoring gewichtet Intel-Quality, Observable-Pivoting findet
Related-Indicators automatisch. Playbook-Integration ermöglicht
Automated-Response. Team-Collaboration durch Workspaces und
Knowledge-Sharing. Export zu SIEM-Systemen in Real-Time. The
Modern-React-UI macht komplexe Intelligence-Workflows intuitiv.
Docker-Compose-Deployment für schnelle Installation. Enterprise- Features:
Multi-Tenancy, RBAC, Audit-Logging. Open-Source aber Commercial-Support
verfügbar. Standard-Platform für moderne CTI-Teams die structured
Intelligence-Sharing benötigen.
skillLevel: intermediate
url: https://filigran.io/platforms/opencti
icon: 🗂️
domains:
- incident-response
phases:
- analysis
tags:
- threat-intel
- graph
platforms:
- Linux
accessType: download
license: AGPLv3
knowledgebase: false
- name: Oxygen Forensic Suite
type: software
description: >-
Die umfassende Mobile-Forensik-Suite positioniert sich als Alternative zu
westlichen Lösungen mit Fokus auf Android-Geräte und Cloud-Services.
Besonders stark: Deep-Extraction chinesischer Smartphones (Xiaomi,
Huawei, OnePlus), Telegram-Forensics inklusive Secret-Chats,
Signal-Database- Decryption bei Root-Access. Die Cloud-Explorer-Module
greifen auf 50+ Services zu: Google-Takeout, iCloud-Backups,
Microsoft-Accounts ohne Premium-Pricing. Physical-Analyzer visualisiert
Timeline und Geo-Locations. Die SQLite-Viewer parst App-Databases direkt.
Besonders innovativ: UFED-Image-Import ermöglicht
Cross-Platform-Analysis, Live-Memory-Dumps von Android-Geräten,
Malware-Detection in APKs. Der Preis (ab 8.000€) unterbietet Marktführer
deutlich. Technisch solide Lösung mit umfangreichem Cloud-Support und
regelmäßigen Updates für neue Smartphone-Modelle und Apps.
skillLevel: advanced
url: https://www.oxygenforensics.com
icon: 📱
domains:
- mobile-forensics
phases:
- examination
- analysis
tags:
- mobile
- cloud
- decryption
platforms:
- Windows
license: Proprietary
knowledgebase: false
- name: Radare2
type: software
description: >-
Das modulare Reverse-Engineering-Framework vereint Disassembler,
Debugger, Hex-Editor und Scripter in einer mächtigen CLI-Suite. Die
Unix-Philosophie "do one thing well" ermöglicht granulare Kontrolle über
jeden Analyse-Schritt. Besonders innovativ: r2pipe-Integration bindet das
Framework in Python, Node.js, Go-Scripts ein, Visual-Mode bietet
Pseudo-GUI im Terminal, Project-Files speichern komplexe Analysen
persistent. Über 20 Architekturen unterstützt von x86 bis WebAssembly.
Die aktive Community entwickelt ständig neue Features:
r2ghidra-Decompiler, r2dec für Pseudocode, cutter als GUI- Frontend.
Besonders stark bei Firmware-Analyse und CTF-Challenges. Die
steep-Learning-Curve wird durch unübertroffene Flexibilität belohnt.
Docker-Images vereinfachen Deployment. Die LGPL-Lizenz ermöglicht
kommerzielle Integration. Perfekt für Sicherheitsforscher die maximale
Kontrolle über ihre Analyse-Umgebung benötigen.
skillLevel: advanced
url: https://rada.re/n/radare2.html
icon: 🗡️
domains:
- malware-analysis
phases:
- analysis
tags:
- reverse-engineering
- scripting
platforms:
- Windows
- Linux
- macOS
accessType: download
license: LGPLv3
knowledgebase: false
- name: Rekall
type: software
description: >-
Googles Memory-Analysis-Framework erweiterte Volatility um Cloud-Scale-
Capabilities und moderne Storage-Formate. AFF4-Integration ermöglicht
Streaming-Analysis von Multi-Terabyte-Memory-Images ohne lokale Storage.
Besonders innovativ: Live-Memory-Analysis über HTTP-Endpoints,
Rekall-Agent für Remote-Collection, Timeline-Integration für
Memory-Events. Python-3-Native-Architecture mit Jupyter-Notebook-
Integration für Interactive-Analysis. Web-UI demokratisiert Memory-
Forensics für Non-CLI-Users. Machine-Learning-Plugins für Anomaly-
Detection. Enterprise-Features: Distributed-Analysis,
Multi-Investigator-Collaboration, Case-Management. Die Development wurde
2018 eingestellt zugunsten anderer Google-Projekte, aber Community-Forks
setzen Entwicklung fort. Legacy-Code läuft noch stable für viele
Use-Cases. Historical-Significance als Volatility- Herausforderer und
Cloud-Memory-Forensics-Pioneer. Lessons-Learned fließen in moderne Tools
wie Velociraptor ein.
skillLevel: advanced
url: https://github.com/google/rekall
icon: 🧬
domains:
- incident-response
phases:
- analysis
tags:
- memory
- python
platforms:
- Windows
- Linux
- macOS
accessType: download
license: Apache2.0
knowledgebase: false
- name: Suricata
type: software
description: >-
Die Open-Source-IDS/IPS-Engine der OISF revolutioniert Netzwerk-Security-
Monitoring durch Multi-Threading und moderne Protokoll-Decoder.
Lua-Scripts ermöglichen Custom-Detection-Logic jenseits einfacher
Pattern-Matching. Besonders mächtig: HTTP-Keyword-Matching in
Request-Bodies, TLS-Certificate- Fingerprinting, DNS-Tunneling-Detection,
File-Extraction aus Netzwerk- Streams. Die JSON-Ausgabe integriert nahtlos
in ELK-Stack oder Splunk. Rule-Updates von Proofpoint, Emerging-Threats
halten Signaturen aktuell. Bypass-Funktionen reduzieren False-Positives
bei bekanntem Traffic. Hardware-Acceleration durch DPDK/PF_RING steigert
Performance auf 100Gbit+. Cluster-Mode verteilt Load über mehrere
Instanzen. Die Engine bildet das Herzstück kommerzieller SIEM-Systeme von
Elastic Security bis Wazuh. Python-Output-Plugins ermöglichen
Custom-Integrations. Unverzichtbar für moderne SOCs die leistungsstarke
Threat-Detection ohne Vendor-Lock-in benötigen. Der De-facto-Standard für
Open-Source-NSM.
skillLevel: intermediate
url: https://suricata.io
icon: 🛡️
domains:
- network-forensics
phases:
- analysis
tags:
- ids
- nsm
platforms:
- Linux
- Windows
accessType: download
license: GPLv2
knowledgebase: false
- name: VirusTotal
type: software
description: >-
Googles Malware-Intelligence-Plattform aggregiert Erkennungen von 70+
Antivirus-Engines und Sandboxes für sofortige Threat-Assessment. Upload
verdächtiger Dateien, URLs oder Domains liefert umfassende Reports:
AV-Detections, Behavioral-Analysis, YARA-Matches, Community-Comments.
Besonders wertvoll: Retro-Hunt findet ähnliche Samples in der
Milliarden-Sample-Datenbank, Graph-View visualisiert Malware-Familien-
Beziehungen, Crowdsourced-IOCs von Security-Forschern weltweit. Die
Premium-API ermöglicht Bulk-Searches und private Scans. Integration in
alle Major-Security-Tools durch offene APIs. Livehunt-Service alertiert
bei neuen Samples matching custom YARA-Rules. Vorsicht: Public-Uploads
sind für alle sichtbar - keine vertraulichen Samples! Die kostenlose
Nutzung macht es zum Standard-Tool für initiale Malware-Triage.
Unverzichtbar für Threat-Intelligence und SOC-Analysten.
skillLevel: beginner
url: https://www.virustotal.com
icon: 🦠
domains:
- malware-analysis
phases:
- examination
tags:
- sandbox
- av-scan
platforms:
- Web
accessType: cloud
license: Freemium
knowledgebase: true
- name: WinHex
type: software
description: >-
X-Ways Software entwickelt seit 1995 den vielseitigsten Hex-Editor mit
forensischen Superkräften. Über die reine Hex-Bearbeitung hinaus bietet
WinHex: Disk-Cloning mit defekten Sektoren, RAM-Editor für Live-System-
Analyse, File-Recovery durch Signature-Scanning, Template-Engine für
Datenstruktur-Parsing. Die Scripting-Engine automatisiert wiederkehrende
Aufgaben. Besonders wertvoll: NTFS-Alternate-Data-Streams-Support,
MFT-Browser zeigt Dateisystem-Metadaten, die Registry-Viewer parst Hives
direkt. Integration mit forensischen Workstations über API. Der
Specialist-License (499€) bietet erweiterte Forensik-Features, während
die Standard-Version (38€) bereits beeindruckende Capabilities liefert.
Die kompakte Exe-Datei (2MB) läuft ohne Installation. Besonders
geschätzt: die präzise Byte-Level-Kontrolle die bei komplexen
Datenrettungen entscheidend ist. Der Geheimtipp vieler Forensiker für
Spezialfälle.
skillLevel: intermediate
url: https://x-ways.net/winhex
icon: 🗜️
domains:
- static-investigations
phases:
- examination
tags:
- hex-editor
- carving
platforms:
- Windows
accessType: commercial
license: Proprietary
knowledgebase: false
- name: WinPmem
type: software
description: >-
Velociraptors Windows-Memory-Imager revolutioniert RAM-Akquisition durch
flexibles Driver-System und moderne WinAPI-Integration. Drei Acquisition-
Modi: Kernel-Driver für Maximum-Access, WinAPI für Modern-Windows,
Live-Service für Remote-Collection. Die ELF64-Ausgabe enthält Metadaten
für Volatility-Auto-Detection. Besonders clever: Pagefile-Integration
erweitert verfügbaren Memory-Space, Registry-Acquisition parallel zum
RAM-Dump, Hash-Verification für forensische Integrität. Driver-Signing
für Secure-Boot-Kompatibilität. Die Portable-Version läuft ohne
Installation von USB-Stick. JSON-Metadata dokumentiert
System-Configuration zum Akquisitionszeitpunkt. Performance-Optimierung
für SSD-Storage. Integration in KAPE-Workflows für automatisierte
Collection. Der Open-Source-Ansatz ermöglicht Anpassungen für spezielle
Anforderungen. Standard-Tool für Windows-Memory-Forensics wenn
kommerzielle Alternativen nicht verfügbar oder zu teuer sind.
skillLevel: advanced
url: https://winpmem.velocidex.com
icon: 💾
domains:
- incident-response
phases:
- data-collection
tags:
- memory
- acquisition
- scenario:memory_dump
platforms:
- Windows
accessType: download
license: GPLv2
knowledgebase: false
- name: Zeek
type: software
description: >-
Das programmierbare Netzwerk-Analysis-Framework (vormals Bro) geht weit
über traditionelle Packet-Inspection hinaus - es interpretiert Protokolle
und extrahiert strukturierte Logs für forensische Analyse. Die eingebaute
Scripting-Sprache ermöglicht Custom-Protocol-Decoder und
Anomalie-Detection- Logic. Besonders wertvoll: Connection-Logs zeigen alle
Netzwerk-Sessions, HTTP/DNS/TLS-Logs extrahieren Metadaten, File-Analysis
erkennt übertragene Malware automatisch. Integration mit
Intelligence-Frameworks für IOC- Matching. Cluster-Deployment skaliert auf
Enterprise-Netzwerke. Die Script-Community teilt Detectors für moderne
Threats: Cobalt-Strike- Beacons, DNS-Tunneling, Lateral-Movement-Patterns.
Real-Time-Streaming zu SIEMs oder Offline-Analysis für Incident-Response.
Die Lernkurve ist steil aber die Analysemächtigkeit unübertroffen. Basis
für kommerzielle NSM-Lösungen und akademische Forschung. Standard in
Security-Teams die Netzwerk-Forensik ernst nehmen.
skillLevel: advanced
url: https://zeek.org
icon: 📈
domains:
- network-forensics
phases:
- analysis
tags:
- nsm
- scripting
platforms:
- Linux
- macOS
accessType: download
license: BSD
knowledgebase: false
- name: osquery
type: software
description: >-
Facebooks revolutionäre Endpoint-Telemetry-Engine transformiert
Betriebssystem- Zustand in SQL-Queries für forensische Untersuchungen. Das
"Operating System as Database"-Konzept ermöglicht Abfragen wie "SELECT *
FROM processes WHERE name LIKE '%malware%'". Über 200 Tables exposieren
System-Internals: Prozesse, Netzwerkverbindungen, Dateien, Registry,
Scheduled-Tasks. Besonders mächtig für Fleet-Wide-Hunting: eine Query
durchsucht tausende Endpoints parallel. Die Event-Framework publiziert
Changes in Real-Time. Extensions erweitern für Cloud-APIs, YARA-Scanning,
Custom-Tables. JSON-Output integriert nahtlos in SIEMs.
Distributed-Queries über TLS-verschlüsselte Channels. Der
Lightweight-Agent (< 50MB RAM) minimiert Performance-Impact.
Configuration- Management via JSON/YAML. Die Active-Community entwickelt
ständig neue Tables. Basis für zahlreiche kommerzielle
Endpoint-Security-Produkte. Unverzichtbar für moderne Threat-Hunting und
Incident-Response at Scale.
skillLevel: intermediate
url: https://osquery.io
icon: 🗄️
domains:
- incident-response
phases:
- examination
tags:
- endpoint
- sql
platforms:
- Linux
- Windows
- macOS
accessType: download
license: Apache2.0
knowledgebase: false
- name: tcpdump
type: software
description: >-
Der 1987 entwickelte Packet-Sniffer bleibt nach fast 40 Jahren das
fundamentale Tool für Netzwerk-Troubleshooting und Traffic-Analysis. Die
BPF-Filter-Syntax (Berkeley Packet Filter) ermöglicht chirurgisch präzise
Packet-Selektion: "host 192.168.1.1 and port 80". Besonders wertvoll:
Memory-effiziente Capture auch bei High-Speed-Interfaces,
ASCII/Hex-Output für Quick-Analysis, Timestamp-Precision für
Timeline-Correlation. Ring-Buffer-Mode rotiert Captures automatisch. Die
libpcap-Basis macht Captures kompatibel zu allen Major-Analysis-Tools.
Remote-Capture via SSH-Tunneling für Network-Forensics. Integration in
Scripts für automatisierte Collection. Besonders geschätzt: die
Stabilität auch bei defekten Frames, minimaler CPU-Overhead, verfügbar
auf jedem Unix-System ohne Installation. Der Syntax mag archaisch wirken,
aber die Effizienz ist unübertroffen. Basis-Skill für jeden
Netzwerk-Forensiker und oft einziges Tool in restricted Environments.
skillLevel: intermediate
url: https://www.tcpdump.org
icon: 🐙
domains:
- network-forensics
phases:
- data-collection
tags:
- pcap
- cli
platforms:
- Linux
- macOS
- BSD
accessType: download
license: BSD
knowledgebase: false
- name: x64dbg
type: software
description: >-
Der kostenlose Windows-Debugger revolutioniert Malware-Analysis durch
intuitive GUI und Plugin-Ecosystem. Ersetzt den veralteten OllyDbg mit
moderner 64-Bit-Architektur und Active-Development. Besonders stark:
Anti-Anti-Debug-Plugins umgehen Evasion-Techniken, Script-Engine
automatisiert repetitive Tasks, Memory-Map-Viewer zeigt Process-Layout
übersichtlich. Die Plugin-Community entwickelt ständig neue Extensions:
Unpacker für gepackte Malware, Crypto- Finder identifiziert
Verschlüsselungsroutinen, API-Logger trackt System-Calls.
Integrated-Disassembler mit Syntax-Highlighting. Conditional-Breakpoints
für Complex-Debugging-Scenarios. Multi-Threading-Support für moderne
Malware. Export-Funktionen für weitere Analysis. Die portable Version
läuft von USB-Stick. Besonders wertvoll: Zero-Cost für Hobbyisten und
kleine Teams bei Professional-Level-Features. Active-Community in
Discord/GitHub hilft bei Problemen. Der De-facto-Standard für
Windows-Malware- Dynamic-Analysis ohne Budget-Constraints.
skillLevel: advanced
url: https://x64dbg.com
icon: 🐛
domains:
- malware-analysis
phases:
- analysis
tags:
- debugger
- reverse-engineering
platforms:
- Windows
accessType: download
license: GPLv3
knowledgebase: false
- name: grep
type: software
description: >-
Klassisches Unix-Werkzeug zur Zeilenfilterung, entwickelt1973 von
KenThompson zur schnellen Suche nach regulären Ausdrücken in Dateien oder
Datenströmen. Der Name leitet sich vom edKommando „g/re/p“ ab und
spiegelt die Funktionsweise wider: globaler Ausdruck, Zeile drucken.
GNUgrep unterstützt drei RegexDialekte (BRE,ERE,PCRE),
FarbHighlighting und ZeroCopyBlockPufferung für Höchstgeschwindigkeit
auch in riesigen Logs. Dank seiner PipeKompatibilität ist grep
Grundbaustein unzähliger DFIREinzeiler zum Parsen von Artefakten,
NetzwerkFlows und MemoryDumps.
skillLevel: beginner
url: https://www.gnu.org/software/grep/
icon: 🔍
domains:
- incident-response
- static-investigations
phases:
- examination
- analysis
tags:
- commandline
- regular-expressions
- piping
- filtering
related_concepts:
- Regular Expressions (Regex)
platforms:
- Linux
- macOS
- Windows
accessType: download
license: "GPL\_v3"
knowledgebase: false
- name: md5sum / sha256sum
type: software
description: >-
Klassische KommandozeilenChecksummengeneratoren aus den GNUcoreutils,
die schnell kryptografische Prüfsummen (MD5 bzw. SHA256) berechnen und
verifizieren können. Ideal zur Integritätsprüfung von ForensikImages,
LogArchiven und DownloadArtefakten; auch als StreamFilter einsetzbar
(„cat image.dd | sha256sum“). Minimalistischer Funktionsumfang, aber auf
nahezu jeder Unixähnlichen Plattform vorinstalliert und damit überall
verfügbar.
skillLevel: beginner
url: https://www.gnu.org/software/coreutils/
icon: 🔢
domains:
- incident-response
- static-investigations
- malware-analysis
phases:
- examination
- analysis
tags:
- commandline
- hashing
- integrity
related_concepts:
- Hash Functions & Digital Signatures
platforms:
- Linux
- macOS
- Windows
accessType: Linux (GNU-Utils)
license: GPL v3
knowledgebase: false
- name: hashdeep
type: software
description: >-
Multithreadfähiges AuditWerkzeug, das Dateien rekursiv einliest und
gleich mehrere HashAlgorithmen (MD5, SHA1, SHA256, Tiger u.a.) erzeugt.
Unterstützt „baseline auditing“ zum automatischen Wieder­erkennen neuer
oder veränderter Dateien und kann HashListen in NISTNSRL oder
CSVFormat ausgeben perfekt für große DatenträgerBatches.
skillLevel: intermediate
url: https://github.com/jessek/hashdeep
icon: 🏷️
domains:
- static-investigations
- cloud-forensics
phases:
- examination
- analysis
tags:
- hashing
- auditing
- multihash
related_concepts: null
platforms:
- Linux
- macOS
- Windows
accessType: download
license: Public Domain
knowledgebase: false
- name: ssdeep
type: software
description: >-
Tool zur Berechnung „fuzzy hashes“ (Context Triggered Piecewise Hashing,
CTPH) für Ähnlichkeits­analysen von Dateien. Kann binäre
MalwareVarianten, Dokumentschablonen oder Logs selbst bei nur teilweisen
Überschneidungen matchen. AusgabeHashes lassen sich in Datenbanken oder
YARARegeln integrieren.
skillLevel: intermediate
url: https://ssdeep-project.github.io/ssdeep/
icon: 🔍
domains:
- malware-analysis
- incident-response
phases:
- analysis
tags:
- fuzzy-hashing
- similarity
related_concepts: null
platforms:
- Linux
- macOS
- Windows
accessType: download
license: "GPL\_v2"
knowledgebase: false
- name: hashcat
type: software
description: >-
Höchstperformanter PasswortRecoveryAccelerator, der CPUs, GPUs, FPGAs
und sogar ASICs parallel nutzen kann. Unterstützt über 300 HashFormate
(u.a. bcrypt, NTLM, Kerberos, WPAPMKID) und besitzt flexible Angriffsmodi
(Dictionary, Mask, Hybrid, RuleBased). Dank OpenCLBackend skaliert
hashcat von LaptopGPU bis zu verteilten Clustern unverzichtbar für
CredentialAudits und IncidentResponse.
skillLevel: advanced
url: https://hashcat.net/hashcat/
icon:
domains:
- incident-response
- fraud-investigation
phases:
- analysis
tags:
- password-recovery
- gpu-acceleration
- cracking
- scenario:credential_theft
related_concepts: null
platforms:
- Linux
- Windows
- macOS
accessType: download
license: MIT
knowledgebase: false
- name: Linkurious
type: software
description: >-
Intuitive GraphVisualisierungs und Analyseplattform, die
Graphdatenbanken wie Neo4j überlagert und Ermittler:innen dabei
unterstützt, versteckte Beziehungen in Betrugs, AML und
Sicherheitsfällen aufzudecken. Leistungsstarke Filter, Geo und
Zeitachsenansichten sowie Automatisierungsvorlagen erleichtern das Hunten
komplexer Netzwerke und das Erstellen aussagekräftiger Beweisgrafiken.
skillLevel: intermediate
url: https://linkurious.com/
icon: 🕸️
domains:
- fraud-investigation
- network-forensics
- incident-response
phases:
- analysis
- reporting
tags:
- graph-visualisierung
- link-analysis
- aml
- fraud
related_concepts: null
platforms:
- Web
- Linux
accessType: commercial
license: Proprietary
knowledgebase: false
- name: Android Studio
type: software
description: "Offizielle IDE von Google für die AndroidEntwicklung, basierend auf JetBrains\_IntelliJ\_IDEA. Integriert ein flexibles GradleBuildsystem, JetpackComposeDesigner, GeräteEmulator, Profiler und DebuggingTools, um mobile Apps effizient zu erstellen, zu testen und zu analysieren auch für forensische RePackaging oder MalwareAnalysen von APKs."
skillLevel: intermediate
url: https://developer.android.com/studio
icon: 📱
domains:
- mobile-forensics
- malware-analysis
phases:
- examination
- analysis
tags:
- ide
- android
- emulator
- debugging
related_concepts: null
platforms:
- Windows
- macOS
- Linux
accessType: download
license: Freeware
knowledgebase: false
- name: ADB
type: software
description: >-
Vielseitiges ClientServerKommandozeilenwerkzeug, mit dem Fachleute über
USB oder Netzwerk mit AndroidGeräten und Emulatoren kommunizieren: Pakete
installieren, Dateien extrahieren, Logcats erfassen, Ports weiterleiten
und logische wie physische Datensicherungen erstellen. Unverzichtbar für
mobile Forensik, IncidentResponse und AppEntwicklung.
skillLevel: intermediate
url: https://developer.android.com/tools/adb
icon: 🔌
domains:
- mobile-forensics
- incident-response
phases:
- data-collection
- examination
tags:
- cli
- mobile
- device-management
- extraction
related_concepts: null
platforms:
- Windows
- macOS
- Linux
accessType: download
license: Freeware
knowledgebase: false
- name: dc3dd
type: software
description: "dc3dd ist eine forensisch erweiterte Variante des klassischen UnixBefehls dd. Sie unterstützt das gleichzeitige Berechnen mehrerer HashWerte (MD5,SHA1,SHA256,SHA512) während der ImageErstellung, führt ein detailliertes Log mit Prüfsummen und Fehlerblöcken und zeigt einen Fortschrittsbalken an. Weitere Funktionen sind das Splitten großer Abbilder, das gezielte Überschreiben von Mustern zum sicheren Löschen\_und die Möglichkeit, Fehlersektoren separat auszugeben, was besonders bei defekten Medien hilfreich ist."
skillLevel: intermediate
url: https://sourceforge.net/projects/dc3dd/
icon: 💾
domains:
- incident-response
- static-investigations
phases:
- data-collection
tags:
- disk-imaging
- hashing
- wiping
- logging
- cli
related_concepts:
- Hash Functions & Digital Signatures
platforms:
- Linux
- Windows
accessType: download
license: "GPL\_v2"
knowledgebase: false
- name: ddrescue
type: software
description: >-
GNUddrescue ist ein spezialisiertes DatenrettungsTool, das beschädigte
oder fehlerhafte Blockgeräte sektorweise ausliest und zunächst alle gut
lesbaren Bereiche sichert, bevor es sich mehrfach an problematischen
Sektoren versucht. Sein MapFile protokolliert jeden Leseversuch, sodass
abgebrochene Wiederherstellungen jederzeit fortgesetzt oder optimiert
werden können, ohne bereits gerettete Sektoren erneut zu belasten. Zudem
bietet ddrescue einen FillModus, um schwierige Bereiche gezielt mit
Platzhaltern zu überschreiben nützlich für die Vorbereitung
nachträglicher DateisystemReparaturen.
skillLevel: intermediate
url: https://www.gnu.org/software/ddrescue/
icon: 🛟
domains:
- static-investigations
- fraud-investigation
phases:
- data-collection
tags:
- data-recovery
- disk-imaging
- map-file
- cli
- scenario:disk_imaging
related_concepts: null
platforms:
- Linux
- macOS
- Windows
accessType: download
license: "GPL\_v2+"
knowledgebase: false
- name: REMnux
type: software
description: "REMnux ist eine auf Ubuntu basierende LinuxDistribution, die eine kuratierte Sammlung frei verfügbarer Tools für MalwareAnalyse, Reverse\_Engineering und Speicherforensik in einer sofort einsatzbereiten VM vereint. Sie erspart Analyst:innen das mühsame Zusammenstellen einzelner Werkzeuge, da Paketverwaltung, DesktopIntegration und LabSkripte bereits vorkonfiguriert sind. Zu den integrierten Highlights zählen unter anderem Ghidra, Radare2, Volatility, stegdetect sowie diverse Netzwerk und SandboxingUtilities, die regelmäßig in koordinierten Releases aktualisiert werden."
skillLevel: intermediate
url: https://remnux.org/
icon: 🐧
domains:
- malware-analysis
- incident-response
- network-forensics
phases:
- examination
- analysis
tags:
- linux-distro
- toolkit
- reverse-engineering
- virtualization
related_concepts: null
platforms:
- Linux
accessType: download
license: mixed-oss
knowledgebase: false
- name: Android Backup Extractor
type: software
description: "Das bewährte KommandozeilenWerkzeug zum Entpacken und Packen von AndroidBackups (.ab) aus »adb backup«\_ inklusive Entschlüsselung passwort­geschützter Archive dank integrierter AESRoutinen. Ideal für die Extraktion forensisch relevanter AppDaten ohne RootZugriff und damit ein Musthave für MobileAnalysen. :contentReference[oaicite:0]{index=0}"
skillLevel: intermediate
url: https://github.com/nelenkov/android-backup-extractor
icon: 📦
domains:
- mobile-forensics
- static-investigations
phases:
- examination
- analysis
tags:
- commandline
- backup
- encryption
- artifact-extraction
- android
- scenario:file_recovery
related_concepts: null
platforms:
- Windows
- Linux
- macOS
accessType: download
license: "Apache\_2.0"
knowledgebase: false
- name: CAINE
type: software
description: "CAINE (Computer Aided INvestigative Environment) ist eine Ubuntubasierte LiveLinuxDistribution, die mehr als 150 ForensikWerkzeuge in einer schreibgeschützten Umgebung bündelt. Version 14.0 »Lightstream« (März\_2025) bringt Kernel\_6.8, UEFISupport und das UnBlockGUI zum gezielten Aufheben der WriteBlockFunktion für einzelne Devices. :contentReference[oaicite:2]{index=2}"
skillLevel: beginner
url: https://www.caine-live.net/
icon: 💿
domains:
- incident-response
- static-investigations
- network-forensics
- mobile-forensics
phases:
- data-collection
- examination
- analysis
tags:
- live-distro
- imaging
- write-blocking
- gui
- commandline
- scenario:disk_imaging
related_concepts: null
platforms:
- Linux
accessType: download
license: "LGPL\_2.1+"
knowledgebase: false
- name: Aircrack-ng
type: software
description: >-
Die legendäre WLAN-Security-Suite vereint seit 2006 alle Tools für
802.11-Penetration-Testing und Forensic-WLAN-Analysis. Airodump-ng
sammelt Packets und zeigt Hidden-Networks, Aireplay-ng injiziert
Deauth-Frames für Handshake-Capture, Aircrack-ng selbst bricht WEP-Keys
in Minuten und WPA2-PSKs mit Dictionary-Attacks. Besonders wertvoll für
Forensik: Packet-Capture-Analysis identifiziert Rogue-APs,
Client-Probing-Behavior enthüllt Bewegungsprofile, WPS-PIN-Recovery bei
Legacy-Routern. Die GPU-Acceleration (via pyrit/hashcat) beschleunigt
PSK-Cracking dramatisch. Support für moderne Standards:
WPA3-Transition-Mode, 802.11ac/ax. Scripting-Interface automatisiert
Mass-Assessments. Cross-Platform-Verfügbarkeit mit
Hardware-Treiber-Support. Forensic-Mode bewahrt Evidence-Integrity.
Integration in Penetration-Testing-Frameworks. Der Klassiker für
WLAN-Forensik wenn moderne Enterprise-WLANs kompromittiert wurden.
skillLevel: advanced
url: https://www.aircrack-ng.org/
icon: 📦
domains:
- network-forensics
- incident-response
phases:
- data-collection
- analysis
tags:
- commandline
- wireless
- packet-capture
- injection
- cracking
- scenario:credential_theft
related_concepts: null
platforms:
- Windows
- Linux
- macOS
- BSD
accessType: download
license: "GPL\_v2\_(+\_BSD/OpenSSL\_components)"
knowledgebase: false
- name: WiFi Pineapple
type: software
description: "Die Hak5Hardware liefert mit der patentierten PineAPSuite einen vollwertigen RogueAccessPoint: automatisches Recon, Handshake und EnterpriseCredentialCapture, gezielte ClientFilterung sowie Cloud\_C²Fernsteuerung\_ alles per browser­basierter GUI auf dem Mark\_VII oder EnterpriseModell. :contentReference[oaicite:6]{index=6}"
skillLevel: intermediate
url: https://shop.hak5.org/products/wifi-pineapple
icon: 📡
domains:
- network-forensics
- incident-response
phases:
- data-collection
- analysis
tags:
- rogue-ap
- wireless
- man-in-the-middle
- gui
- web-interface
- scenario:remote_access
related_concepts: null
platforms:
- Web
- Hardware
accessType: purchase
license: Proprietär
knowledgebase: false
domains:
- id: incident-response
name: Incident Response & Breach-Untersuchung
- id: static-investigations
name: Datenträgerforensik & Ermittlungen
- id: malware-analysis
name: Malware-Analyse & Reverse Engineering
- id: fraud-investigation
name: Betrugs- & Finanzkriminalität
- id: network-forensics
name: Netzwerk-Forensik & Traffic-Analyse
- id: mobile-forensics
name: Mobile Geräte & App-Forensik
- id: cloud-forensics
name: Cloud & Virtuelle Umgebungen
- id: ics-forensics
name: Industrielle Kontrollsysteme (ICS/SCADA)
phases:
- id: data-collection
name: Datensammlung
description: >-
Sicherung digitaler Beweise durch Imaging, Remote Collection und
Live-Akquisition
- id: examination
name: Auswertung
description: >-
Extraktion und initiale Analyse von Artefakten, Parsing von
Datenstrukturen
- id: analysis
name: Analyse
description: >-
Tiefgehende Untersuchung, Korrelation von Beweisen und Rekonstruktion von
Ereignissen
- id: reporting
name: Bericht & Präsentation
description: Dokumentation der Findings, Visualisierung und gerichtsfeste Aufbereitung
domain-agnostic-software:
- id: collaboration-general
name: Übergreifend & Kollaboration
description: Cross-Domain-Tools für Teamwork und Case-Management
- id: specific-os
name: Spezialisierte Betriebssysteme
description: Forensik-optimierte Linux-Distributionen und Live-Systeme
scenarios:
- id: scenario:disk_imaging
icon: 💽
friendly_name: Datenträger sichern
- id: scenario:memory_dump
icon: 🧠
friendly_name: RAM-Speicher analysieren
- id: scenario:file_recovery
icon: 🗑️
friendly_name: Gelöschte Dateien wiederherstellen
- id: scenario:browser_history
icon: 🌍
friendly_name: Browser-Verlauf untersuchen
- id: scenario:credential_theft
icon: 🔑
friendly_name: Gestohlene Zugangsdaten finden
- id: scenario:remote_access
icon: 📡
friendly_name: Fernzugriffe nachweisen
- id: scenario:persistence
icon: ♻️
friendly_name: Persistenz-Mechanismen aufdecken
- id: scenario:windows-registry
icon: 📜
friendly_name: Windows Registry analysieren
Reference in New Issue View Git Blame Copy Permalink