mstoeck3/forensic-pathways
2
0
Fork 0
Code Issues 3 Pull Requests Projects Releases Activity
forensic-pathways/src/data/tools.yaml
overcuriousity b5230aca42 msab xry
2025-07-26 23:21:29 +02:00

2156 lines
62 KiB
YAML
Raw Blame History

tools:
- name: Autopsy
type: software
description: >-
Die führende Open-Source-Alternative zu kommerziellen Forensik-Suiten mit
intuitiver grafischer Oberfläche. Besonders stark in der Timeline-Analyse,
Keyword-Suche und dem Carving gelöschter Dateien. Die modulare
Plugin-Architektur erlaubt Erweiterungen für spezielle
Untersuchungsszenarien. Zwar komplexer als kommerzielle Lösungen, aber
dafür vollständig transparent und kostenfrei.
skillLevel: intermediate
url: https://www.autopsy.com/
tags:
- gui
- filesystem
- timeline-analysis
- carving
- artifact-extraction
- keyword-search
icon: 📦
domains:
- incident-response
- static-investigations
- malware-analysis
- mobile-forensics
- cloud-forensics
phases:
- examination
- analysis
related_concepts:
- SQL Query Fundamentals
- Hash Functions & Digital Signatures
platforms:
- Windows
- Linux
accessType: Download
license: Apache 2.0
knowledgebase: false
- name: Volatility 3
icon: 📦
type: software
description: >-
Das Universalwerkzeug der Live-Forensik, unverzichtbar für die Analyse von
RAM-Dumps. Mit über 100 Plugins extrahiert es Prozesse,
Netzwerkverbindungen, Registry-Keys und versteckte Malware aus dem
Arbeitsspeicher. Die Python-basierte Architektur macht es flexibel
erweiterbar, erfordert aber solide Kommandozeilen-Kenntnisse. Version 3
bringt deutliche Performance-Verbesserungen und bessere
Formatunterstützung.
domains:
- incident-response
- static-investigations
- malware-analysis
- network-forensics
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
related_concepts:
- Hash Functions & Digital Signatures
- Regular Expressions (Regex)
domain-agnostic-software: null
skillLevel: advanced
accessType: download
url: https://www.volatilityfoundation.org/
projectUrl: ''
license: VSL
knowledgebase: false
tags:
- commandline
- memory
- malware-analysis
- artifact-extraction
- scripting
- process-analysis
- name: TheHive 5
icon: 🌐
type: software
description: >-
Moderne Security-Orchestrierungs-Plattform für die koordinierte
Incident-Response im Team. Integriert nahtlos mit MISP, Cortex und anderen
Security-Tools für automatisierte Workflows. Die kostenlose Community
Edition wurde 2021 eingestellt, was die Langzeitperspektive fraglich
macht. Für professionelle SOCs dennoch eine der besten
Kollaborations-Lösungen am Markt.
domains:
- incident-response
- static-investigations
- malware-analysis
- network-forensics
phases:
- analysis
- reporting
platforms:
- Web
related_concepts: null
domain-agnostic-software:
- collaboration-general
skillLevel: intermediate
accessType: server-based
url: https://github.com/TheHive-Project/TheHive
projectUrl: ''
license: Community Edition (Free) / Commercial
knowledgebase: false
tags:
- web-based
- case-management
- collaboration
- api
- workflow-automation
- incident-tracking
statusUrl: https://uptime.example.lab/api/badge/1/status
- name: MISP
icon: 🌐
type: software
description: >-
Das Rückgrat des modernen Threat-Intelligence-Sharings mit über 40.000
aktiven Instanzen weltweit. Ermöglicht den strukturierten Austausch von
IoCs zwischen Organisationen und automatisierte Bedrohungsanalyse. Die
föderierte Architektur und umfangreiche Taxonomie machen es zum
De-facto-Standard für CTI. Besonders wertvoll durch die Integration in
SIEMs, Firewalls und andere Sicherheitssysteme.
domains:
- incident-response
- static-investigations
- malware-analysis
- network-forensics
- cloud-forensics
phases:
- examination
- analysis
platforms:
- Web
skillLevel: intermediate
accessType: server-based
url: https://misp-project.org/
projectUrl: https://misp.cc24.dev
license: AGPL-3.0
knowledgebase: true
tags:
- web-based
- threat-intelligence
- api
- correlation
- ioc-sharing
- automation
statusUrl: https://status.mikoshi.de/api/badge/34/status
- name: Timesketch
icon: 📦
type: software
description: >-
Google's Open-Source-Lösung für kollaborative Timeline-Analyse großer
Datensätze. Visualisiert und korreliert Ereignisse aus verschiedenen
Quellen in einer interaktiven Zeitachse. Die Plaso-Integration ermöglicht
automatisches Parsing hunderter Log-Formate. Ideal für komplexe Fälle mit
mehreren Analysten und Millionen von Zeitstempeln.
domains:
- incident-response
- static-investigations
- network-forensics
- cloud-forensics
phases:
- analysis
- reporting
platforms:
- Web
related_concepts:
- Regular Expressions (Regex)
- SQL Query Fundamentals
domain-agnostic-software: null
skillLevel: intermediate
accessType: server-based
url: https://timesketch.org/
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- web-based
- timeline-analysis
- visualization
- collaboration
- logs
- correlation
statusUrl: https://uptime.example.lab/api/badge/3/status
- name: Wireshark
icon: 📦
type: software
description: >-
Der unangefochtene König der Netzwerk-Protokoll-Analyse mit Support für
über 3000 Protokolle. Unverzichtbar für die Untersuchung von
Netzwerk-Anomalien, Malware-Kommunikation und Datenexfiltration. Die
mächtigen Display-Filter und Follow-Stream-Funktionen machen komplexe
Analysen zugänglich. Hauptnachteil: Benötigt vorhandene PCAP-Dateien,
eignet sich weniger für historische Analysen.
domains:
- incident-response
- malware-analysis
- network-forensics
- cloud-forensics
- ics-forensics
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
related_concepts: null
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://www.wireshark.org/
projectUrl: ''
license: GPL-2.0
knowledgebase: false
tags:
- gui
- network-traffic
- packet-capture
- protocol-analysis
- visualization
- filtering
- name: Magnet AXIOM
icon: 📦
type: software
description: >-
Die Rolls-Royce unter den kommerziellen Forensik-Suiten mit
beeindruckender Automatisierung. Glänzt besonders bei Cloud-Forensik mit
nativer Unterstützung für Google, Apple und Microsoft-Dienste. Die
KI-gestützte Bilderkennung und Connection-Analyse spart Ermittlern
wertvolle Zeit. Der Preis von mehreren zehntausend Euro macht es primär
für Behörden und Großunternehmen interessant.
domains:
- incident-response
- static-investigations
- mobile-forensics
- cloud-forensics
phases:
- data-collection
- examination
- analysis
- reporting
platforms:
- Windows
related_concepts: null
domain-agnostic-software: null
skillLevel: beginner
accessType: commercial
url: https://www.magnetforensics.com/products/magnet-axiom/
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- gui
- cloud-data
- mobile-data
- artifact-extraction
- automated-analysis
- reporting
- name: Cellebrite UFED
icon: 📦
type: software
description: >-
Der Goldstandard der mobilen Forensik mit legendären
Entsperrungsfähigkeiten für aktuelle Smartphones. Nutzt Zero-Day-Exploits
und Hardware-Schwachstellen für den Zugriff auf verschlüsselte Geräte. Die
Physical Analyzer Software macht die extrahierten Daten durch intelligente
Visualisierung verständlich. Mit Preisen im sechsstelligen Bereich und
ethischen Bedenken bezüglich der Käuferauswahl nicht unumstritten.
domains:
- static-investigations
- mobile-forensics
phases:
- data-collection
- examination
- analysis
platforms:
- Windows
related_concepts: null
domain-agnostic-software: null
skillLevel: beginner
accessType: commercial
url: https://cellebrite.com/en/ufed/
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- gui
- mobile-data
- decryption
- artifact-extraction
- hardware-interface
- automated-analysis
- name: Cuckoo Sandbox 3
icon: 🌐
type: software
description: >-
Die führende Open-Source-Sandbox für automatisierte Malware-Analyse in
isolierten Umgebungen. Zeichnet Systemaufrufe, Netzwerkverkehr und
Verhaltensänderungen während der Malware-Ausführung auf. Version 3 vom
CERT-EE bringt moderne Python-3-Unterstützung und verbesserte
Erkennungsumgehung. Die Einrichtung erfordert fundierte
Virtualisierungskenntnisse, belohnt aber mit detaillierten Reports.
domains:
- incident-response
- malware-analysis
phases:
- examination
- analysis
platforms:
- Linux
- Web
related_concepts: null
domain-agnostic-software: null
skillLevel: advanced
accessType: server-based
url: https://github.com/cert-ee/cuckoo3
projectUrl: ''
license: GPL-3.0
knowledgebase: false
tags:
- web-based
- malware-analysis
- behavioral-analysis
- api
- virtualization
- automated-analysis
- name: Ghidra
icon: 📦
type: software
description: >-
NSAs Geschenk an die Reverse-Engineering-Community als mächtige
Alternative zu IDA Pro. Der Decompiler verwandelt Maschinencode zurück in
lesbaren Pseudocode für tiefgehende Analyse. Unterstützt dutzende
Prozessorarchitekturen von x86 bis zu obskuren Embedded-Systemen. Die
steile Lernkurve wird durch die aktive Community und exzellente
Dokumentation gemildert.
domains:
- malware-analysis
- ics-forensics
phases:
- analysis
platforms:
- Windows
- Linux
- macOS
related_concepts: null
domain-agnostic-software: null
skillLevel: expert
accessType: download
url: https://github.com/NationalSecurityAgency/ghidra
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- gui
- reverse-engineering
- binary
- decompilation
- scripting
- static-analysis
- name: Plaso (log2timeline)
icon: 📦
type: software
description: >-
Der industrielle Staubsauger für Zeitstempel - extrahiert aus hunderten
Quellen eine Super-Timeline. Parst Windows-Event-Logs, Browser-Historie,
Registry und vieles mehr in ein einheitliches Format. Die Integration mit
Timesketch ermöglicht die Visualisierung von Millionen Events. Performance
kann bei großen Datenmengen leiden, aber die Vollständigkeit ist
unübertroffen.
domains:
- incident-response
- static-investigations
- network-forensics
- cloud-forensics
phases:
- data-collection
- examination
platforms:
- Windows
- Linux
- macOS
related_concepts: null
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://plaso.readthedocs.io/
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- commandline
- logs
- timeline-analysis
- parsing
- artifact-extraction
- scripting
- name: CyberChef
icon: 🌐
type: software
description: >-
Das digitale Schweizer Taschenmesser für Daten-Manipulation mit über 300
Operations. Von Base64-Dekodierung über Verschlüsselung bis zur
Malware-Deobfuskation - alles im Browser. Die visuelle "Rezept"-Metapher
macht komplexe Transformationsketten intuitiv verständlich. Unverzichtbar
für CTF-Challenges und tägliche Forensik-Aufgaben gleichermaßen.
domains:
- incident-response
- static-investigations
- malware-analysis
- network-forensics
phases:
- examination
- analysis
platforms:
- Web
related_concepts: null
domain-agnostic-software: null
skillLevel: beginner
accessType: server-based
url: https://gchq.github.io/CyberChef/
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- web-based
- decoding
- encryption
- data-transformation
- visualization
- parsing
- name: Velociraptor
icon: 🌐
type: software
description: >-
Die nächste Evolution der Endpoint-Forensik mit skalierbarer
Remote-Collection-Architektur. Die mächtige VQL-Abfragesprache ermöglicht
chirurgisch präzise Artefakt-Sammlung ohne Full-Disk-Images.
Hunt-Funktionen durchsuchen tausende Endpoints gleichzeitig nach
Kompromittierungs-Indikatoren. Die Lernkurve ist steil, aber die
Effizienzgewinne bei großen Infrastrukturen sind enorm.
domains:
- incident-response
- static-investigations
- malware-analysis
- fraud-investigation
- network-forensics
- cloud-forensics
phases:
- data-collection
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
- Web
related_concepts: null
domain-agnostic-software: null
skillLevel: advanced
accessType: server-based
url: https://www.velociraptor.app/
projectUrl: https://raptor.cc24.dev
license: Apache 2.0
knowledgebase: true
tags:
- web-based
- endpoint-monitoring
- artifact-extraction
- scripting
- live-forensics
- hunting
statusUrl: https://status.mikoshi.de/api/badge/33/status
- name: GRR Rapid Response
icon: 🌐
type: software
description: >-
Googles Antwort auf Enterprise-Scale-Forensik für die Untersuchung von
Flotten mit tausenden Clients. Sammelt gezielt Artefakte und führt
Memory-Analysen remote durch, ohne Systeme offline zu nehmen. Weniger
Features als Velociraptor, dafür stabiler und einfacher in der Handhabung.
Die Python-API ermöglicht die Automatisierung wiederkehrender
Untersuchungen.
domains:
- incident-response
- static-investigations
- malware-analysis
- fraud-investigation
phases:
- data-collection
- examination
platforms:
- Windows
- Linux
- macOS
- Web
related_concepts: null
domain-agnostic-software: null
skillLevel: advanced
accessType: server-based
url: https://github.com/google/grr
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- web-based
- endpoint-monitoring
- artifact-extraction
- api
- live-forensics
- fleet-management
- name: Arkime
icon: 📦
type: software
description: >-
Das Heavy-Metal-Tool für Full-Packet-Capture mit der Fähigkeit, Petabytes
an Netzwerkverkehr zu speichern. Indiziert in Echtzeit Metadaten für
blitzschnelle Suchen über Monate historischer Daten. Die Integration mit
Elasticsearch ermöglicht komplexe Queries über Sessions, IPs und Payloads.
Ressourcenhungrig aber unverzichtbar für ernsthafte Network Security
Monitoring Operations.
domains:
- incident-response
- static-investigations
- network-forensics
- cloud-forensics
phases:
- data-collection
- examination
- analysis
platforms:
- Linux
related_concepts: null
domain-agnostic-software: null
skillLevel: expert
accessType: server-based
url: https://arkime.com/
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- web-based
- network-traffic
- packet-capture
- indexing
- api
- big-data
- name: NetworkMiner
icon: 📦
type: software
description: >-
Der benutzerfreundliche kleine Bruder von Wireshark mit Fokus auf Forensik
statt Live-Analyse. Extrahiert automatisch übertragene Dateien, Bilder und
Credentials aus PCAP-Dateien. Die intuitive GUI zeigt Hosts, Sessions und
DNS-Queries übersichtlich ohne komplexe Filter. Perfekt für Einsteiger und
schnelle Übersichten, an Grenzen bei verschlüsseltem Traffic.
domains:
- incident-response
- static-investigations
- malware-analysis
- network-forensics
phases:
- examination
- analysis
platforms:
- Windows
- Linux
related_concepts: null
domain-agnostic-software: null
skillLevel: beginner
accessType: download
url: https://www.netresec.com/?page=NetworkMiner
projectUrl: ''
license: GPL-2.0 / Commercial
knowledgebase: false
tags:
- gui
- network-traffic
- file-extraction
- visualization
- parsing
- session-reconstruction
- name: ExifTool
icon: 📦
type: software
description: >-
Der Metadaten-Maestro, der aus über 1000 Dateiformaten verborgene
Informationen extrahiert. Findet GPS-Koordinaten in Fotos, Autoren in
Dokumenten und Bearbeitungshistorien in PDFs. Die Kommandozeile mag
abschrecken, aber die Mächtigkeit ist unübertroffen. Ein Must-Have für
jede Forensik-Toolbox, oft der erste Schritt bei
Dokumenten-Untersuchungen.
domains:
- incident-response
- static-investigations
- fraud-investigation
- mobile-forensics
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
related_concepts:
- Regular Expressions (Regex)
domain-agnostic-software: null
skillLevel: novice
accessType: download
url: https://exiftool.org/
projectUrl: ''
license: Perl Artistic License
knowledgebase: false
tags:
- commandline
- metadata
- parsing
- artifact-extraction
- scripting
- batch-processing
- name: Chainalysis
icon: 📦
type: software
description: >-
Der Platzhirsch der Blockchain-Forensik mit Zugriff auf die größte
Krypto-Intelligence-Datenbank weltweit. Clustering-Algorithmen
identifizieren Exchanges, Mixer und Darknet-Märkte mit beeindruckender
Genauigkeit. Die Sanctions Screening und Compliance-Features machen es zur
ersten Wahl für Behörden. Lizenzkosten im sechsstelligen Bereich
limitieren den Zugang auf Großorganisationen.
domains:
- static-investigations
- fraud-investigation
phases:
- analysis
- reporting
platforms:
- Web
related_concepts: null
domain-agnostic-software: null
skillLevel: intermediate
accessType: commercial
url: https://www.chainalysis.com/
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- web-based
- blockchain
- visualization
- correlation
- api
- reporting
- name: Neo4j
icon: 🌐
type: software
description: >-
Die führende Graph-Datenbank verwandelt komplexe Beziehungsgeflechte in
verständliche Visualisierungen. Mit Cypher-Queries lassen sich
Verbindungen zwischen Personen, Transaktionen und Events aufdecken.
Besonders wertvoll für Social-Media-Analysen, Geldflüsse und
Organisations-Strukturen. Die Community Edition limitiert auf einen
Benutzer - für Teams ist die kommerzielle Version nötig.
domains:
- static-investigations
- malware-analysis
- fraud-investigation
- network-forensics
- cloud-forensics
phases:
- analysis
- reporting
platforms:
- Windows
- Linux
- macOS
- Web
related_concepts:
- SQL Query Fundamentals
domain-agnostic-software: null
skillLevel: intermediate
accessType: server-based
url: https://neo4j.com/
projectUrl: https://graph.cc24.dev
license: GPL-3.0 / Commercial
knowledgebase: false
tags:
- web-based
- visualization
- graph-analysis
- api
- correlation
- query-language
statusUrl: https://status.mikoshi.de/api/badge/32/status
- name: QGIS
icon: 📦
type: software
description: >-
Das Open-Source-GIS-Kraftpaket für die Visualisierung von Geodaten in
forensischen Untersuchungen. Erstellt aus GPS-Logs von Smartphones
beeindruckende Bewegungsprofile und Heatmaps. Die Python-Integration
ermöglicht automatisierte Analysen großer Datensätze. Unverzichtbar wenn
Fahrzeuge, Drohnen oder mobile Geräte mit Standortdaten involviert sind.
domains:
- static-investigations
- fraud-investigation
- mobile-forensics
phases:
- analysis
- reporting
platforms:
- Windows
- Linux
- macOS
related_concepts: null
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://qgis.org/
projectUrl: ''
license: GPL-2.0
knowledgebase: false
tags:
- gui
- geospatial
- visualization
- mapping
- scripting
- reporting
- name: Nextcloud
icon: 🌐
type: software
description: >-
Die Open-Source-Cloud-Suite als sichere Kollaborations-Zentrale für
Forensik-Teams. Bietet verschlüsselte Dateifreigabe, Office-Integration
und Videokonferenzen DSGVO-konform. Der eingebaute SSO-Provider
vereinfacht das Identity Management für andere Forensik-Tools. Skaliert
vom Raspberry Pi für kleine Teams bis zur High-Availability-Installation.
domains:
- incident-response
- static-investigations
- malware-analysis
- fraud-investigation
- network-forensics
- mobile-forensics
- cloud-forensics
- ics-forensics
phases:
- reporting
platforms:
- Web
related_concepts: null
domain-agnostic-software:
- collaboration-general
skillLevel: novice
accessType: server-based
url: https://nextcloud.com/
projectUrl: https://cloud.cc24.dev
license: AGPL-3.0
knowledgebase: true
tags:
- web-based
- collaboration
- file-sharing
- api
- encryption
- document-management
statusUrl: https://status.mikoshi.de/api/badge/11/status
- name: Gitea
icon: 🌐
type: software
description: >-
Das leichtgewichtige Git-Repository für die Versionierung von
Forensik-Skripten und Dokumentation. Perfekt für die Verwaltung von
YARA-Rules, Volatility-Plugins und Analysetools im Team. Die eingebaute
CI/CD-Pipeline automatisiert Tool-Deployments und Qualitätschecks.
Ressourcenschonend genug für den Betrieb auf einem NAS oder Mini-Server.
domains:
- incident-response
- malware-analysis
phases:
- reporting
platforms:
- Web
related_concepts: null
domain-agnostic-software:
- collaboration-general
skillLevel: beginner
accessType: server-based
url: https://gitea.io/
projectUrl: https://git.cc24.dev
license: MIT
knowledgebase: null
tags:
- web-based
- version-control
- collaboration
- api
- documentation
- ci-cd
statusUrl: https://status.mikoshi.de/api/badge/18/status
- name: Binwalk
icon: 📦
type: software
description: >-
Der Firmware-Flüsterer, der aus IoT-Geräten und Routern ihre Geheimnisse
extrahiert. Erkennt eingebettete Dateisysteme, komprimierte Archive und
versteckte Partitionen automatisch. Besonders wertvoll für die Analyse von
Embedded-Malware und Backdoors in Smart Devices. Die Magie liegt in den
Signaturen - mit eigenen Rules erweiterbar für spezielle Formate.
domains:
- malware-analysis
- ics-forensics
phases:
- examination
- analysis
platforms:
- Linux
- macOS
related_concepts: null
domain-agnostic-software: null
skillLevel: advanced
accessType: download
url: https://github.com/ReFirmLabs/binwalk
projectUrl: ''
license: MIT
knowledgebase: false
tags:
- commandline
- firmware
- carving
- binary
- extraction
- scripting
- name: LibreOffice
icon: 📦
type: software
description: >-
Die freie Office-Suite, die mehr kann als nur Berichte schreiben. Calc
eignet sich hervorragend für die Analyse von CSV-Exporten und Log-Dateien.
Die Makro-Funktionen ermöglichen die Automatisierung wiederkehrender
Auswertungen. Als Standardformat für Abschlussberichte unverzichtbar und
überall einsetzbar.
domains:
- incident-response
- static-investigations
- malware-analysis
- fraud-investigation
- network-forensics
- mobile-forensics
- cloud-forensics
- ics-forensics
phases:
- examination
- analysis
- reporting
platforms:
- Windows
- Linux
- macOS
related_concepts: null
domain-agnostic-software:
- collaboration-general
skillLevel: novice
accessType: download
url: https://www.libreoffice.org/
projectUrl: ''
license: Mozilla Public License Version 2.0
knowledgebase: false
tags:
- gui
- document-creation
- spreadsheet-analysis
- reporting
- data-processing
- scripting
- name: Android Logical Imaging
icon: 📋
type: method
description: >-
Es gibt immer wieder auch Fälle, wo man nicht allermodernste Mobilgeräte
knacken muss - der Großvater, der im Nachlass ein altes Samsung mit
wichtigen Daten hinterlassen hat. Es muss in diesn Fällen nicht der teure
Hersteller aus Israel sein. Die Androis-ADB-Shell bietet genug
Möglichkeiten, auch ohne viel Geld auszugeben an das logische Dateisystem
zu gelangen. Die Erfolgsaussichten sinken jedoch massiv bei neuren
Geräten.
domains:
- mobile-forensics
phases:
- data-collection
platforms: []
skillLevel: advanced
accessType: null
url: https://claude.ai/public/artifacts/66785e1f-62bb-4eb9-9269-b08648161742
projectUrl: null
license: null
knowledgebase: true
related_concepts: null
tags:
- imaging
- filesystem
- hardware-interface
- name: Microsoft Office 365
type: software
description: >-
Der Industriestandard für professionelle Dokumentation mit nahtloser
Cloud-Integration. Excel's Power Query verwandelt komplexe
Forensik-Datensätze in aussagekräftige Visualisierungen. Die
Kollaborations-Features ermöglichen Echtzeit-Zusammenarbeit an Berichten.
Datenschutzbedenken bei Cloud-Speicherung sensibler Forensik-Daten sollten
bedacht werden.
domains:
- incident-response
- static-investigations
- malware-analysis
- fraud-investigation
- network-forensics
- mobile-forensics
- cloud-forensics
- ics-forensics
phases:
- examination
- analysis
- reporting
skillLevel: novice
url: https://www.office.com/
tags:
- gui
- document-creation
- spreadsheet-analysis
- collaboration
- cloud-based
- reporting
icon: ☁️
platforms:
- Windows
- macOS
- Web
accessType: commercial
license: Proprietary
knowledgebase: false
related_concepts: null
domain-agnostic-software:
- collaboration-general
- name: GraphSense
icon: 🌐
type: software
description: >-
Die europäische Alternative zu Chainalysis mit Open-Source-Kern und Fokus
auf Privatsphäre. Clustering-Qualität noch nicht auf Chainalysis-Niveau,
dafür vollständige Kontrolle über die Daten. Die
Cassandra-Backend-Anforderungen machen Self-Hosting zur Herausforderung
für kleine Teams. Ideal für Organisationen, die Blockchain-Analysen ohne
US-Cloud-Abhängigkeit benötigen.
domains:
- static-investigations
- fraud-investigation
phases:
- analysis
- reporting
platforms:
- Web
related_concepts: null
domain-agnostic-software: null
skillLevel: intermediate
accessType: server-based
url: https://graphsense.org/
projectUrl: ''
license: MIT
knowledgebase: false
tags:
- web-based
- blockchain
- visualization
- graph-analysis
- api
- big-data
- name: FTK Imager
icon: 📦
type: software
description: >-
Der Oldtimer unter den Imaging-Tools, aber immer noch zuverlässig wie ein
Uhrwerk. Erstellt bit-genaue Kopien von Festplatten mit integrierter
Hash-Verifizierung für die Beweiskette. Die kostenlose Version reicht für
die meisten Aufgaben, unterstützt alle gängigen Image-Formate. Etwas
angestaubt in der Oberfläche, aber bewährt in tausenden Gerichtsverfahren.
Freeware, aber nicht open source.
domains:
- static-investigations
- incident-response
phases:
- data-collection
platforms:
- Windows
related_concepts:
- Hash Functions & Digital Signatures
domain-agnostic-software: null
skillLevel: beginner
accessType: download
url: https://www.exterro.com/digital-forensics-software/ftk-imager
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- gui
- imaging
- filesystem
- hashing
- verification
- write-blocking
- name: Guymager
icon: 📦
type: software
description: >-
Das schlanke Linux-Imaging-Tool mit Fokus auf Performance und
Zuverlässigkeit. Multi-threaded Design nutzt moderne CPUs optimal für
schnellstmögliche Akquisition. Unterstützt RAW, EWF und AFF Formate mit
simultaner Hash-Berechnung. Die spartanische Oberfläche täuscht über die
solide Technik unter der Haube hinweg.
domains:
- incident-response
- static-investigations
phases:
- data-collection
platforms:
- Linux
related_concepts:
- Hash Functions & Digital Signatures
domain-agnostic-software: null
skillLevel: novice
accessType: download
url: https://guymager.sourceforge.io/
projectUrl: ''
license: GPL-2.0
knowledgebase: false
tags:
- gui
- imaging
- filesystem
- hashing
- multi-threading
- write-blocking
- name: Fuji
icon: 📦
type: software
description: >-
Der Geheimtipp für macOS-Forensiker - Live-Imaging ohne
Kernel-Modifikationen. Umgeht geschickt Apples Sicherheitsmechanismen für
forensisch saubere Speicherabbilder. Besonders wertvoll da kommerzielle
Mac-Forensik-Tools rar und teuer sind. Die aktive Community sorgt für
Updates bei neuen macOS-Versionen.
domains:
- incident-response
- static-investigations
phases:
- data-collection
platforms:
- macOS
related_concepts: null
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/Lazza/Fuji
projectUrl: ''
license: GPL-3.0
knowledgebase: false
tags:
- commandline
- imaging
- memory
- live-forensics
- filesystem
- macos-specific
- name: ALEAPP
icon: 📦
type: software
description: >-
Android-Forensik leicht gemacht - parst dutzende Apps und System-Artefakte
automatisch. Von WhatsApp-Chats über Standortdaten bis zu gelöschten
SQLite-Einträgen wird alles extrahiert. Die HTML-Reports sind gerichtsfest
aufbereitet mit Timeline und Kommunikationsanalyse. Teil der beliebten
LEAPP-Familie, ständig aktualisiert für neue Android-Versionen.
domains:
- incident-response
- static-investigations
- mobile-forensics
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
related_concepts:
- SQL Query Fundamentals
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/abrignoni/ALEAPP
projectUrl: ''
license: MIT
knowledgebase: false
tags:
- gui
- mobile-data
- artifact-extraction
- parsing
- reporting
- timeline-analysis
- name: iLEAPP
icon: 📦
type: software
description: >-
Das iOS-Pendant zu ALEAPP mit Fokus auf Apple's geschlossenem Ökosystem.
Extrahiert versteckte Schätze aus iPhone-Backups inklusive gelöschter
Daten. Besonders stark bei der Analyse von iMessage, FaceTime und
Apple-eigenen Apps. Die regelmäßigen Updates halten Schritt mit
iOS-Änderungen und neuen Artefakten.
domains:
- incident-response
- static-investigations
- mobile-forensics
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
related_concepts: null
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/abrignoni/iLEAPP
projectUrl: ''
license: MIT
knowledgebase: false
tags:
- gui
- mobile-data
- artifact-extraction
- parsing
- reporting
- ios-specific
- name: VLEAPP
icon: 📦
type: software
description: >-
Die Zukunft der Fahrzeug-Forensik für vernetzte Autos und
Infotainment-Systeme. Parst CAN-Bus-Daten, GPS-Tracks und
Smartphone-Verbindungen aus modernen Fahrzeugen. Ein Nischen-Tool, aber
unverzichtbar bei Unfallrekonstruktionen und Kriminalfällen. Die
Unterstützung für verschiedene Hersteller wächst mit der Community.
domains:
- static-investigations
- ics-forensics
phases:
- examination
- analysis
platforms:
- Windows
- Linux
- macOS
related_concepts: null
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/abrignoni/VLEAPP
projectUrl: ''
license: MIT
knowledgebase: false
tags:
- gui
- vehicle-data
- artifact-extraction
- parsing
- gps-analysis
- can-bus
- name: Kali Linux
type: software
description: >-
Die wohlbekannte Hacker-Distribution mit über 600 vorinstallierten
Security-Tools. Von Forensik über Penetration Testing bis Reverse
Engineering ist alles an Bord. Die Live-Boot-Option ermöglicht forensische
Untersuchungen ohne Installation. Regelmäßige Updates halten die
Tool-Sammlung auf dem neuesten Stand.
domains:
- incident-response
- static-investigations
- malware-analysis
- fraud-investigation
- network-forensics
- mobile-forensics
- cloud-forensics
- ics-forensics
skillLevel: intermediate
url: https://kali.org/
tags:
- live-boot
- tool-collection
- penetration-testing
- forensics-suite
- virtualization
- arm-support
icon: 🖥
platforms:
- OS
accessType: download
license: GPL-3.0
knowledgebase: true
related_concepts: null
domain-agnostic-software:
- specific-os
- name: dd
icon: 📦
type: software
description: >-
Das Unix-Urgestein für bit-genaues Kopieren von Datenträgern seit 1974.
Minimalistisch aber mächtig - der Goldstandard für forensische Disk-Images
unter Linux. Mit den richtigen Parametern (conv=noerror,sync) übersteht es
auch defekte Sektoren. Keine Schnörkel, keine GUI, nur pure
Zuverlässigkeit für Forensik-Puristen.
domains:
- incident-response
- static-investigations
phases:
- data-collection
platforms:
- Linux
- macOS
related_concepts: null
domain-agnostic-software: null
skillLevel: intermediate
accessType: built-in
url: https://www.gnu.org/software/coreutils/dd
projectUrl: ''
license: GPL-3.0
knowledgebase: false
tags:
- commandline
- imaging
- raw-copy
- block-device
- unix-tool
- scripting
- name: dcfldd
icon: 📦
type: software
description: >-
Die forensische Weiterentwicklung von dd mit eingebauter
Hash-Verifizierung. Zeigt Fortschrittsbalken, splittet große Images und
berechnet mehrere Hashes gleichzeitig. Von der DoD Computer Forensics Lab
entwickelt für professionelle Anforderungen. Die Status-Ausgabe während
langer Imaging-Vorgänge rettet Nerven und Zeit.
domains:
- incident-response
- static-investigations
phases:
- data-collection
platforms:
- Linux
related_concepts:
- Hash Functions & Digital Signatures
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/resurrecting-open-source-projects/dcfldd
projectUrl: ''
license: GPL-2.0
knowledgebase: false
tags:
- commandline
- imaging
- hashing
- verification
- progress-monitoring
- split-output
- name: ewfacquire
icon: 📦
type: software
description: >-
Das Kommandozeilen-Tool für Expert Witness Format (E01) Images mit
Kompression. Teil der libewf-Suite, erstellt gerichtsfeste Images mit
Metadaten und Chain of Custody. Besonders wertvoll für große Datenträger
dank effizienter Kompression. Die E01-Kompatibilität ermöglicht nahtlosen
Austausch mit kommerziellen Tools.
domains:
- incident-response
- static-investigations
phases:
- data-collection
platforms:
- Linux
- macOS
related_concepts: null
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/libyal/libewf
projectUrl: ''
license: LGPL-3.0
knowledgebase: false
tags:
- commandline
- imaging
- compression
- ewf-format
- metadata
- verification
- name: PhotoRec
icon: 📦
type: software
description: >-
Der Datenretter in der Not - findet gelöschte Dateien ohne
Dateisystem-Strukturen. Signature-basiertes Carving für über 300
Dateiformate von Fotos bis Office-Dokumenten. Arbeitet read-only und ist
damit forensisch sauber für die Beweissicherung. Die Schwestersoftware
TestDisk repariert zusätzlich beschädigte Partitionen.
domains:
- incident-response
- static-investigations
- fraud-investigation
phases:
- examination
platforms:
- Windows
- Linux
- macOS
related_concepts: null
domain-agnostic-software: null
skillLevel: beginner
accessType: download
url: https://www.cgsecurity.org/wiki/PhotoRec
projectUrl: ''
license: GPL-2.0
knowledgebase: false
tags:
- commandline
- carving
- file-recovery
- deleted-data
- signature-based
- cross-platform
- name: Kismet
icon: 📦
type: software
description: >-
Der WLAN-Schnüffler der Extraklasse für Wireless-Forensik und
Sicherheitsaudits. Passives Monitoring deckt versteckte Netzwerke, Rogue
Access Points und Client-Geräte auf. Die GPS-Integration ermöglicht
War-Driving mit präziser Standort-Zuordnung. Unterstützt moderne Standards
wie 802.11ac und Bluetooth LE Sniffing.
domains:
- incident-response
- network-forensics
phases:
- data-collection
- examination
platforms:
- Linux
related_concepts: null
domain-agnostic-software: null
skillLevel: advanced
accessType: download
url: https://www.kismetwireless.net/
projectUrl: ''
license: GPL-2.0
knowledgebase: false
tags:
- commandline
- wireless-monitoring
- packet-capture
- gps-integration
- passive-scanning
- api
- name: OSFMount
icon: 📦
type: software
description: >-
Mountet Disk-Images als virtuelle Laufwerke unter Windows für komfortable
Analyse. Unterstützt alle gängigen Formate von RAW über E01 bis zu
VM-Images. Der schreibgeschützte Modus garantiert forensische Integrität
der Beweise. Besonders praktisch für schnelle Triage ohne vollständige
Forensik-Suite. Freeware, aber nicht open source.
domains:
- incident-response
- static-investigations
phases:
- examination
platforms:
- Windows
related_concepts: null
domain-agnostic-software: null
skillLevel: beginner
accessType: download
url: https://www.osforensics.com/tools/mount-disk-images.html
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- gui
- image-mounting
- filesystem
- read-only
- virtual-drive
- format-support
- freeware
- name: Thumbcache Viewer
icon: 📦
type: software
description: >-
Spezialist für Windows Thumbnail-Caches mit Zugriff auf gelöschte
Bildvorschauen. Extrahiert Thumbnails aus thumbcache_*.db Dateien
inklusive EXIF-Zeitstempel. Unbezahlbar für den Nachweis, dass Bilder auf
einem System vorhanden waren. Die einfache GUI macht es auch für weniger
technische Ermittler zugänglich.
domains:
- static-investigations
- fraud-investigation
phases:
- examination
- analysis
platforms:
- Windows
related_concepts: null
domain-agnostic-software: null
skillLevel: beginner
accessType: download
url: https://thumbcacheviewer.github.io/
projectUrl: ''
license: GPL-3.0
knowledgebase: false
tags:
- gui
- windows-artifacts
- image-analysis
- cache-analysis
- thumbnail-extraction
- deleted-data
- name: RegRipper
icon: 📦
type: software
description: >-
Der Windows-Registry-Experte mit hunderten Plugins für automatisierte
Analyse. Extrahiert USB-Historie, installierte Software,
Benutzeraktivitäten und Malware-Spuren. Die Plugin-Architektur erlaubt
maßgeschneiderte Untersuchungen für spezielle Fälle. Spart Stunden
manueller Registry-Analyse und findet oft übersehene Artefakte.
domains:
- incident-response
- static-investigations
- malware-analysis
phases:
- examination
- analysis
platforms:
- Windows
- Linux
related_concepts: null
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/keydet89/RegRipper3.0
projectUrl: ''
license: MIT
knowledgebase: false
tags:
- commandline
- registry
- windows-artifacts
- parsing
- plugin-system
- artifact-extraction
- name: YARA
type: software
description: >-
Die Pattern-Matching-Engine für Malware-Jäger und Threat Hunter.
Regelbasierte Suche nach Strings, Byte-Sequenzen und regulären Ausdrücken.
De-facto Standard für Malware-Signaturen mit riesiger
Community-Rule-Sammlung. Integration in viele Forensik-Tools macht es zum
Marktstandard.
domains:
- incident-response
- malware-analysis
phases:
- examination
- analysis
skillLevel: intermediate
url: https://virustotal.github.io/yara/
tags:
- commandline
- pattern-matching
- malware-detection
- rule-engine
- library
- signature-based
icon: 🛠
platforms:
- Windows
- Linux
- macOS
related_concepts:
- Regular Expressions (Regex)
- Hash Functions & Digital Signatures
accessType: download
license: BSD-3-Clause
knowledgebase: false
- name: Strings
icon: 📦
type: software
description: >-
Das simple Tool mit großer Wirkung - extrahiert lesbare Texte aus
Binärdateien. Findet URLs, Passwörter, Pfade und andere
ASCII/Unicode-Strings in Malware. Die Ausgabe gibt oft erste Hinweise auf
Funktionalität und Herkunft. In Kombination mit grep ein mächtiges
Werkzeug für schnelle Triage.
domains:
- incident-response
- malware-analysis
phases:
- examination
platforms:
- Windows
- Linux
- macOS
related_concepts:
- Regular Expressions (Regex)
domain-agnostic-software: null
skillLevel: novice
accessType: built-in
url: https://docs.microsoft.com/en-us/sysinternals/downloads/strings
projectUrl: ''
license: Proprietary/GPL
knowledgebase: false
tags:
- commandline
- string-extraction
- binary
- quick-analysis
- text-search
- cross-platform
- name: MaxMind GeoIP
type: software
description: >-
Die Geolocation-Datenbank für IP-Adressen-Zuordnung zu Ländern und
Städten. Unverzichtbar für die Analyse von Netzwerk-Logs und
Angriffsherkunft. Die kostenlose GeoLite2-Version reicht für die meisten
forensischen Zwecke. API-Integration ermöglicht automatisierte
Anreicherung großer Datensätze.
domains:
- incident-response
- fraud-investigation
- network-forensics
phases:
- analysis
skillLevel: beginner
url: https://www.maxmind.com/
tags:
- api
- geolocation
- ip-analysis
- database
- enrichment
- library
icon: 🗄
platforms:
- Windows
- Linux
- macOS
accessType: download
license: GeoLite2 EULA / Commercial
knowledgebase: false
- name: SIFT Workstation
type: software
description: >-
SANS' kuratierte Ubuntu-Distribution vollgepackt mit Forensik-Tools und
Skripten. Über 500 Tools vorinstalliert, vorkonfiguriert und dokumentiert
für sofortigen Einsatz. Die begleitenden Trainingsmaterialien machen es
zur idealen Lernumgebung. Regelmäßige Updates vom SANS-Team halten die
Tool-Sammlung aktuell.
domains:
- incident-response
- static-investigations
- malware-analysis
- network-forensics
- mobile-forensics
skillLevel: intermediate
url: https://www.sans.org/tools/sift-workstation/
tags:
- virtual-machine
- tool-collection
- forensics-suite
- training-focused
- documentation
- ubuntu-based
icon: 🖥
platforms:
- OS
accessType: download
license: Free / Mixed
knowledgebase: false
related_concepts: null
domain-agnostic-software:
- specific-os
- name: Tsurugi Linux
type: software
description: >-
Die von Forensikern entwickelte Forensik-Distribution mit Fokus auf
Benutzerfreundlichkeit. Besonders stark bei Mobile- und Malware-Forensik
mit vielen spezialisierten Tools. Die DFIR-Menüstruktur gruppiert Tools
logisch nach Untersuchungsphasen. Läuft performant auch auf älterer
Hardware dank optimiertem Kernel. Hat einen integrierten Write-Blocker und
existiert in einer reduzierten "Acquire"-Version, die Imaging als
Live-System-Umgebung ermöglicht.
domains:
- incident-response
- static-investigations
- malware-analysis
- mobile-forensics
skillLevel: intermediate
url: https://tsurugi-linux.org/
tags:
- live-boot
- tool-collection
- forensics-suite
- mobile-focus
- lightweight
icon: 🖥
platforms:
- OS
accessType: download
license: GPL / Mixed
knowledgebase: false
related_concepts: null
domain-agnostic-software:
- specific-os
- name: Parrot Security OS
type: software
description: >-
Die Datenschutz-fokussierte Alternative zu Kali mit Forensik-Werkzeugen.
AnonSurf für anonymisierte Ermittlungen und verschlüsselte Kommunikation
eingebaut. Ressourcenschonender als Kali, läuft flüssig auch in VMs mit
wenig RAM. Die rolling-release Natur hält Tools aktuell ohne
Neuinstallation.
domains:
- incident-response
- static-investigations
- malware-analysis
- network-forensics
skillLevel: intermediate
url: https://parrotsec.org/
tags:
- live-boot
- privacy-focused
- tool-collection
- rolling-release
- lightweight
- anonymization
icon: 🖥
platforms:
- OS
accessType: download
license: GPL-3.0
knowledgebase: false
related_concepts: null
domain-agnostic-software:
- specific-os
- name: Eric Zimmerman Tools
icon: 📦
type: software
description: >-
Die Tool-Sammlung des Windows-Forensik-Gurus für Artefakt-Analyse. Von
ShellBags über Prefetch bis zu Amcache - jedes Tool ein Spezialist. Die
Timeline Explorer GUI vereint alle Ausgaben in einer durchsuchbaren
Ansicht. Ständige Updates für neue Windows-Versionen und Cloud-Artefakte.
domains:
- incident-response
- static-investigations
phases:
- examination
- analysis
platforms:
- Windows
related_concepts: null
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://ericzimmerman.github.io/
projectUrl: ''
license: MIT
knowledgebase: false
tags:
- commandline
- windows-artifacts
- parsing
- timeline-analysis
- tool-collection
- artifact-extraction
- name: Impacket
icon: 📦
type: software
description: >-
Python-Bibliothek für Netzwerk-Protokoll-Manipulation und
Windows-Forensik. Ermöglicht Remote-Zugriff auf Windows-Systeme für
Live-Forensik und IR. Die Skript-Sammlung deckt von SMB-Enumeration bis
Kerberos-Attacks alles ab. Unverzichtbar für die Untersuchung von Lateral
Movement und Persistence.
domains:
- incident-response
- network-forensics
- malware-analysis
phases:
- data-collection
- examination
platforms:
- Linux
- Windows
- macOS
related_concepts: null
domain-agnostic-software: null
skillLevel: advanced
accessType: download
url: https://github.com/SecureAuthCorp/impacket
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- library
- network-protocols
- windows-forensics
- remote-access
- scripting
- api
- name: RSA NetWitness
icon: 📦
type: software
description: >-
Enterprise-Grade SIEM und Forensik-Plattform für große Netzwerke.
Korreliert Logs, Packets und Endpoints für 360-Grad-Sicht auf Incidents.
Die Hunting-Funktionen nutzen ML für Anomalie-Erkennung in Petabytes von
Daten. Lizenzkosten im siebenstelligen Bereich für vollständige
Deployment.
domains:
- incident-response
- network-forensics
- malware-analysis
phases:
- data-collection
- examination
- analysis
platforms:
- Web
related_concepts: null
domain-agnostic-software: null
skillLevel: expert
accessType: commercial
url: https://www.netwitness.com/
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- web-based
- siem
- big-data
- correlation
- machine-learning
- enterprise
- name: X-Ways Forensics
icon: 📦
type: software
description: >-
Der deutsche Präzisionsskalpell unter den Forensik-Tools mit
unübertroffener Effizienz. Besonders geschätzt für blitzschnelle Searches
in Multi-Terabyte-Images. Die spartanische Oberfläche schreckt Einsteiger
ab, Profis schwören darauf. Deutlich günstiger als US-Konkurrenz bei
vergleichbarer Funktionalität.
domains:
- static-investigations
- incident-response
phases:
- examination
- analysis
platforms:
- Windows
related_concepts: null
domain-agnostic-software: null
skillLevel: expert
accessType: commercial
url: https://www.x-ways.net/forensics/
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- gui
- filesystem
- carving
- high-performance
- german-made
- hex-editor
- name: EnCase
icon: 📦
type: software
description: >-
Der Veteran der kommerziellen Forensik-Tools mit 25 Jahren
Gerichtserfahrung. EnScript-Programmierung ermöglicht maßgeschneiderte
Automatisierung. Die Zertifizierung (EnCE) ist in vielen Behörden
Einstellungsvoraussetzung.
domains:
- static-investigations
- incident-response
phases:
- data-collection
- examination
- analysis
- reporting
platforms:
- Windows
related_concepts: null
domain-agnostic-software: null
skillLevel: intermediate
accessType: commercial
url: https://www.opentext.com/products/encase-forensic
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- gui
- filesystem
- enterprise
- court-proven
- certification
- scripting
- name: FRED
icon: 🔧
type: software
description: >-
Forensic Recovery of Evidence Device - spezialisierte Hardware für
Imaging. Kombiniert Write-Blocker, Imager und Analyse-Workstation in einem
System. Die Ultrabay-Technologie ermöglicht Hot-Swap mehrerer Drives
gleichzeitig. Für High-Volume-Labs die Investition wert, für
Gelegenheitsnutzer Overkill.
domains:
- static-investigations
- incident-response
phases:
- data-collection
platforms:
- Hardware
related_concepts: null
domain-agnostic-software: null
skillLevel: intermediate
accessType: commercial
url: https://www.digitalintelligence.com/products/fred/
projectUrl: ''
license: Proprietary
knowledgebase: false
tags:
- hardware
- imaging
- write-blocking
- multiple-drives
- professional-lab
- integrated-system
- name: ICSpector
type: software
description: >-
Ein von Microsoft entwickeltes Open-Source-Framework, das eine besondere
Nische bedient: Die Datensammlung bei Industriekontrollsystemen und
PLC-Metadaten.
domains:
- ics-forensics
phases:
- data-collection
- examination
- analysis
skillLevel: advanced
url: https://github.com/microsoft/ics-forensics-tools
tags:
- python
- binary
- scripting
icon: 🛠
platforms:
- Windows
- Linux
- macOS
accessType: download
license: MIT
knowledgebase: false
- name: Live Memory Acquisition Procedure
icon: 📋
type: method
description: >-
Standardisiertes Verfahren zur forensisch korrekten Akquisition des
Arbeitsspeichers laufender Systeme. Umfasst Bewertung der
Systemkritikalität, Auswahl geeigneter Tools, Minimierung der
System-Kontamination und Dokumentation der Chain of Custody. Essentiell
für die Sicherung flüchtiger Beweise wie Prozess-Informationen,
Netzwerkverbindungen und Verschlüsselungsschlüssel.
domains:
- incident-response
- static-investigations
- malware-analysis
phases:
- data-collection
platforms: []
related_concepts: null
domain-agnostic-software: null
skillLevel: advanced
accessType: null
url: >-
https://www.nist.gov/publications/guide-integrating-forensic-techniques-incident-response
projectUrl: null
license: null
knowledgebase: false
tags:
- memory-acquisition
- volatile-evidence
- live-forensics
- ram-dump
- evidence-preservation
- procedure
- name: Rapid Incident Response Triage on macOS
icon: 📋
type: method
description: >-
Spezialisierte Methodik für die schnelle Incident Response auf
macOS-Systemen mit Fokus auf die Sammlung kritischer forensischer
Artefakte in unter einer Stunde. Adressiert die Lücke zwischen
Windows-zentrierten IR-Prozessen und macOS-spezifischen
Sicherheitsarchitekturen. Nutzt Tools wie Aftermath für effiziente
Datensammlung ohne zeitaufwändige Full-Disk-Images. Besonders wertvoll für
Unternehmensumgebungen mit gemischten Betriebssystem-Landschaften.
domains:
- incident-response
- static-investigations
- malware-analysis
phases:
- data-collection
- examination
platforms: []
related_concepts: null
domain-agnostic-software: null
skillLevel: intermediate
accessType: null
url: >-
https://www.sans.org/white-papers/rapid-incident-response-on-macos-actionable-insights-under-hour/
projectUrl: null
license: null
knowledgebase: null
tags:
- macos
- rapid-response
- triage
- incident-response
- aftermath
- enterprise
- methodology
- apple
- name: Aftermath
icon: 📦
type: software
description: >-
Jamf's Open-Source-Tool für die schnelle Sammlung forensischer Artefakte
auf macOS-Systemen. Sammelt kritische Daten wie Prozessinformationen,
Netzwerkverbindungen, Dateisystem-Metadaten und Systemkonfigurationen ohne
Full-Disk-Imaging. Speziell entwickelt für die Rapid-Response-Triage in
Enterprise-Umgebungen mit macOS-Geräten. Normalisiert Zeitstempel und
erstellt durchsuchbare Ausgabeformate für effiziente Analyse.
domains:
- incident-response
- static-investigations
- malware-analysis
phases:
- data-collection
- examination
platforms:
- macOS
related_concepts: null
domain-agnostic-software: null
skillLevel: intermediate
accessType: download
url: https://github.com/jamf/aftermath/
projectUrl: ''
license: Apache 2.0
knowledgebase: false
tags:
- macos
- incident-response
- triage
- artifact-collection
- rapid-response
- jamf
- enterprise
- commandline
- name: Regular Expressions (Regex)
icon: 🔤
type: concept
description: >-
Pattern matching language for searching, extracting, and manipulating
text. Essential for log analysis, malware signature creation, and data
extraction from unstructured sources. Forms the backbone of many forensic
tools and custom scripts.
domains:
- incident-response
- malware-analysis
- network-forensics
- fraud-investigation
phases:
- examination
- analysis
platforms: []
related_concepts: null
domain-agnostic-software: null
skillLevel: intermediate
accessType: null
url: https://regexr.com/
projectUrl: null
license: null
knowledgebase: true
tags:
- pattern-matching
- text-processing
- log-analysis
- string-manipulation
- search-algorithms
- name: SQL Query Fundamentals
icon: 🗃️
type: concept
description: >-
Structured Query Language for database interrogation and analysis.
Critical for examining application databases, SQLite artifacts from
mobile devices, and browser history databases. Enables complex
correlation and filtering of large datasets.
domains:
- incident-response
- mobile-forensics
- fraud-investigation
- cloud-forensics
phases:
- examination
- analysis
platforms: []
related_concepts: null
domain-agnostic-software: null
skillLevel: intermediate
accessType: null
url: https://www.w3schools.com/sql/
projectUrl: null
license: null
knowledgebase: false
tags:
- database-analysis
- query-language
- data-correlation
- mobile-artifacts
- browser-forensics
- name: Hash Functions & Digital Signatures
icon: 🔐
type: concept
description: >-
Cryptographic principles for data integrity verification and
authentication. Fundamental for evidence preservation, malware
identification, and establishing chain of custody. Understanding of MD5,
SHA, and digital signature validation.
domains:
- incident-response
- static-investigations
- malware-analysis
- cloud-forensics
phases:
- data-collection
- examination
platforms: []
related_concepts: null
domain-agnostic-software: null
skillLevel: advanced
accessType: null
url: https://en.wikipedia.org/wiki/Cryptographic_hash_function
projectUrl: null
license: null
knowledgebase: false
tags:
- cryptography
- data-integrity
- evidence-preservation
- malware-identification
- chain-of-custody
- name: MSAB XRY
type: software
description: >-
Die Smartphone-Extraktionssoftware der Firma MSAB positioniert sich als
Konkurrenz zum Marktführer Cellebrite. MSAB wirbt mit dem Imaging selbst
neuester Android- und IOS-Geräte.
skillLevel: beginner
url: https://www.msab.com/product/xry-extract/
icon: 📦
domains:
- mobile-forensics
phases:
- data-collection
tags:
- law-enforcement
- fast
- SIM
- image-recognition
platforms:
- Windows
accessType: download
license: Proprietary
knowledgebase: false
domains:
- id: incident-response
name: Incident Response & Breach-Untersuchung
- id: static-investigations
name: Datenträgerforensik & Ermittlungen
- id: malware-analysis
name: Malware-Analyse & Reverse Engineering
- id: fraud-investigation
name: Betrugs- & Finanzkriminalität
- id: network-forensics
name: Netzwerk-Forensik & Traffic-Analyse
- id: mobile-forensics
name: Mobile Geräte & App-Forensik
- id: cloud-forensics
name: Cloud & Virtuelle Umgebungen
- id: ics-forensics
name: Industrielle Kontrollsysteme (ICS/SCADA)
phases:
- id: data-collection
name: Datensammlung
description: Imaging, Acquisition, Remote Collection Tools
- id: examination
name: Auswertung
description: Parsing, Extraction, Initial Analysis Tools
- id: analysis
name: Analyse
description: Deep Analysis, Correlation, Visualization Tools
- id: reporting
name: Bericht & Präsentation
description: >-
Documentation, Visualization, Presentation Tools (z.B. QGIS für Geodaten,
Timeline-Tools)
domain-agnostic-software:
- id: collaboration-general
name: Übergreifend & Kollaboration
description: Cross-cutting tools and collaboration platforms
- id: specific-os
name: Betriebssysteme
description: Operating Systems which focus on forensics
Reference in New Issue View Git Blame Copy Permalink