forensic-pathways/src/data/tools.yaml

tools:
  - name: Autopsy
    type: software
    description: >-
      Die bekannte Open-Source-Forensik-Suite vereint hunderte Analyse-Module
      unter einer intuitiven Oberfläche. Exzellent für Timeline-Rekonstruktion
      durch automatische Korrelation von Dateisystem-Artefakten,
      Registry-Einträgen und Log-Dateien. Das integrierte Keyword-Search-Modul
      findet Beweise in gelöschten Dateien, Slack-Space und unallokierten
      Bereichen. Die TSK-basierte Engine unterstützt alle gängigen Dateisysteme
      von NTFS über ext4 bis APFS. Besonders wertvoll: Die PhotoRec-Integration
      für signaturbasiertes Carving und die automatische Hash-Analyse gegen NSRL
      und eigene Datenbanken. Plugins erweitern die Funktionalität für
      Spezialfälle wie Smartphone-Forensik oder Cloud-Artefakte.
    skillLevel: intermediate
    url: https://www.autopsy.com/
    icon: 🔍
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
      - mobile-forensics
      - cloud-forensics
      - fraud-investigation
    phases:
      - examination
      - analysis
      - reporting
    tags:
      - gui
      - timeline
      - file-carving
      - keyword-search
      - plugin-support
      - opensource
      - hash-analysis
      - deleted-data
      - artifact-extraction
      - multi-user
      - case-management
      - report-generation
      - tsk-framework
      - scenario:disk_imaging
      - scenario:file_recovery
      - scenario:browser_history
    related_concepts:
      - SQL
      - Hash Functions & Digital Signatures
      - Digital Evidence Chain of Custody
    related_software:
      - Plaso (log2timeline)
      - PhotoRec
      - RegRipper
    platforms:
      - Windows
      - Linux
    accessType: download
    license: Apache-2.0
    knowledgebase: false
  - name: Volatility 3
    type: software
    description: >-
      Memory-Forensik-Framework mit automatischer OS-Erkennung für Windows,
      Linux, macOS RAM-Dumps analysiert über 100 Plugins für Prozess-Extraktion,
      DLL-Injections, Netzwerk-Sockets, Registry-Hives und Rootkit-Artefakte.
      Native Python-3-Architektur mit YARA-Integration für
      Memory-Pattern-Matching und Timeline-Export in strukturierte Formate. Neue
      Plugins erkennen Process-Hollowing, Kernel-Hooks und
      Persistence-Mechanismen automatisch. Symbol-basierte Analyse beschleunigt
      Multi-GB-Dump-Verarbeitung durch optimierte Memory-Parsing-Algorithmen.
      Cloud-Storage-Support ermöglicht verteilte Analyse großer Memory-Images.
    url: https://www.volatilityfoundation.org/
    skillLevel: advanced
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
      - network-forensics
    phases:
      - examination
      - analysis
    platforms:
      - Windows
      - Linux
      - macOS
    tags:
      - cli
      - plugin-support
      - scripting
      - memory-timeline
      - process-analysis
      - network-artifacts
      - rootkit-detection
      - code-injection
      - yara-integration
      - python-api
      - scenario:memory_dump
      - opensource
      - memory-analysis
      - ram-dump
    related_concepts:
      - Hash Functions & Digital Signatures
      - Regular Expressions (Regex)
    related_software:
      - YARA
      - Rekall
      - WinPmem
      - LiME
    icon: 🧠
    license: VSL
    accessType: download
  - name: MISP
    type: software
    description: >-
      Threat-Intelligence-Sharing-Platform für strukturiertes IOC-Management
      durch standardisierte Attribute: IP-Adressen, Domains, Datei-Hashes,
      YARA-Rules, Malware-Samples mit Metadaten-Anreicherung. Galaxies und
      Taxonomien klassifizieren Bedrohungen nach MITRE ATT&CK-Framework und
      Kill-Chain-Phasen. Föderierte Architektur ermöglicht selektives
      Intelligence-Sharing zwischen vertrauenswürdigen Partnern durch
      Tagging-System. Correlation-Engine findet automatisch Zusammenhänge
      zwischen scheinbar unabhängigen Incidents. ZeroMQ-Feed pusht IOCs in
      Echtzeit an Firewalls, SIEMs und Detection-Systeme für automatisierte
      Response.
    url: https://misp-project.org/
    skillLevel: intermediate
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
      - network-forensics
      - cloud-forensics
      - fraud-investigation
    phases:
      - data-collection
      - examination
      - analysis
    platforms:
      - Web
    tags:
      - web-interface
      - IOC-matching
      - taxonomies
      - api
      - threat-scoring
      - collaboration
      - correlation-engine
      - galaxy-clusters
      - warninglists
      - zeromq-feed
      - stix-export
      - federation
    related_concepts:
      - Hash Functions & Digital Signatures
    related_software:
      - Cortex
      - OpenCTI
    icon: 🌐
    projectUrl: https://misp.cc24.dev
    license: AGPL-3.0
    accessType: server-based
    knowledgebase: true
  - name: DFIR-IRIS
    icon: 🌺
    type: software
    description: >-
      Collaborative Incident Response Management Platform für strukturierte
      DFIR-Case-Organisation. Zentralisiert alle Aspekte einer Untersuchung:
      Assets, IOCs, Tasks, Timeline, Evidence-Tracking. Multi-User-Environment
      mit granularen Permissions für verschiedene Analysten-Rollen. Besonders
      wertvoll: Case-Templates standardisieren Workflows, automatische IOC-
      Enrichment via MISP/OpenCTI, integrierte Timeline-Visualisierung,
      Evidence-Chain-of-Custody-Tracking. Plugin-System erweitert für Custom-
      Integrations. RESTful API für Tool-Orchestrierung. Dashboard zeigt Case-
      Status und Team-Workload. Notes-System dokumentiert Findings strukturiert.
      Reporting-Engine generiert Executive-Summaries. Die Web-basierte
      Architektur skaliert von kleinen Teams bis Enterprise-SOCs. Docker-
      Deployment vereinfacht Installation. Besonders stark bei komplexen,
      langwierigen Ermittlungen mit mehreren Beteiligten. Open-Source
      Alternative zu kommerziellen Case-Management-Systemen.
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
      - fraud-investigation
      - network-forensics
      - mobile-forensics
      - cloud-forensics
    phases:
      - data-collection
      - examination
      - analysis
      - reporting
    platforms:
      - Web
    related_software:
      - MISP
      - OpenCTI
    domain-agnostic-software:
      - collaboration-general
    skillLevel: intermediate
    accessType: server-based
    url: https://dfir-iris.org/
    license: LGPL-3.0
    knowledgebase: false
    tags:
      - web-interface
      - case-management
      - collaboration
      - multi-user-support
      - api
      - workflow
      - timeline-view
      - ioc-tracking
      - evidence-management
      - reporting
      - plugin-support
      - docker-ready
    related_concepts:
      - Digital Evidence Chain of Custody
  - name: Timesketch
    type: software
    description: >-
      Google's Collaborative Timeline-Analyse-Platform meistert Millionen von
      korrelierten Events durch hochperformante
      Elasticsearch-Backend-Architektur für Enterprise-Scale-Investigations.
      Plaso-Integration parst automatisch über 300 verschiedene Log-Formate in
      einheitliche Super-Timeline mit standardisierten Attributen. Interactive
      Timeline-Explorer mit dynamischen Heatmaps, Activity-Graphen und
      Statistical-Analysis für Advanced-Pattern-Recognition. Sigma-Rules werden
      direkt auf Timelines angewendet für Automated-Threat-Detection,
      Machine-Learning-Analyzers erkennen Login-Brute-Force, Lateral-Movement
      und Data-Exfiltration-Patterns. Collaborative-Features: Shared-Sketches,
      Analyst-Comments, Saved-Searches und narrative Stories für
      Management-Reporting.
    url: https://timesketch.org/
    skillLevel: intermediate
    domains:
      - incident-response
      - static-investigations
      - network-forensics
      - cloud-forensics
      - fraud-investigation
    phases:
      - analysis
      - reporting
    platforms:
      - Web
    tags:
      - web-interface
      - timeline
      - collaboration
      - visualization
      - timeline-correlation
      - timeline-view
      - elasticsearch-backend
      - plaso-integration
      - sigma-rules
      - heatmaps
      - anomaly-detection
      - narrative-documentation
      - timeline-analysis
      - collaborative-analysis
    related_concepts:
      - Regular Expressions (Regex)
    related_software:
      - Plaso (log2timeline)
      - Elasticsearch
      - Kibana
    icon: ⏱️
    projectUrl: https://timesketch.cc24.dev
    license: Apache-2.0
    accessType: server-based
  - name: Wireshark
    type: software
    description: >-
      Netzwerk-Protokoll-Analyzer dekodiert Ethernet bis zu ICS-Protokollen mit
      mächtiger 
        Display-Filter-Syntax für präzise Paket-Selektion. Follow-Stream rekonstruiert komplette 
        TCP-Sessions, HTTP-Uploads, FTP-Transfers. Expert-Info identifiziert Anomalien wie 
        Retransmissions, Malformed Packets. Export-Objekte extrahiert übertragene Dateien aus 
        HTTP, SMB, TFTP. TLS-Decryption mit Private Keys oder SSLKEYLOGFILE. Lua- und C-Plugin-API 
        für Custom-Dissectors.
    url: https://www.wireshark.org/
    skillLevel: intermediate
    domains:
      - incident-response
      - malware-analysis
      - network-forensics
      - cloud-forensics
      - ics-forensics
      - fraud-investigation
    phases:
      - examination
      - analysis
    platforms:
      - Windows
      - Linux
      - macOS
    tags:
      - gui
      - protocol-decode
      - packet-filtering
      - pcap-capture
      - cross-platform
      - session-reconstruction
      - display-filters
      - follow-stream
      - expert-info
      - statistics
      - coloring-rules
      - tls-decryption
      - network-analysis
      - packet-analysis
      - traffic-analysis
    related_concepts:
      - Regular Expressions (Regex)
    related_software:
      - NetworkMiner
      - tcpdump
      - Arkime
    icon: 🦈
    license: GPL-2.0
    accessType: download
  - name: Magnet AXIOM
    type: software
    description: >-
      Umfassende Digital-Investigation-Plattform kombiniert Akquisition, Analyse
      und Reporting in integrierter Suite für End-to-End-Forensik komplexer
      Fälle. AXIOM Process sammelt Artefakte von über 300 Datenquellen:
      Desktop-Computer, Mobile Devices, Cloud Services, IoT-Geräte mit
      automatischer Parser-Erkennung. KI-gestützte Artifact-Categorization
      klassifiziert verdächtige Inhalte automatisch und reduziert manuelle
      Review-Zeit drastisch. Internet Evidence Finder (IEF) Engine extrahiert
      Web-Artefakte aus allen Major-Browsern, Magnet.AI beschleunigt
      CSAM-Detection durch Machine Learning. Connections-View visualisiert
      Kommunikations-Patterns zwischen Personen, Parallel-Processing-Engine
      analysiert Terabytes in Stunden.
    url: https://www.magnetforensics.com/products/magnet-axiom/
    skillLevel: beginner
    domains:
      - incident-response
      - static-investigations
      - mobile-forensics
      - cloud-forensics
      - fraud-investigation
    phases:
      - data-collection
      - examination
      - analysis
      - reporting
    platforms:
      - Windows
    tags:
      - gui
      - commercial
      - cloud-artifacts
      - mobile-app-data
      - automation-ready
      - court-admissible
      - ai-categorization
      - ief-engine
      - connections-view
      - timeline-analysis
      - csam-detection
      - parallel-processing
    related_concepts:
      - Digital Evidence Chain of Custody
      - Hash Functions & Digital Signatures
    related_software:
      - GrayKey
      - Cellebrite UFED
    icon: 🧲
    license: Proprietary
    accessType: commercial
  - name: Cellebrite UFED
    type: software
    description: >-
      Entsperrt aktuelle iPhones und Android-Flaggschiffe durch
      Zero-Day-Exploits und proprietäre Bypass-Methoden für Physical-Extraction
      sensibler Daten. Logical Plus erweitert Standard-iTunes-Backups um
      gelöschte SQLite-Records und App-Sandbox-Inhalte. Advanced Services
      greifen auf kontinuierlich aktualisiertes Exploit-Labor für neueste und
      resistente Geräte-Modelle zurück. Physical Analyzer visualisiert
      extrahierte Daten mit interaktiver Timeline-Ansicht, Geo-Location-Maps und
      Social-Network-Relationship-Graphen. Project-VIC Integration erkennt CSAM
      automatisch durch Hash-Matching, Cloud-Analyzer-Lizenz ermöglicht direkten
      Zugriff auf 50+ Cloud-Services ohne Device-Dependency.
    url: https://cellebrite.com/en/ufed/
    skillLevel: beginner
    domains:
      - static-investigations
      - mobile-forensics
      - fraud-investigation
    phases:
      - data-collection
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - gui
      - commercial
      - mobile-app-data
      - decryption
      - physical-copy
      - dongle-license
      - zero-day-exploits
      - cloud-analyzer
      - project-vic
      - timeline-view
      - geo-mapping
      - advanced-services
    related_concepts:
      - SQL
      - Digital Evidence Chain of Custody
    related_software:
      - Magnet AXIOM
      - Oxygen Forensic Suite
      - MSAB XRY
    icon: 📱
    license: Proprietary
    accessType: commercial
  - name: Cuckoo Sandbox 3
    icon: 🥚
    type: software
    description: >-
      Die automatisierte Malware-Analyse-Umgebung führt Schadsoftware
      kontrolliert in isolierten VMs aus und dokumentiert jede Aktion. Version 3
      vom CERT-EE modernisiert die Architektur mit Python 3, verbesserter
      Evasion-Resistenz und Cloud-Scale-Fähigkeiten. Behavioral Analysis trackt
      API-Calls, Registry-Änderungen, Datei-Operationen und
      Netzwerk-Kommunikation. PCAP-Recording für vollständige Traffic-Analyse.
      Memory-Dumps werden automatisch mit Volatility analysiert. Simulated
      Services täuschen Internet-Konnektivität vor. Anti-Anti-VM umgeht moderne
      Sandbox-Erkennung. Distributed-Mode analysiert hunderte Samples parallel.
      Die Reporting-Engine generiert detaillierte JSON/HTML-Reports mit MITRE
      ATT&CK Mapping. YARA-Integration für Signatur-Matching. REST-API für
      Integration in CI/CD-Pipelines. Die komplexe Installation erfordert
      Virtualisierungs-Expertise, belohnt aber mit industrieller
      Malware-Analyse-Kapazität.
    domains:
      - incident-response
      - malware-analysis
    phases:
      - examination
      - analysis
    platforms:
      - Linux
      - Web
    related_software:
      - YARA
      - Volatility 3
      - MISP
      - VirusTotal
    skillLevel: advanced
    accessType: server-based
    url: https://github.com/cert-ee/cuckoo3
    license: GPL-3.0
    knowledgebase: false
    tags:
      - web-interface
      - sandboxing
      - behavioral-analysis
      - malware-unpacking
      - virtual-analysis
      - sandbox-reports
      - api-monitoring
      - network-capture
      - memory-analysis
      - mitre-attack
      - distributed-analysis
      - anti-evasion
    related_concepts:
      - Regular Expressions (Regex)
  - name: Ghidra
    type: software
    description: >-
      Reverse-Engineering-Framework mit fortschrittlichem Decompiler für
      Assembly-zu-C-Code-Transformation und Cross-Architecture-Binary-Analyse
      von Malware und Firmware. Unterstützt 30+ Prozessor-Architekturen von
      x86/x64 über ARM, MIPS bis zu exotischen Embedded-CPUs und DSPs.
      Ghidra-Server ermöglicht kollaborative Team-Analyse mit Versionskontrolle
      und Shared-Projects. PCode als Intermediate Language vereinheitlicht
      Multi-Architecture-Analysen durch abstrakte Darstellung. Function-Graph
      visualisiert Control-Flow interaktiv, Script-Manager automatisiert mit
      Python/Java komplexe Reverse-Engineering-Tasks. Pattern-Matching
      identifiziert bekannte Funktionen automatisch.
    url: https://ghidra-sre.org/
    skillLevel: expert
    domains:
      - malware-analysis
      - ics-forensics
      - static-investigations
    phases:
      - analysis
    platforms:
      - Windows
      - Linux
      - macOS
    tags:
      - gui
      - binary-decode
      - malware-unpacking
      - cross-platform
      - scripting
      - opensource
      - decompiler
      - multi-architecture
      - collaborative
      - function-graph
      - pattern-matching
      - version-tracking
    related_concepts:
      - Regular Expressions (Regex)
    related_software:
      - IDA Pro
      - Radare2
      - x64dbg
      - Binary Ninja
    icon: 🔮
    license: Apache-2.0
    accessType: download
  - name: Plaso (log2timeline)
    type: software
    description: >-
      Industrieller Timeline-Generator extrahiert Zeitstempel aus hunderten
      heterogener Artefakt-Typen für lückenlose Digital-Activity-Rekonstruktion
      komplexer Incidents. Spezialisierte Parser für Windows Event Logs,
      Registry-Hives, Prefetch-Files, Browser-History, Mobile-App-Databases,
      Cloud-Service-Logs und Linux-System-Logs. Storage-Architektur verarbeitet
      Massendaten effizient durch SQLite-Backend und Memory-Optimization.
      Zeitstempel-Normalisierung konvertiert verschiedene Formate und Zeitzonen
      automatisch in UTC für einheitliche Timeline. Analysis-Plugins erkennen
      Anti-Forensik-Techniken wie Timestomping und Clock-Manipulation. Modulare
      Parser-Architektur ermöglicht einfache Erweiterung für proprietäre oder
      neue Log-Formate.
    url: https://plaso.readthedocs.io/
    skillLevel: intermediate
    domains:
      - incident-response
      - static-investigations
      - network-forensics
      - cloud-forensics
      - mobile-forensics
    phases:
      - data-collection
      - examination
    platforms:
      - Windows
      - Linux
      - macOS
    tags:
      - cli
      - timeline
      - log-parser
      - cross-platform
      - timeline-merge
      - time-normalization
      - artifact-parser
      - elasticsearch-export
      - docker-support
      - timestomping-detection
      - modular-parsers
      - batch-processing
      - timeline-analysis
      - forensic-timeline
    related_concepts:
      - Regular Expressions (Regex)
    related_software:
      - Timesketch
      - Autopsy
      - Plaso (log2timeline)
    icon: ⏰
    license: Apache-2.0
    accessType: download
  - name: CyberChef
    type: software
    description: >-
      Daten-Manipulations-Framework mit 400+ Operations für Encoding,
      Verschlüsselung, Analyse und 
        Transformation durch visuelle Rezept-Verkettung. Base64 dekodieren → XOR entschlüsseln → 
        Strings extrahieren → Hashes berechnen in einem Workflow. Magic-Mode erkennt automatisch 
        Encodings, Entropy-Visualisierung identifiziert verschlüsselte Bereiche. Offline-Fähigkeit 
        im Browser macht es DSGVO-konform für sensible Daten. Import/Export von Rezepten für 
        Wiederverwendung.
    url: https://gchq.github.io/CyberChef/
    skillLevel: beginner
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
      - network-forensics
      - fraud-investigation
    phases:
      - examination
      - analysis
    platforms:
      - Web
    tags:
      - web-interface
      - binary-decode
      - decryption
      - malware-unpacking
      - string-search
      - triage
      - regex-operations
      - magic-detection
      - entropy-analysis
      - recipe-based
      - offline-mode
      - data-transformation
    related_concepts:
      - Regular Expressions (Regex)
      - Hash Functions & Digital Signatures
    related_software:
      - GCHQ Tools
    icon: 👨‍🍳
    license: Apache-2.0
    accessType: server-based
  - name: Velociraptor
    icon: 🦖
    type: software
    description: >-
      Die nächste Evolution der Endpoint-Forensik skaliert digitale Ermittlungen
      auf zahlreiche Systeme. VQL (Velociraptor Query Language) ermöglicht
      chirurgisch präzise Artefakt-Sammlung ohne Full-Disk-Images: "SELECT *
      FROM glob('/Users/*/Downloads/*.exe')". Hunt-Kampagnen durchsuchen die
      gesamte Infrastruktur parallel nach IOCs. Der Agent läuft mit minimalem
      Footprint und sammelt Artefakte verschlüsselt. Notebooks für gespeicherte
      Queries und Analysen. Die Timeline-Funktion korreliert Events über alle
      Endpoints. Offline-Collector für Air-Gapped-Systeme.
      Server-Event-Monitoring für Real-Time-Detection. Automatische Triage mit
      Artifact-Packs. Die eingebaute Quarantäne isoliert kompromittierte
      Systeme. Cloud-Native-Architektur mit Multi-Tenancy. GUI und CLI für
      verschiedene Nutzergruppen. Die Lernkurve für VQL ist steil, aber die
      Effizienz-Gewinne sind enorm. Perfekt für Enterprise-IR und
      Threat-Hunting.
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
      - fraud-investigation
      - network-forensics
      - cloud-forensics
    phases:
      - data-collection
      - examination
      - analysis
    platforms:
      - Windows
      - Linux
      - macOS
      - Web
    related_software:
      - GRR Rapid Response
      - osquery
      - KAPE
    skillLevel: advanced
    accessType: server-based
    url: https://www.velociraptor.app/
    projectUrl: https://raptor.cc24.dev
    license: Apache-2.0
    knowledgebase: true
    statusUrl: https://status.mikoshi.de/api/badge/33/status
    tags:
      - web-interface
      - remote-collection
      - distributed
      - scripting
      - cross-platform
      - triage
      - vql-queries
      - hunt-campaigns
      - real-time-monitoring
      - offline-collector
      - artifact-packs
      - multi-tenancy
    related_concepts:
      - SQL
  - name: GRR Rapid Response
    icon: 🚨
    type: software
    description: >-
      Googles Remote-Live-Forensik-Framework wurde für die Untersuchung ihrer
      globalen Infrastruktur entwickelt. Skaliert auf hunderttausende Clients
      mit minimalem Server-Overhead. Der Python-Agent sammelt Artefakte, führt
      YARA-Scans durch und erstellt Timeline-Daten. Flow-basierte Architektur
      für asynchrone Operationen. Rekall-Integration für Remote-Memory-Analyse.
      Hunt-Feature für unternehmensweite IOC-Suche. Approval-Workflows für
      datenschutzkonforme Ermittlungen. Die Admin-UI visualisiert Client-Status
      und Collection-Progress. Export zu BigQuery für Big-Data-Analysen. Der
      Output-Plugin-System integriert mit SIEMs und Ticketing. Besonders stark
      bei Linux-Flotten. Die API ermöglicht Automatisierung wiederkehrender
      Ermittlungen. Weniger Features als Velociraptor, dafür ausgereifter und
      stabiler. Ideal für Organisationen mit großen, homogenen Infrastrukturen.
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
      - fraud-investigation
    phases:
      - data-collection
      - examination
    platforms:
      - Windows
      - Linux
      - macOS
      - Web
    related_software:
      - Velociraptor
      - osquery
      - Rekall
    skillLevel: advanced
    accessType: server-based
    url: https://github.com/google/grr
    license: Apache-2.0
    knowledgebase: false
    tags:
      - web-interface
      - remote-collection
      - distributed
      - api
      - cross-platform
      - triage
      - flow-architecture
      - hunt-feature
      - approval-workflow
      - bigquery-export
      - yara-scanning
      - timeline-generation
    related_concepts:
      - Regular Expressions (Regex)
  - name: Arkime
    icon: 🦈
    type: software
    description: >-
      Das Full-Packet-Capture-Monster (früher Moloch) speichert und indiziert
      große Aufkommen von Netzwerkverkehr für historische Forensik. Erfasst
      Traffic mit 10Gbit/s+ und speichert PCAP mit intelligenter Kompression.
      Die Elasticsearch-Integration ermöglicht schnelle Suchen über Monate von
      Daten: IPs, Ports, Protokolle, HTTP-Header, SSL-Zertifikate. Session-Page
      visualisiert Verbindungen mit Protokoll-Dekodierung. SPI-Graph zeigt
      Traffic-Patterns. WISE (With Intelligence See Everything) reichert Daten
      mit Threat-Intel an. Arkime-Capture skaliert horizontal für Multiple
      10G-Links. Die Viewer-Permissions ermöglichen granulare Zugriffskontrolle.
      Hunt-Jobs durchsuchen historische Daten nach neuen IOCs. API für
      Integration mit SOC-Tools. Die Hardware-Anforderungen sind massiv (TB RAM,
      PB Storage), aber für ernsthafte NSM unverzichtbar. Perfekt für APT-Jagd
      und Incident-Rekonstruktion.
    domains:
      - incident-response
      - static-investigations
      - network-forensics
      - cloud-forensics
      - malware-analysis
    phases:
      - data-collection
      - examination
      - analysis
    platforms:
      - Linux
    related_software:
      - Wireshark
      - Elasticsearch
      - Suricata
      - Zeek
    skillLevel: expert
    accessType: server-based
    url: https://arkime.com/
    license: Apache-2.0
    knowledgebase: false
    tags:
      - web-interface
      - pcap-capture
      - elasticsearch-integration
      - historical-analysis
      - packet-filtering
      - distributed
      - full-packet-capture
      - threat-intel-enrichment
      - horizontal-scaling
      - api-driven
      - hunt-jobs
      - spi-graph
  - name: NetworkMiner
    type: software
    description: >-
      PCAP-Analyzer extrahiert Dateien, Credentials und Host-Informationen aus
      Netzwerk-Traffic 
        ohne Paket-Level-Details. Automatische Extraktion von Bildern, Dokumenten, Executables aus 
        HTTP, FTP, TFTP, SMB-Traffic. Credentials-Harvesting findet Passwörter in Klartext-Protokollen. 
        Host-Inventar mit OS-Fingerprinting, offenen Ports, Services. DNS-Resolution-Timeline zeigt 
        Domain-Lookups. Frame-Reassembly auch bei Packet-Loss.
    url: https://www.netresec.com/?page=NetworkMiner
    skillLevel: beginner
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
      - network-forensics
    phases:
      - examination
      - analysis
    platforms:
      - Windows
      - Linux
    tags:
      - gui
      - file-reconstruction
      - pcap-capture
      - session-reconstruction
      - dns-resolution
      - triage
      - credential-extraction
      - os-fingerprinting
      - keyword-search
      - artifact-extraction
      - cleartext-protocols
      - frame-reassembly
      - network-analysis
      - packet-analysis
      - network-forensics
    related_software:
      - Wireshark
      - tcpdump
      - CapLoader
    icon: ⛏️
    license: GPL-2.0 / Commercial
    accessType: download
  - name: ExifTool
    icon: 📷
    type: software
    description: >-
      Der universelle Metadaten-Extraktor liest und schreibt Informationen in
      über 1200 Dateiformaten - von JPEG-EXIF über PDF-Metadata bis zu
      proprietären RAW-Formaten. Findet versteckte Schätze: GPS-Koordinaten in
      Smartphone-Fotos, Autoren-Informationen in Office-Dokumenten,
      Änderungshistorien in PDFs, Kamera-Seriennummern in Bildern. Besonders
      wertvoll für OSINT und Dokumenten-Forensik. Batch-Processing für tausende
      Dateien. Timeline-Erstellung aus Datei-Zeitstempeln. Die -k Option behält
      Original-Zeitstempel bei Analyse. JSON/XML-Export für programmatische
      Weiterverarbeitung. Unterstützt verschachtelte Archive und eingebettete
      Dokumente. Die Kommandozeile mag abschrecken, aber die Mächtigkeit ist
      unübertroffen. GUI-Wrapper wie ExifToolGUI erleichtern Einsteigern den
      Zugang. Unverzichtbar für jede digitale Ermittlung mit Multimedia-Bezug.
    domains:
      - incident-response
      - static-investigations
      - fraud-investigation
      - mobile-forensics
    phases:
      - examination
      - analysis
    platforms:
      - Windows
      - Linux
      - macOS
    related_software:
      - ExifTool
      - FOCA
    skillLevel: novice
    accessType: download
    url: https://exiftool.org/
    license: Perl Artistic License
    knowledgebase: false
    tags:
      - cli
      - metadata-parser
      - geolocation
      - cross-platform
      - triage
      - system-metadata
      - batch-processing
      - timeline-creation
      - json-export
      - osint-tool
      - document-forensics
      - multimedia-analysis
  - name: Chainalysis
    icon: ₿
    type: software
    description: >-
      Analysiert Blockchain-Transaktionen mit der größten Attribution-Datenbank 
      weltweit. Clustering-Algorithmen identifizieren Millionen Services: 
      Exchanges, Darknet-Märkte, Mixer, Ransomware-Wallets. Reactor 
      visualisiert Transaktionsflüsse mit automatischer Risikobewertung,  KYT
      ermöglicht Echtzeit-Compliance. Investigation-Workflow traced Funds  durch
      Mixer, Court-Ready Reports dokumentieren Blockchain-Beweiskette. 
      Unterstützt Bitcoin, Ethereum und 100+ Blockchains, aber hohe 
      Lizenzkosten limitieren auf Großorganisationen.
    domains:
      - static-investigations
      - fraud-investigation
      - incident-response
    phases:
      - analysis
      - reporting
    platforms:
      - Web
    related_software:
      - GraphSense
      - Elliptic
    skillLevel: intermediate
    accessType: commercial
    url: https://www.chainalysis.com/
    license: Proprietary
    knowledgebase: false
    tags:
      - web-interface
      - blockchain-analysis
      - commercial
      - visualization
      - anomaly-detection
      - threat-scoring
      - clustering-analysis
      - compliance-screening
      - transaction-tracing
      - risk-assessment
      - multi-blockchain
      - api-integration
  - name: Neo4j
    type: software
    description: >-
      Native Graph-Datenbank transformiert komplexe Relationship-Data in
      intuitive Visualisierungen durch Cypher-Query-Language für forensische
      Pattern-Detection. Graph-Algorithmen finden kürzeste Pfade zwischen
      Entities, Community-Detection identifiziert Fraud-Rings und
      Criminal-Networks automatisch. Visual-Graph-Explorer macht verborgene
      Multi-Hop-Connections sichtbar für Money-Laundering, Social-Engineering
      und Organized-Crime-Investigations. APOC-Bibliothek bietet 450+
      spezialisierte Procedures für Advanced-Analytics: Centrality-Measures,
      PageRank, Clustering-Coefficients. Bloom-Visualization-Tool für
      nicht-technische Stakeholder mit Point-and-Click-Exploration. Import aus
      CSV, JSON und relationalen Datenbanken, Elasticsearch-Integration für
      Hybrid-Search-Scenarios.
    url: https://neo4j.com/
    skillLevel: intermediate
    domains:
      - static-investigations
      - malware-analysis
      - fraud-investigation
      - network-forensics
      - cloud-forensics
    phases:
      - analysis
      - reporting
    platforms:
      - Windows
      - Linux
      - macOS
      - Web
    tags:
      - web-interface
      - graph-view
      - visualization
      - correlation-engine
      - cross-platform
      - api
      - cypher-queries
      - community-detection
      - path-finding
      - bloom-visualization
      - apoc-procedures
      - import-tools
    related_concepts:
      - SQL
    related_software:
      - Maltego
      - Gephi
      - Linkurious
    icon: 🕸️
    projectUrl: https://graph.cc24.dev
    license: GPL-3.0 / Commercial
    accessType: server-based
  - name: QGIS
    icon: 🗺️
    type: software
    description: >-
      Verwandelt Forensik-Daten mit Geobezug in aussagekräftige Karten und 
      Analysen. Visualisiert Bewegungsprofile aus Smartphone-GPS, 
      Fahrzeug-Telematik oder Fitness-Trackern durch Heatmaps und 
      Buffer-Analysen. Python-Integration (PyQGIS) automatisiert 
      Massen-Datenverarbeitung, Temporal Controller animiert Bewegungen über 
      Zeit. Spatial Queries finden Überschneidungen: "Wer war wann am selben 
      Ort?". Print Composer erstellt gerichtsfeste Karten für 
      Beweisaufbereitung.
    domains:
      - static-investigations
      - fraud-investigation
      - mobile-forensics
      - incident-response
    phases:
      - analysis
      - reporting
    platforms:
      - Windows
      - Linux
      - macOS
    related_software:
      - Google Earth Pro
      - ArcGIS
    skillLevel: intermediate
    accessType: download
    url: https://qgis.org/
    license: GPL-2.0
    knowledgebase: false
    tags:
      - gui
      - geolocation
      - visualization
      - heatmap
      - scripting
      - cross-platform
      - movement-analysis
      - temporal-animation
      - spatial-queries
      - 3d-visualization
      - print-composer
      - plugin-ecosystem
  - name: Binwalk
    icon: 🔬
    type: software
    description: >-
      Der Firmware-Forensiker extrahiert versteckte Schätze aus IoT-Geräten,
      Routern und Embedded Systems. Signature-Scanning identifiziert
      eingebettete Dateisysteme (SquashFS, JFFS2, CramFS), komprimierte Archive
      und verschlüsselte Bereiche. Automatische Extraktion mit -e Flag. Entropy-
      Analyse visualisiert Zufälligkeit für Crypto-Erkennung. Die Rules-Engine
      erlaubt Custom-Signaturen für proprietäre Formate. Besonders wertvoll für
      IoT-Malware-Analyse, Router-Backdoor-Suche und IP-Kameras-Forensik.
      3D-Entropy-Plots mit -E. Hexdump-Integration für manuelle Inspektion. Die
      Plugin-Architektur ermöglicht Erweiterungen. Oft der erste Schritt bei
      Hardware-Forensik. Kombiniert mit QEMU für Firmware-Emulation. Die
      False-Positive-Rate kann hoch sein, aber die Alternative ist manuelles
      Hex-Editing. Essential für jeden, der mit Embedded Devices arbeitet.
    domains:
      - malware-analysis
      - ics-forensics
      - static-investigations
    phases:
      - examination
      - analysis
    platforms:
      - Linux
      - macOS
    related_software:
      - Firmware Analysis Toolkit
      - FACT
      - Ghidra
    skillLevel: advanced
    accessType: download
    url: https://github.com/ReFirmLabs/binwalk
    license: MIT
    knowledgebase: false
    tags:
      - cli
      - firmware-extraction
      - signature-analysis
      - file-carving
      - entropy-check
      - binary-decode
      - iot-forensics
      - embedded-analysis
      - custom-signatures
      - hexdump-view
      - plugin-support
      - 3d-entropy
  - name: Nextcloud
    icon: ☁️
    type: software
    description: >-
      Ermöglicht sichere Cloud-Collaboration für Forensik-Teams mit 
      End-to-End-Verschlüsselung und granularen Berechtigungen. File-Sharing 
      mit Ablaufdaten, Versionierung dokumentiert alle Änderungen, 
      Collabora/OnlyOffice-Integration unterstützt gemeinsame 
      Berichterstellung. Talk verschlüsselt Video-Konferenzen, Flow 
      automatisiert Workflows ("Wenn Report fertig → Benachrichtige Team"). 
      Audit-Logs für Compliance, Federation vernetzt mehrere 
      Behörden-Instanzen. DSGVO-konform durch eigene Server-Kontrolle.
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
      - fraud-investigation
      - network-forensics
      - mobile-forensics
      - cloud-forensics
      - ics-forensics
    phases:
      - reporting
    platforms:
      - Web
    related_software:
      - Collabora Online
      - OnlyOffice
    domain-agnostic-software:
      - collaboration-general
    skillLevel: novice
    accessType: server-based
    url: https://nextcloud.com/
    projectUrl: https://cloud.cc24.dev
    license: AGPL-3.0
    knowledgebase: true
    statusUrl: https://status.mikoshi.de/api/badge/11/status
    tags:
      - web-interface
      - collaboration
      - secure-sharing
      - multi-user-support
      - encrypted-reports
      - rbac
      - end-to-end-encryption
      - audit-logging
      - workflow-automation
      - video-conferencing
      - version-control
      - federation
    related_concepts:
      - Digital Evidence Chain of Custody
  - name: Kali Linux
    type: software
    description: >-
      Debian-basierte Live-Boot-Distribution vereint über 600 Security- und
      Forensik-Tools für kontaminationsfreie Untersuchungen ohne
      Host-System-Veränderung. Forensics-Mode deaktiviert automatisches Mounting
      und Netzwerk-Services für forensisch saubere Evidence-Akquisition.
      Tool-Kategorien decken alle DFIR-Phasen ab: Disk-Imaging (dc3dd,
      ddrescue), File-Carving (Foremost, Scalpel), Memory-Analyse (Volatility),
      Netzwerk-Forensik (Wireshark, tcpdump). Metapackages installieren
      spezialisierte Tool-Gruppen, ARM-Images unterstützen Raspberry Pi für
      Mobile- und IoT-Forensik. Persistence-Mode speichert Konfigurationen auf
      USB-Medien.
    url: https://kali.org/
    skillLevel: intermediate
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
      - fraud-investigation
      - network-forensics
      - mobile-forensics
      - cloud-forensics
      - ics-forensics
    platforms:
      - OS
    tags:
      - gui
      - cli
      - cross-platform
      - live-acquisition
      - write-blocker
      - opensource
      - forensics-mode
      - tool-collection
      - arm-support
      - nethunter
      - custom-builds
      - rolling-release
    related_software:
      - Parrot Security OS
      - SIFT Workstation
    icon: 🐉
    license: GPL-3.0
    accessType: download
    knowledgebase: true
  - name: FTK Imager
    type: software
    description: >-
      Windows-basierter Disk-Imager mit bewährter Zuverlässigkeit und breiter
      Gerichtsakzeptanz für Standard-Forensik-Laboratorien erstellt Images in
      RAW, SMART, E01 und AFF-Formaten. GUI führt systematisch durch
      Imaging-Prozess mit automatischer Hash-Verifizierung (MD5/SHA1) und
      Progress-Monitoring. Preview-Mode ermöglicht schnelle Evidence-Triage ohne
      Full-Image-Creation für Time-Critical-Investigations.
      Memory-Capture-Functionality für Live-RAM-Akquisition von laufenden
      Windows-Systemen. Protected-Folder-Viewing umgeht
      Windows-Sicherheitsbeschränkungen für Systemdateien-Access. Besonders
      geschätzt: robustes Bad-Sector-Handling, detaillierte Forensik-Logs und
      etablierte Chain-of-Custody-Procedures.
    url: https://www.exterro.com/digital-forensics-software/ftk-imager
    skillLevel: beginner
    domains:
      - static-investigations
      - incident-response
    phases:
      - data-collection
    platforms:
      - Windows
    tags:
      - gui
      - physical-copy
      - hashing
      - court-admissible
      - scenario:disk_imaging
      - ewf-support
      - memory-capture
      - preview-mode
      - bad-sector-handling
      - protected-folders
      - cli-available
      - triage
      - disk-imaging
      - forensic-imaging
      - evidence-acquisition
    related_concepts:
      - Hash Functions & Digital Signatures
      - Digital Evidence Chain of Custody
    related_software:
      - EnCase
      - X-Ways Forensics
    icon: 💾
    license: Proprietary
    accessType: download
  - name: YARA
    type: software
    description: >-
      Die Pattern-Matching-Engine ist der De-facto-Standard für Malware-
      Identifikation und Threat-Hunting. Rule-Syntax ermöglicht komplexe
      Signaturen: Strings, Hex-Patterns, Regular Expressions, Bedingungen. Die
      Community pflegt tausende Rules für bekannte Malware-Familien. Integration
      in Forensik-Tools macht es allgegenwärtig: Volatility für Memory-Scans,
      Cuckoo für Behavior-Matching, VirusTotal für Sample-Klassifikation.
      Modules erweitern für PE-Analyse, Krypto- Erkennung und Macho-Parsing. Die
      Condition-Syntax ermöglicht komplexe Logik: "any of ($a*) and filesize <
      200KB". Performance-Optimierung durch Aho-Corasick-Algorithmus.
      Python-Bindings für Automatisierung. YARA-Editor erleichtert
      Rule-Entwicklung. Die False-Positive-Rate erfordert sorgfältiges Tuning.
      Unverzichtbar für proaktive Threat-Detection und Incident-Response.
    domains:
      - incident-response
      - malware-analysis
    phases:
      - examination
      - analysis
    skillLevel: intermediate
    url: https://virustotal.github.io/yara/
    icon: 🎯
    platforms:
      - Windows
      - Linux
      - macOS
    accessType: download
    license: BSD-3-Clause
    knowledgebase: false
    tags:
      - cli
      - yara-scan
      - signature-analysis
      - regex-search
      - cross-platform
      - memory-signatures
      - pattern-matching
      - rule-based
      - module-support
      - python-bindings
      - community-rules
      - performance-optimized
    related_concepts:
      - Regular Expressions (Regex)
      - Hash Functions & Digital Signatures
    related_software:
      - Volatility 3
      - Cuckoo Sandbox 3
      - Loki
  - name: X-Ways Forensics
    type: software
    description: >-
      Forensik-Suite mit hochoptimierten Algorithmen für
      Multi-Terabyte-Image-Analyse und simultane Evidence-Verarbeitung mehrerer
      Datenträger parallel. Gallery-View mit Skin-Tone-Detection für
      CSAM-Ermittlungen, X-Tensions-Plugin-System automatisiert wiederkehrende
      Analysen und Custom-Workflows. Physical-Search durchsucht über
      Sektorgrenzen hinweg, Registry-Report-Generator extrahiert
      Windows-Artefakte strukturiert. Timeline-Engine mit
      Millisekunden-Präzision korreliert Events über alle Evidenzen. Hex-Editor
      zeigt Rohdaten parallel zur interpretierten Ansicht, Template-Support
      dekodiert proprietäre Dateiformate automatisch.
    url: https://www.x-ways.net/forensics/
    skillLevel: expert
    domains:
      - static-investigations
      - incident-response
      - fraud-investigation
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - gui
      - commercial
      - keyword-search
      - fast-scan
      - court-admissible
      - dongle-license
      - hex-editor
      - gallery-view
      - x-tensions
      - physical-search
      - registry-analysis
      - template-support
    related_concepts:
      - Digital Evidence Chain of Custody
    related_software:
      - WinHex
      - EnCase
      - FTK Imager
    icon: 🔬
    license: Proprietary
    accessType: commercial
  - name: Eric Zimmerman Tools
    type: software
    description: >-
      Windows-Artefakt-Spezialist-Suite von Eric Zimmerman dekodiert moderne
      Windows-10/11-Strukturen mit unübertroffener Präzision und Detail-Ebene.
      ShellBags Explorer rekonstruiert Folder-Access-History, PECmd parst
      Prefetch-Files für Application-Execution-Evidence, AmcacheParser
      identifiziert Software-Installation-Timestamps. Registry Explorer mit
      Advanced-Bookmarks und Live-System-Analysis-Capabilities für
      Running-System-Forensics. Timeline Explorer korreliert CSV-Output aller
      Tools in unified Super-Timeline mit Multi-Source-Event-Correlation.
      KAPE-Integration orchestriert Tool-Collection automatisch, ständige
      Updates für Windows-11-Features, Cloud-Artefakte (OneDrive, Teams) und
      Enterprise-Environments.
    url: https://ericzimmerman.github.io/
    skillLevel: intermediate
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - gui
      - artifact-parser
      - shellbags
      - prefetch-viewer
      - timeline
      - jumplist
      - registry-analysis
      - mft-parser
      - batch-processing
      - cloud-artifacts
      - community-driven
      - free-tools
      - scenario:windows-registry
      - scenario:persistence
      - artifact-extraction
      - windows-forensics
    related_concepts:
      - Digital Evidence Chain of Custody
    related_software:
      - KAPE
    icon: 🧰
    license: MIT
    accessType: download
  - name: Regular Expressions (Regex)
    type: concept
    description: >-
      Die universelle Mustererkennungssprache ermöglicht komplexe Textsuchen und
      Datenextraktion in der digitalen Forensik. Von einfachen Wildcards bis zu
      komplexen Capture-Groups: IP-Adressen (\d{1,3}\.){3}\d{1,3},
      E-Mail-Adressen, Kreditkarten, Bitcoin-Adressen. Essentiell für
      Log-Analyse, YARA-Rules, Grep-Searches und Data-Carving. Die Syntax
      variiert zwischen Tools (PCRE, Python, grep), aber Grundkonzepte sind
      universal. Quantifizierer (*, +, ?, {n,m}), Zeichenklassen ([a-z], \d,
      \w), Anchors (^, $), Lookarounds für kontextuelle Matches. Online-Tester
      wie regex101.com beschleunigen Entwicklung. Performance-Fallen bei
      komplexen Patterns beachten. Integration in alle Major-Forensik-Tools
      macht Regex-Kenntnisse unverzichtbar. Der Unterschied zwischen einem guten
      und großartigen Forensiker liegt oft in der Regex-Beherrschung.
    skillLevel: intermediate
    url: https://regexr.com/
    icon: 🔤
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
      - fraud-investigation
      - network-forensics
    phases:
      - examination
      - analysis
    tags:
      - regex-search
      - string-search
      - log-parser
      - automation-ready
      - pattern-matching
      - data-extraction
      - text-processing
      - capture-groups
      - lookarounds
      - performance-critical
    knowledgebase: true
  - name: SQL
    type: concept
    description: >-
      Die Structured Query Language ist das Rückgrat moderner Datenanalyse in
      der digitalen Forensik. SQLite-Datenbanken dominieren mobile Forensik:
      WhatsApp-Chats, Browser-History, App-Daten. Grundlegende Queries (SELECT,
      JOIN, WHERE) bis zu komplexen Analysen mit Window-Functions und CTEs.
      Forensik-spezifische Patterns: Timeline-Reconstruction mit ORDER BY
      timestamp, Kommunikations-Analyse mit SELF-JOINs, Anomalie- Erkennung mit
      GROUP BY/HAVING. Tools wie DB Browser for SQLite visualisieren Strukturen.
      Vorsicht bei WAL-Mode und gelöschten Records. Python-Integration (sqlite3)
      für Automatisierung. NoSQL- Grundlagen werden wichtiger (MongoDB in
      Malware). Die Fähigkeit, aus Rohdaten Erkenntnisse zu extrahieren, macht
      SQL zur Kernkompetenz. Unterschätzt aber unverzichtbar für moderne
      Ermittlungen.
    skillLevel: intermediate
    url: https://www.w3schools.com/sql/
    icon: 🗃️
    domains:
      - incident-response
      - static-investigations
      - fraud-investigation
      - mobile-forensics
      - cloud-forensics
    phases:
      - examination
      - analysis
    tags:
      - sqlite-viewer
      - correlation-engine
      - mobile-app-data
      - browser-history
      - data-extraction
      - timeline-queries
      - join-operations
      - aggregate-analysis
      - wal-analysis
      - python-integration
    knowledgebase: true
  - name: Hash Functions & Digital Signatures
    type: concept
    description: >-
      Kryptographische Hash-Funktionen und digitale Signaturen bilden das
      Fundament der digitalen Beweissicherung. MD5 (veraltet aber verbreitet),
      SHA-1, SHA-256/512 für Integritätsprüfung. Kollisionsresistenz
      gewährleistet Eindeutigkeit. Forensische Anwendungen: Datenträger-
      Verifizierung vor/nach Imaging, Deduplizierung mit Hash-Sets (NSRL),
      Known-Bad-Identifikation (Malware, CSAM). Rainbow-Tables für
      Passwort-Cracking. Fuzzy-Hashing (ssdeep) für Ähnlichkeitsanalyse.
      Digitale Signaturen authentifizieren Software und Dokumente.
      Certificate-Chain-Analyse bei APT-Investigations. Timestamping für
      Chain-of-Custody. Die Mathematik dahinter ist komplex, aber Anwendung ist
      essentiell. Tools berechnen automatisch, aber Verständnis der Prinzipien
      unterscheidet Profis von Amateuren. Blockchain als verteilte Hash-Kette
      revolutioniert Evidence-Management.
    skillLevel: advanced
    url: https://en.wikipedia.org/wiki/Cryptographic_hash_function
    icon: 🔐
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
      - mobile-forensics
      - cloud-forensics
    phases:
      - data-collection
      - examination
    tags:
      - hashing
      - integrity-check
      - chain-of-custody
      - standards-compliant
      - deduplication
      - known-bad-detection
      - fuzzy-hashing
      - digital-signatures
      - timestamping
      - blockchain-evidence
    knowledgebase: true
  - name: Digital Evidence Chain of Custody
    type: concept
    description: >-
      Die lückenlose Dokumentation digitaler Beweise von der Sicherstellung bis
      zur Gerichtsverhandlung. Kernprinzipien: Authentizität, Integrität,
      Nachvollziehbarkeit, Nicht-Abstreitbarkeit. Praktische Umsetzung durch
      Hash-Verifizierung, Write-Blocker, detaillierte Dokumentation aller
      Schritte. Formulare dokumentieren Wer/Was/Wann/Wo/Warum. Fotografische
      Dokumentation der Hardware. Versiegelte Beweismitteltaschen mit
      Tamper-Evidence. Digitale CoC durch Blockchain-Timestamping. ISO/IEC 27037
      als internationaler Standard. Gerichtliche Anforderungen variieren nach
      Jurisdiktion. Fehler in der CoC können zur Beweisverwerfung führen.
      Automatisierung durch LIMS (Laboratory Information Management Systems).
      Die CoC ist kein technisches sondern ein prozedurales Thema - oft
      unterschätzt aber entscheidend für erfolgreiche Verfahren.
    skillLevel: advanced
    url: >-
      https://www.unodc.org/e4j/en/cybercrime/module-6/key-issues/handling-of-digital-evidence.html
    icon: ⛓️
    domains:
      - incident-response
      - static-investigations
      - fraud-investigation
      - mobile-forensics
      - cloud-forensics
    phases:
      - data-collection
      - examination
      - analysis
      - reporting
    tags:
      - chain-of-custody
      - standards-compliant
      - court-admissible
      - audit-trail
      - documentation
      - hash-verification
      - tamper-evidence
      - iso-27037
      - legal-compliance
      - process-management
    knowledgebase: true
  - name: MSAB XRY
    type: software
    description: >-
      Mobile-Forensik-Suite mit Spezialisierung auf chinesische Smartphones und
      Hardware-Vielfalt durch regelmäßige Exploit-Updates alle 6-8 Wochen.
      Drone-Module extrahiert spezifische Flugdaten von DJI und Parrot-Geräten
      für Luftfahrt-Ermittlungen, XRY Camera identifiziert Device-Models aus
      Bildern automatisch. PIN-Code-Breaker-Hardware knackt 4-6 stellige
      Zugangscodes durch Brute-Force-Methoden physisch. XAMN-Elements analysiert
      Kommunikations-Verbindungen zwischen mehreren Geräten für komplexe
      Netzwerk-Forensik. Cloud-Extraction für 30+ Services, EU-basierte
      Alternative mit transparenterer Verkaufspolitik und GDPR-Compliance im
      Vergleich zu US-amerikanischen Konkurrenten.
    url: https://www.msab.com/product/xry-extract/
    skillLevel: beginner
    domains:
      - mobile-forensics
      - static-investigations
      - fraud-investigation
    phases:
      - data-collection
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - gui
      - commercial
      - mobile-app-data
      - physical-copy
      - decryption
      - court-admissible
      - drone-forensics
      - chinese-phones
      - pin-cracking
      - cloud-extraction
      - link-analysis
      - eu-based
    related_concepts:
      - SQL
      - Digital Evidence Chain of Custody
    related_software:
      - Cellebrite UFED
      - Oxygen Forensic Suite
      - Magnet AXIOM
    icon: 📱
    license: Proprietary
    accessType: download
  - name: OSFMount
    icon: 💿
    type: software
    description: >-
      Das kostenlose Windows-Tool mountet Forensik-Images als virtuelle
      Laufwerke für komfortable Analyse ohne Vollinstallation einer
      Forensik-Suite. Unterstützt RAW (dd), E01 (EnCase), AFF, VHD, VMDK und
      weitere Formate. Write-Cache-Modus schützt Original-Images vor
      Veränderung. RAM-Disk-Feature für Performance bei kleinen Images. Die
      Plugin-Architektur erweitert für exotische Formate. Besonders praktisch:
      Partition-Selection bei Multi-Partition-Images, automatische
      Offset-Erkennung, Unterstützung für Disk- und Memory-Images. Der
      Image-Conversion-Wizard wandelt zwischen Formaten. Integration mit Windows
      Explorer für gewohnte Navigation. Mounting von Volume Shadow Copies. Die
      Freeware-Lizenz macht es zur ersten Wahl für Budget- bewusste Teams.
      Limitiert bei verschlüsselten Images, glänzt bei Standard-Aufgaben.
      Perfekt für schnelle Triage oder wenn kommerzielle Tools nicht verfügbar
      sind.
    domains:
      - incident-response
      - static-investigations
    phases:
      - examination
    platforms:
      - Windows
    related_software:
      - FTK Imager
    skillLevel: beginner
    accessType: download
    url: https://www.osforensics.com/tools/mount-disk-images.html
    license: Proprietary
    knowledgebase: false
    tags:
      - gui
      - virtual-machine
      - ewf-support
      - raw-image-support
      - write-blocker
      - triage
      - format-conversion
      - vss-support
      - partition-selection
      - ram-disk
      - explorer-integration
      - free-tool
    related_concepts:
      - Digital Evidence Chain of Custody
  - name: Live Memory Acquisition Procedure
    icon: 🧠
    type: method
    description: >-
      Die forensisch korrekte Sicherung des Arbeitsspeichers laufender Systeme
      erfordert systematisches Vorgehen zur Minimierung der
      Artefakt-Kontamination. Kritische Entscheidung: Priorisierung flüchtiger
      Beweise vs. System-Stabilität. Tool-Auswahl nach OS: WinPmem (Windows),
      LiME (Linux), osxpmem (macOS). Vorbereitung: Tool auf externem Medium,
      Admin-Rechte sichern, Ziel-Storage mit ausreichend Platz. Durchführung:
      Dokumentation des System-Zustands, Tool-Ausführung mit minimalen Befehlen,
      Hash-Generierung sofort. Besondere Herausforderungen:
      Kernel-Schutz-Mechanismen (PatchGuard, Secure Boot),
      Anti-Forensik-Malware, Virtualisierte Umgebungen. Die ersten Sekunden
      kontaminieren unweigerlich - Transparenz in der Dokumentation essentiell.
      Post-Akquisition: Volatility-Profil erstellen, Timeline der Sammlung,
      Vergleich mit Disk-Artefakten. Der Unterschied zwischen verwertbaren und
      wertlosen Memory-Dumps liegt oft in der Methodik.
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
    phases:
      - data-collection
    related_software:
      - WinPmem
      - LiME
      - Volatility 3
    skillLevel: advanced
    url: >-
      https://www.nist.gov/publications/guide-integrating-forensic-techniques-incident-response
    knowledgebase: false
    tags:
      - live-acquisition
      - scenario:memory_dump
      - chain-of-custody
      - standards-compliant
      - contamination-aware
      - tool-selection
      - kernel-protection
      - anti-forensics
      - documentation-critical
      - volatility-compatible
    related_concepts:
      - Digital Evidence Chain of Custody
  - name: Android Logical Imaging
    icon: 📱
    type: method
    description: >-
      Die forensische Datenextraktion von Android-Geräten ohne Rooting oder
      Exploits - ideal für Legacy-Geräte und BYOD-Szenarien. Nutzt ADB (Android
      Debug Bridge) für autorisierten Zugriff. Vorbereitung: USB-Debugging
      aktivieren, ADB-Autorisierung, OEM-spezifische Tricks (Samsung Smart
      Switch, LG Mobile Switch). Extraktion: ADB backup für App-Daten,
      Pull-Befehle für zugängliche Bereiche (/sdcard, /data/media), Content
      Provider Queries für Kontakte/SMS. Parsing: Android Backup Extractor für
      .ab-Files, SQLite-Analyse der Datenbanken, XML-Auswertung der Preferences.
      Limitierungen: Keine System-Apps, verschlüsselte Bereiche unzugänglich,
      neuere Android-Versionen (12+) stark eingeschränkt. Spezial-Techniken:
      Downgrade-Attacks, Sideloading forensischer Apps, Screen-Recording für
      UI-basierte Extraktion. Der Sweet-Spot: Android 4-8 Geräte mit schwachen
      Sicherheitsmechanismen. Dokumentation der Berechtigungen und
      Nutzer-Autorisierung für Gerichtsverwertbarkeit essentiell.
    domains:
      - mobile-forensics
      - static-investigations
    phases:
      - data-collection
    related_software:
      - Android Studio
      - ADB
      - ALEAPP
      - Android Backup Extractor
    skillLevel: advanced
    url: https://www.scirp.org/journal/paperinformation?paperid=132631
    knowledgebase: true
    tags:
      - cli
      - logical-copy
      - mobile-app-data
      - triage
      - adb-based
      - legacy-devices
      - content-providers
      - backup-extraction
      - permission-based
      - court-considerations
    related_concepts:
      - SQL
      - Digital Evidence Chain of Custody
  - name: ALEAPP
    icon: 📱
    type: software
    description: >-
      Android Logs Events And Protobuf Parser automatisiert die Extraktion
      forensischer Artefakte aus Android-Geräten. Parst über 200 App-Datenbanken
      und System-Logs in übersichtliche HTML-Reports. Von WhatsApp-Chats über
      Google-Maps-Timeline bis zu gelöschten SQLite-Records - ALEAPP findet
      versteckte Beweise. Die Timeline-Funktion korreliert Aktivitäten über alle
      Apps. Besonders wertvoll: Protobuf-Dekodierung für moderne Apps, Analyse
      von Well-Being-Daten, Batteriestatistiken für Aktivitätsmuster.
      Unterstützt physische Dumps, logische Extractions und sogar Teilbackups.
      Die Plugin-Architektur erlaubt Erweiterungen für neue Apps. Ständige
      Updates durch die aktive Community halten mit Android-Entwicklungen
      Schritt. Der generierte Report ist gerichtsfest strukturiert mit
      Quellenangaben zu jedem Artefakt. Integration mit iLEAPP und VLEAPP für
      Cross-Device-Analysen.
    domains:
      - incident-response
      - static-investigations
      - mobile-forensics
      - fraud-investigation
    phases:
      - examination
      - analysis
    platforms:
      - Windows
      - Linux
      - macOS
    related_software:
      - iLEAPP
      - VLEAPP
      - Autopsy
    skillLevel: intermediate
    accessType: download
    url: https://github.com/abrignoni/ALEAPP
    license: MIT
    knowledgebase: false
    tags:
      - cli
      - mobile-app-data
      - artifact-parser
      - timeline
      - html-export
      - sqlite-viewer
      - protobuf-parser
      - whatsapp-analysis
      - google-artifacts
      - battery-stats
      - well-being-data
      - cross-platform
      - artifact-extraction
      - mobile-analysis
    related_concepts:
      - SQL
  - name: iLEAPP
    icon: 🍎
    type: software
    description: >-
      iOS Logs, Events, And Plists Parser extrahiert forensische Schätze aus
      iPhone-Backups und physischen Dumps. Über 350 Artefakt-Parser dekodieren
      iOS-Geheimnisse: gelöschte iMessages, Safari-History, Screen-Time-Daten,
      AirDrop-Transfers. Die KnowledgeC-Analyse rekonstruiert App-Nutzungsmuster
      minutengenau. Besonders mächtig: Parsing von Unified Logs für
      System-Events, Health-Daten-Extraktion, Significant-Locations mit
      Karten-Visualisierung. Die HTML-Reports sind durchsuchbar und gerichtsfest
      aufbereitet. Neue Features: iOS 17 Support, Live-Photos-Metadaten,
      Apple-Pay-Transaktionen. Die ständigen Updates halten mit Apples
      Verschleierungstaktiken Schritt. PowerLog-Parser zeigt Batterie-Events für
      Aktivitätsanalyse. Die modulare Architektur erlaubt Custom-Parser für
      proprietäre Apps. Cross-Referenzierung mit macOS-Artefakten über
      Continuity. Ein Muss für jeden iOS-Forensiker.
    domains:
      - incident-response
      - static-investigations
      - mobile-forensics
      - fraud-investigation
    phases:
      - examination
      - analysis
    platforms:
      - Windows
      - Linux
      - macOS
    related_software:
      - ALEAPP
      - VLEAPP
      - Cellebrite UFED
    skillLevel: intermediate
    accessType: download
    url: https://github.com/abrignoni/iLEAPP
    license: MIT
    knowledgebase: false
    tags:
      - cli
      - mobile-app-data
      - artifact-parser
      - timeline
      - html-export
      - deleted-file-recovery
      - knowledgec-parser
      - unified-logs
      - health-data
      - screen-time
      - imessage-recovery
      - ios-forensics
    related_concepts:
      - SQL
  - name: VLEAPP
    icon: 🚗
    type: software
    description: >-
      Vehicle Logs, Events, And Properties Parser erschließt die digitale
      Blackbox moderner Fahrzeuge. Extrahiert Daten aus Infotainment-Systemen,
      Telematik- Modulen und verbundenen Smartphones. CAN-Bus-Logs enthüllen
      Geschwindigkeit, Bremsverhalten, Airbag-Events für Unfallrekonstruktion.
      Die GPS-Timeline zeigt Routen mit Stopps und Fahrtzeiten. Besonders
      wertvoll: Bluetooth- Verbindungsprotokolle identifizieren Fahrer,
      CarPlay/Android-Auto-Daten, gespeicherte WLAN-Hotspots. Unterstützt Tesla,
      BMW, Mercedes, VW-Gruppe und erweitert ständig. Die
      Kontaktlisten-Extraktion findet synchronisierte Telefonbücher.
      USB-Historie zeigt angeschlossene Geräte. Event-Data-Recorder parsing für
      Crash-Forensik. Die HTML-Reports visualisieren Bewegungsprofile auf
      Karten. Unersetzlich für Unfälle, Diebstähle und Alibis. Die wachsende
      Fahrzeug-Forensik-Community teilt Parser für neue Modelle.
    domains:
      - static-investigations
      - ics-forensics
      - fraud-investigation
    phases:
      - examination
      - analysis
    platforms:
      - Windows
      - Linux
      - macOS
    related_software:
      - ALEAPP
      - iLEAPP
    skillLevel: intermediate
    accessType: download
    url: https://github.com/abrignoni/VLEAPP
    license: MIT
    knowledgebase: false
    tags:
      - cli
      - artifact-parser
      - geolocation
      - timeline
      - html-export
      - system-metadata
      - vehicle-forensics
      - can-bus-data
      - infotainment
      - crash-data
      - bluetooth-connections
      - gps-tracking
  - name: dd
    type: software
    description: >-
      Unix-Standard für bit-genaue Datenträger-Kopien seit 1974 mit absolut
      minimalistischem System-Footprint für kontaminationsfreie Akquisition.
      Wichtigste forensische Parameter: conv=noerror,sync für graceful
      Bad-Sector-Handling, bs=4M für optimale I/O-Performance, status=progress
      für Fortschrittsanzeige. Pipe-Capability zu Hash-Tools ermöglicht
      simultane Verifizierung ohne Intermediate-Storage. Funktioniert auf jedem
      Unix-System ohne Installation oder Dependencies. Zero-Kontamination durch
      Pure-Read-Access ohne Metadata-Modifikation. Network-Imaging via netcat
      für Remote-Acquisition über SSH-Tunnels. Split-Output für FAT32-Limits,
      Signal-Handling für graceful Interruption und Resume-Capability.
    url: https://www.gnu.org/software/coreutils/dd
    skillLevel: intermediate
    domains:
      - incident-response
      - static-investigations
    phases:
      - data-collection
    platforms:
      - Linux
      - macOS
    tags:
      - cli
      - physical-copy
      - raw-image-support
      - scenario:disk_imaging
      - zero-footprint
      - offline-mode
      - bit-for-bit
      - pipe-capable
      - network-imaging
      - unix-standard
      - minimal-contamination
      - performance-tuning
      - disk-imaging
      - bit-copy
    related_concepts:
      - Digital Evidence Chain of Custody
    related_software:
      - dcfldd
      - dc3dd
      - ewfacquire
    icon: 💾
    license: GPL-3.0
  - name: dcfldd
    type: software
    description: >-
      Defense Computer Forensics Lab DD erweitert klassisches dd um essenzielle
      forensische Features für professionelle Imaging-Workflows. Simultane
      Multi-Hash-Berechnung (MD5, SHA1, SHA256) während des Imaging-Prozesses
      ohne Performance-Einbußen oder zusätzliche Passes. Split-on-the-fly für
      Multi-Volume-Archives ohne Zwischenspeicherung, Pattern-Wiping für DoD
      5220.22-M-konforme sichere Löschung. Status-Output zeigt
      Transfer-Geschwindigkeit, verbleibende Zeit und ETA-Berechnung.
      Block-Level-Hashing ermöglicht granulare Integritätsprüfung einzelner
      Disk-Sektoren für Partial-Corruption-Detection. Verify-Funktion prüft
      geschriebene Daten sofort durch Read-Back-Verification.
    url: https://github.com/resurrecting-open-source-projects/dcfldd
    skillLevel: intermediate
    domains:
      - incident-response
      - static-investigations
    phases:
      - data-collection
    platforms:
      - Linux
    tags:
      - cli
      - physical-copy
      - hashing
      - scenario:disk_imaging
      - compression
      - integrity-check
      - split-output
      - status-display
      - pattern-wipe
      - verify-mode
      - block-hashing
      - progress-reporting
    related_concepts:
      - Hash Functions & Digital Signatures
      - Digital Evidence Chain of Custody
    related_software:
      - dd
      - dc3dd
      - FTK Imager
    icon: 🔐
    license: GPL-2.0
    accessType: download
  - name: ewfacquire
    type: software
    description: >-
      Command-line Imaging-Tool aus der libewf-Bibliothek erstellt forensische
      Images im industry-standard Expert Witness Format (E01/Ex01) mit
      vollständiger Metadata-Preservation. Generiert segmentierte Archive mit
      simultaner MD5/SHA1-Hash-Verifizierung und optionaler
      zlib/bzip2-Kompression für Storage-Optimization. Besonders wertvoll für
      Linux-basierte Imaging-Workflows ohne GUI-Overhead und Memory-intensive
      Operations. Unterstützt umfassende Case-Metadaten: Examiner-Informationen,
      Case-Notizen, Evidence-Description und Chain-of-Custody-Documentation.
      Error-Granularity für defekte Sektoren mit detailliertem
      Bad-Block-Logging. Cross-Platform-Alternative zu proprietären
      Windows-Tools für Open-Source-Forensik-Laboratorien.
    url: https://github.com/libyal/libewf
    skillLevel: intermediate
    domains:
      - incident-response
      - static-investigations
    phases:
      - data-collection
    platforms:
      - Linux
      - macOS
    tags:
      - cli
      - physical-copy
      - ewf-support
      - compression
      - chain-of-custody
      - scenario:disk_imaging
      - error-handling
      - segment-files
      - metadata-storage
      - hash-verification
      - resume-capability
      - cross-tool-compatible
    related_concepts:
      - Hash Functions & Digital Signatures
      - Digital Evidence Chain of Custody
    related_software:
      - FTK Imager
      - EnCase
      - dd
    icon: 💾
    license: LGPL-3.0
    accessType: download
  - name: Guymager
    type: software
    description: >-
      Linux-Imaging-Tool maximiert Performance durch intelligentes
      Multi-Threading und optimierte I/O-Operationen für schnelle
      Disk-Acquisition. Qt-basierte GUI macht forensisches Imaging auch für
      Linux-Neulinge zugänglich ohne Command-Line-Expertise. Gleichzeitiges
      Schreiben mehrerer Output-Formate (RAW + EWF) ohne Performance-Verlust
      durch parallele Writer-Threads. FIFO-Ring-Buffer-Architektur ermöglicht
      Pipe-Operationen für Network-Imaging über SSH oder netcat. Automatische
      Bad-Block-Erkennung mit detailliertem Sector-Error-Logging,
      HPA/DCO-Detection warnt vor versteckten Disk-Bereichen.
      USB-Write-Blocker-Support für Hardware-Level-Protection, Resume-Capability
      für unterbrochene Long-Running-Images.
    url: https://guymager.sourceforge.io/
    skillLevel: novice
    domains:
      - incident-response
      - static-investigations
    phases:
      - data-collection
    platforms:
      - Linux
    tags:
      - gui
      - physical-copy
      - multithreaded
      - hashing
      - scenario:file_recovery
      - ewf-support
      - performance-optimized
      - bad-sector-handling
      - hpa-dco-detection
      - simultaneous-output
      - progress-estimation
      - low-resource
    related_concepts:
      - Hash Functions & Digital Signatures
      - Digital Evidence Chain of Custody
    related_software:
      - FTK Imager
      - dc3dd
      - ddrescue
    icon: 💿
    license: GPL-2.0
    accessType: download
  - name: Fuji
    icon: 🗻
    type: software
    description: >-
      Das clevere macOS-Tool umgeht Apples restriktive Sicherheitsmechanismen
      für forensisch saubere Datenträger-Akquisition. Nutzt undokumentierte APIs
      für Raw-Device-Zugriff ohne Kernel-Extensions. Besonders wertvoll seit
      macOS Big Sur mit verstärktem System Integrity Protection (SIP). Die
      Target-Disk-Mode-Alternative für moderne Macs ohne Firewire. Unterstützt
      APFS-Container-Imaging inklusive verschlüsselter Volumes (mit Passwort).
      Live-Imaging von System-Volumes ohne Reboot möglich. Die minimale
      Footprint kontaminiert das Zielsystem kaum. Besonders clever: Umgehung der
      Read-Only-System-Volume-Beschränkungen. Hash-Verifizierung integriert für
      forensische Standards. Die Active-Development durch macOS-Forensik-
      Community garantiert Updates für neue OS-Versionen. Perfekt für Incident
      Response auf Macs ohne teure kommerzielle Tools. Die Kommandozeile
      ermöglicht Scripting für Massenakquisitionen.
    domains:
      - incident-response
      - static-investigations
    phases:
      - data-collection
    platforms:
      - macOS
    related_software:
      - dd
      - FTK Imager
    skillLevel: intermediate
    accessType: download
    url: https://github.com/Lazza/Fuji
    license: GPL-3.0
    knowledgebase: false
    tags:
      - cli
      - live-acquisition
      - physical-copy
      - apfs
      - scenario:disk_imaging
      - zero-footprint
      - sip-bypass
      - encrypted-volume
      - container-imaging
      - minimal-contamination
      - scripting-capable
      - macos-specific
    related_concepts:
      - Digital Evidence Chain of Custody
  - name: Rapid Incident Response Triage on macOS
    icon: 🚨
    type: method
    description: >-
      Spezialisierte Methodik für schnelle forensische Triage auf macOS-Systemen
      optimiert für Enterprise-Incident-Response. Priorisiert flüchtige
      Artefakte und kritische Indicators of Compromise (IOCs) für Entscheidungen
      in unter 60 Minuten. Sammlung ohne Full-Disk-Imaging: Prozesslisten,
      Netzwerk- verbindungen, LaunchAgents/Daemons, Quarantine-Events,
      TCC-Datenbank. Besondere macOS-Artefakte: Unified Logs, FSEvents,
      Spotlight-Metadaten, XProtect-Detections. Tools wie Aftermath oder osquery
      automatisieren Datensammlung. Die Methodik adressiert macOS-spezifische
      Herausforderungen: SIP, Gatekeeper, Code-Signing-Verifizierung.
      Timeline-Erstellung aus ASL/ULS für Ereigniskorrelation. Besonders
      wertvoll für MDM-verwaltete Flotten mit hunderten Macs. Die Dokumentation
      für Remote-Collection via SSH/ARD. Post-Triage-Entscheidung:
      Full-Forensics oder Neuinstallation. Anpassbar für verschiedene
      Bedrohungsszenarien von Malware bis Insider-Threats.
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
    phases:
      - data-collection
      - examination
    related_software:
      - Aftermath
      - osquery
      - Fuji
    skillLevel: intermediate
    url: >-
      https://www.sans.org/white-papers/rapid-incident-response-on-macos-actionable-insights-under-hour/
    tags:
      - triage
      - fast-scan
      - apfs
      - selective-imaging
      - macos-artifacts
      - unified-logs
      - launch-agents
      - quarantine-events
      - remote-collection
      - mdm-compatible
      - timeline-focused
      - sip-aware
    related_concepts:
      - Digital Evidence Chain of Custody
  - name: Aftermath
    icon: 🎯
    type: software
    description: >-
      Jamfs Open-Source-Juwel für macOS-Forensik sammelt systematisch Artefakte
      ohne Full-System-Image. Optimiert für Incident-Response mit minimalem
      System-Impact. Extrahiert kritische Daten: laufende Prozesse, Netzwerk-
      verbindungen, installierte Software, Persistence-Mechanismen. Besonders
      wertvoll: Unified-Log-Parser für System-Events, Browser-Artefakte aller
      Major-Browser, Quick-Look-Thumbnails, FSEvents für Dateiaktivitäten. Die
      modulare Architektur erlaubt selektive Sammlung. Output in strukturierten
      JSON/CSV für einfache Analyse. Zeitstempel-Normalisierung für
      Timeline-Erstellung. Unterstützt moderne macOS-Security-Features:
      TCC-Permissions, Code-Signing-Status, XProtect-Matches. Die Remote-
      Collection via MDM/SSH skaliert auf Unternehmensflotten. Besonders clever:
      Sammlung von Cloud-Synchronisations-Artefakten (iCloud, Dropbox).
      Regelmäßige Updates für neue macOS-Versionen. Die Alternative zu teuren
      kommerziellen Mac-Forensik-Suiten.
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
    phases:
      - data-collection
      - examination
    platforms:
      - macOS
    related_software:
      - osquery
      - KAPE
    skillLevel: intermediate
    accessType: download
    url: https://github.com/jamf/aftermath/
    license: Apache-2.0
    knowledgebase: false
    tags:
      - cli
      - triage
      - system-metadata
      - apfs
      - time-normalization
      - structured-output
      - unified-log-parser
      - browser-artifacts
      - persistence-checks
      - tcc-analysis
      - remote-capable
      - json-export
    related_concepts:
      - Digital Evidence Chain of Custody
  - name: RegRipper
    type: software
    description: >-
      Windows-Registry-Analyse-Framework mit über 300 spezialisierten Plugins
      für automatisierte Artefakt-Extraktion: USB-Device-Historie, installierte
      Software-Timestamps, User-Login-Activity, Malware-Persistence-Mechanisms.
      Profile-System gruppiert Plugins systematisch nach Untersuchungstyp:
      Malware-Detection, User-Activity-Reconstruction,
      Network-Configuration-Analysis. Timeline-Plugins generieren chronologische
      Registry-Change-Sequences, automatische Korrelation zwischen verschiedenen
      Hive-Files. Plugin-Dokumentation erklärt forensische Relevanz und
      Interpretation jedes extrahierten Artefakts detailliert. Active-Community
      teilt kontinuierlich neue Plugins für emerging Threats und aktuelle
      Windows-Versionen.
    url: https://github.com/keydet89/RegRipper3.0
    skillLevel: intermediate
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
    phases:
      - examination
      - analysis
    platforms:
      - Windows
      - Linux
    tags:
      - cli
      - registry-hives
      - plugin-support
      - scenario:windows-registry
      - usb-history
      - artifact-parser
      - timeline-analysis
      - malware-detection
      - user-activity
      - batch-processing
      - profile-based
      - community-plugins
      - scenario:persistence
    related_concepts:
      - Digital Evidence Chain of Custody
    related_software:
      - Eric Zimmerman Tools
    icon: 🔑
    license: MIT
    accessType: download
  - name: Strings
    type: software
    description: >-
      Extrahiert lesbare Textfragmente aus Binärdateien für initiale
      Malware-Analyse und Artefakt-Triage ohne aufwändige
      Reverse-Engineering-Tools. Findet Command-and-Control-URLs, hardcodierte
      Passwörter, Dateipfade und Debug-Nachrichten in verschleierten oder
      gepackten Malware-Samples. Unicode-Unterstützung für internationale
      Zeichensätze, Offset-Anzeige ermöglicht Hex-Editor-Korrelation.
      Pipe-Integration mit grep und awk für erweiterte Mustersuche.
      Unverzichtbar für Quick-Wins bei kryptischen Binärdateien.
    url: https://docs.microsoft.com/en-us/sysinternals/downloads/strings
    skillLevel: novice
    domains:
      - incident-response
      - malware-analysis
      - static-investigations
    phases:
      - examination
    platforms:
      - Windows
      - Linux
      - macOS
    tags:
      - cli
      - string-search
      - binary-decode
      - triage
      - cross-platform
      - fast-scan
      - unicode-support
      - pattern-extraction
      - malware-triage
      - c2-discovery
      - password-finding
      - pipe-friendly
    related_concepts:
      - Regular Expressions (Regex)
    icon: 🔤
    license: Proprietary/GPL
  - name: PhotoRec
    type: software
    description: >-
      Signature-Based File-Carving-Tool rekonstruiert gelöschte Files durch
      Header/Footer-Pattern-Matching unabhängig vom Dateisystem-Zustand oder
      Partition-Table-Corruption. Unterstützt über 300 File-Formats: Images
      (JPEG, PNG, TIFF), Documents (PDF, DOC, XLS), Archives (ZIP, RAR), Videos
      (AVI, MP4) und Custom-Signatures. Read-Only-Operation gewährleistet
      forensische Evidence-Integrity, funktioniert bei beschädigten,
      formatierten oder korrupten Dateisystemen. Paranoid-Mode scannt jeden
      einzelnen Sektor für Maximum-Recovery-Rate bei fragmentierten Files.
      Konfigurierbare File-Extensions und Custom-Signature-Development für
      proprietäre Formats. Companion-Software TestDisk repariert
      Partition-Tables und Boot-Sectors für Filesystem-Recovery-Scenarios.
    url: https://www.cgsecurity.org/wiki/PhotoRec
    skillLevel: beginner
    domains:
      - incident-response
      - static-investigations
      - fraud-investigation
    phases:
      - examination
    platforms:
      - Windows
      - Linux
      - macOS
    tags:
      - gui
      - file-carving
      - deleted-file-recovery
      - scenario:file_recovery
      - signature-analysis
      - cross-platform
      - filesystem-agnostic
      - multimedia-recovery
      - partition-recovery
      - read-only-mode
      - batch-capable
      - custom-signatures
    related_concepts:
      - Digital Evidence Chain of Custody
    icon: 📸
    license: GPL-2.0
    accessType: download
  - name: Thumbcache Viewer
    type: software
    description: >-
      Windows-Thumbnail-Cache-Analysis-Tool extrahiert Miniaturansichten aller
      betrachteten Images aus versteckten thumbcache_*.db-Dateien für
      Deleted-Content-Recovery. Beweist unwiderlegbar Image-Presence auf System
      auch nach Original-File-Deletion durch Thumbnail-Persistence in
      Cache-Database. Multiple-Resolution-Support (32, 96, 256, 1024 Pixel)
      zeigt verschiedene Detail-Levels und Access-Patterns.
      EXIF-Metadata-Preservation in Thumbnails ermöglicht GPS-Location-Recovery
      und Camera-Identification. Timestamp-Analysis rekonstruiert
      Image-Viewing-Timeline und User-Activity-Patterns. Batch-Processing-Mode
      für Multiple-Cache-Files, Hash-Export für CSAM-Database-Matching und
      Content-Correlation. HTML-Report-Generation für Court-Presentation mit
      Embedded-Thumbnails und Forensic-Metadata-Tables.
    url: https://thumbcacheviewer.github.io/
    skillLevel: beginner
    domains:
      - static-investigations
      - fraud-investigation
      - incident-response
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - gui
      - deleted-file-recovery
      - metadata-parser
      - triage
      - system-metadata
      - thumbnail-analysis
      - exif-extraction
      - csam-investigation
      - timeline-creation
      - batch-processing
      - html-reporting
      - hash-export
    related_concepts:
      - Digital Evidence Chain of Custody
    icon: 🖼️
    license: GPL-3.0
    accessType: download
  - name: MaxMind GeoIP
    type: software
    description: >-
      Die Geolocation-Datenbank-Lösung übersetzt IP-Adressen in geografische
      Standorte für Threat-Intelligence und Incident-Attribution. GeoLite2
      (kostenlos) bietet Stadt-Level-Genauigkeit für die meisten IPs weltweit.
      Die kommerzielle GeoIP2 erhöht Präzision und fügt ISP/Organisation-Daten
      hinzu. Besonders wertvoll: VPN/Proxy-Erkennung identifiziert verschleierte
      Verbindungen, Anonymous-IP-Datenbank für Tor/Hosting-Provider, Accuracy-
      Radius zeigt Konfidenz. Die wöchentlichen Updates halten mit
      IP-Allokationen Schritt. APIs für alle Major-Programmiersprachen
      ermöglichen Integration in Forensik-Workflows. Bulk-Processing für
      Log-Analyse. Die historischen Datenbanken ermöglichen Geolocation zum
      Tatzeitpunkt. GDPR-konform durch Verzicht auf Tracking. Der Offline-Modus
      schützt sensible Ermittlungsdaten. Integration in Splunk, ELK, und andere
      SIEMs. Die Genauigkeit variiert nach Region - Europa/USA präziser als
      Entwicklungsländer. Standard für Geo-Attribution in der Forensik.
    domains:
      - incident-response
      - fraud-investigation
      - network-forensics
    phases:
      - analysis
    skillLevel: beginner
    url: https://www.maxmind.com/
    icon: 🌍
    platforms:
      - Windows
      - Linux
      - macOS
    accessType: download
    license: GeoLite2 EULA / Commercial
    knowledgebase: false
    tags:
      - api
      - geolocation
      - data-enrichment
      - cross-platform
      - automation-ready
      - offline-mode
      - vpn-detection
      - proxy-identification
      - bulk-processing
      - accuracy-metrics
      - historical-data
      - gdpr-compliant
  - name: SIFT Workstation
    type: software
    description: >-
      SANS Investigative Forensic Toolkit vereint über 500 kurierte
      Open-Source-Tools in optimierter Ubuntu-Distribution für professionelle
      DFIR-Teams. Vorinstalliert und konfiguriert: Autopsy für Disk-Analysis,
      Volatility für Memory-Forensik, Plaso für Timeline-Generation,
      Registry-Tools für Windows-Artefakte. DFIR-Menüstruktur gruppiert Tools
      logisch nach Untersuchungsphasen und Use-Cases. mount-image-pro
      automatisiert Evidence-Mounting mit Write-Protection, SIFT-CLI verwaltet
      Tool-Updates zentral. REMnux-Integration für nahtlose
      Malware-Analyse-Workflows, kostenlose Workbooks und Cheat-Sheets führen
      durch typische Untersuchungsszenarien. VM-Images und WSL2-Support für
      flexible Deployment-Optionen.
    url: https://www.sans.org/tools/sift-workstation/
    skillLevel: intermediate
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
      - network-forensics
      - mobile-forensics
    platforms:
      - OS
    tags:
      - gui
      - cli
      - cross-platform
      - write-blocker
      - live-acquisition
      - signature-updates
      - tool-collection
      - documentation-rich
      - training-focused
      - vm-ready
      - wsl2-compatible
      - community-maintained
    related_software:
      - REMnux
      - CAINE
      - Kali Linux
    icon: 🧰
    license: Free / Mixed
    accessType: download
  - name: Tsurugi Linux
    type: software
    description: >-
      Spezialisierte Forensik-Distribution kombiniert Mobile- und
      Malware-Analyse-Tools mit einzigartigen Hardware-Integration-Features für
      professionelle Ermittlungen. Integrierter Hardware-Write-Blocker
      verhindert Evidence-Kontamination automatisch, Bento-Menü organisiert
      Tools nach japanischer Effizienz-Philosophie systematisch.
      Android-Forensik-Suite mit ADB-Automatisierung und Root-Detection,
      iOS-Backup-Analyzer mit Keychain-Extraktion, umfangreiche Malware-Sandbox
      für Dynamic-Analysis. Performance-Kernel speziell für Forensik-Hardware
      optimiert, 64-Bit-Only-Architektur nutzt modernen RAM voll aus.
      Stealth-Mode deaktiviert alle Netzwerk-Interfaces, Unterstützung
      asiatischer Zeichensätze für internationale Ermittlungen.
    url: https://tsurugi-linux.org/
    skillLevel: intermediate
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
      - mobile-forensics
    platforms:
      - OS
    tags:
      - gui
      - write-blocker
      - live-acquisition
      - triage
      - forensic-snapshots
      - selective-imaging
      - mobile-focused
      - malware-sandbox
      - asian-language
      - hardware-writeblock
      - performance-kernel
      - stealth-mode
    related_software:
      - CAINE
      - Kali Linux
    icon: ⛩️
    license: GPL / Mixed
    accessType: download
  - name: Parrot Security OS
    type: software
    description: >-
      Privacy-fokussierte Forensik-Distribution mit eingebautem
      Anonymisierungs-Framework für verdeckte Ermittlungen und
      Undercover-Operations. AnonSurf routet kompletten Traffic durch
      Tor-Netzwerk mit DNS-Leak-Protection, AppArmor-Mandatory-Access-Control
      härtet System gegen Exploits und Malware. Rolling-Release-Model hält 600+
      Tools kontinuierlich aktuell ohne komplette Neuinstallation.
      Ressourcenschonender MATE-Desktop läuft flüssig auf älteren
      Forensik-Laptops und Field-Equipment. Docker-Support für sichere
      Tool-Isolation und Malware-Sandboxing, ARM-Versionen für Raspberry Pi und
      Mobile-Forensik-Einsätze. Live-Boot mit Encrypted-Persistence für sichere
      Feldarbeit.
    url: https://parrotsec.org/
    skillLevel: intermediate
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
      - network-forensics
    platforms:
      - OS
    tags:
      - gui
      - cli
      - live-acquisition
      - encrypted-traffic
      - secure-sharing
      - anonymous-analysis
      - privacy-focused
      - tor-integration
      - rolling-release
      - lightweight
      - arm-support
      - docker-ready
    related_software:
      - Kali Linux
    icon: 🦜
    license: GPL-3.0
    accessType: download
  - name: LibreOffice
    type: software
    description: >-
      Analysiert umfangreiche Ermittlungsdaten durch leistungsstarke
      Pivot-Tabellen und Filteroptionen für forensische Auswertungen.
      Verarbeitet CSV-Logs, Datenbank-Exporte und Timeline-Daten für komplexe
      Korrelationsanalysen. Calc erstellt aussagekräftige Diagramme aus
      Beweismitteln, Writer generiert gerichtsfeste Berichte mit strukturiertem
      Inhaltsverzeichnis. Importiert beschädigte oder proprietäre Dateiformate,
      die kommerzielle Office-Pakete ablehnen. Makro-Sprache automatisiert
      wiederkehrende Analysen.
    url: https://www.libreoffice.org/
    skillLevel: novice
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
      - fraud-investigation
      - network-forensics
      - mobile-forensics
      - cloud-forensics
      - ics-forensics
    phases:
      - examination
      - analysis
      - reporting
    platforms:
      - Windows
      - Linux
      - macOS
    tags:
      - gui
      - reporting
      - csv-export
      - cross-platform
      - macro-automation
      - visualization
      - document-analysis
      - metadata-viewer
      - portable-version
      - format-converter
      - pdf-creation
      - free-alternative
    related_software:
      - Microsoft Office 365
    icon: 📄
    license: Mozilla Public License Version 2.0
    accessType: download
  - name: Microsoft Office 365
    type: software
    description: >-
      Transformiert forensische Massendaten durch Power Query in strukturierte
      Analysen für umfangreiche Ermittlungen. Power Pivot verarbeitet Millionen
      von Log-Einträgen, Excel-Makros automatisieren wiederkehrende
      Auswertungen. Kollaborationsfunktionen ermöglichen Echtzeit-Teamarbeit bei
      komplexen Fällen, Cloud-Speicher sichert große Beweissammlungen. Advanced
      eDiscovery für Compliance-Untersuchungen, OneNote strukturiert Screenshots
      und Notizen. KI-gestützte Editorfunktionen verbessern Berichtsqualität.
    url: https://www.office.com/
    skillLevel: novice
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
      - fraud-investigation
      - network-forensics
      - mobile-forensics
      - cloud-forensics
      - ics-forensics
    phases:
      - examination
      - analysis
      - reporting
    platforms:
      - Windows
      - macOS
      - Web
    tags:
      - gui
      - web-interface
      - commercial
      - collaboration
      - visualization
      - cloud-artifacts
      - power-query
      - ediscovery
      - version-control
      - team-integration
      - mobile-apps
      - automation-capable
    related_software:
      - LibreOffice
    icon: 📊
    license: Proprietary
    accessType: commercial
  - name: EnCase
    type: software
    description: >-
      Etablierte Forensik-Suite für Enterprise-Level-Investigations kombiniert
      Disk-Imaging, Evidence-Processing und Case-Management in integrierter
      Plattform. EnScript-Programmiersprache automatisiert komplexe Analysen und
      Custom-Workflows für wiederkehrende Untersuchungsschritte.
      Evidence-Processor verarbeitet Batch-Analysen multipler Images parallel,
      Timeline-Engine korreliert Events über alle Evidenzen.
      Physical-Analyzer-Modul extrahiert Smartphone-Daten durch Logical- und
      Physical-Acquisition-Methoden. Hash-Library-Integration für
      Known-Bad-Detection und NSRL-Filtering. Case-Management skaliert auf
      Großverfahren mit gerichtsfester Dokumentation und Audit-Trails.
      Dongle-Schutz und hohe Lizenzkosten (20.000€+) limitieren auf
      Enterprise-Umgebungen.
    url: https://www.opentext.com/products/encase-forensic
    skillLevel: intermediate
    domains:
      - static-investigations
      - incident-response
      - mobile-forensics
    phases:
      - data-collection
      - examination
      - analysis
      - reporting
    platforms:
      - Windows
    tags:
      - gui
      - commercial
      - scripting
      - court-admissible
      - case-management
      - dongle-license
      - enscript
      - evidence-processor
      - batch-capable
      - certification-path
      - legacy-standard
      - enterprise-scale
    related_concepts:
      - Digital Evidence Chain of Custody
    related_software:
      - FTK Imager
      - X-Ways Forensics
      - Autopsy
    icon: 🔍
    license: Proprietary
    accessType: commercial
  - name: FRED
    type: software
    description: >-
      Hardware-Forensik-Workstation ermöglicht simultanes Imaging von 8
      Evidenzen durch Hot-Swap-UltraBay 
        und integrierte Write-Blocker für SATA/IDE/USB/FireWire. Hardware-Hash-Acceleration beschleunigt 
        MD5/SHA-Verifizierung, Touchscreen-Konsole steuert Parallel-Processing ohne Host-System-Belastung. 
        Field-Kit-Version mit 4-Bay-Kapazität für Vor-Ort-Akquisition, modulares Design erlaubt 
        RAID-Controller-Upgrades für NAS-Forensik.
    url: https://www.digitalintelligence.com/products/fred/
    skillLevel: intermediate
    domains:
      - static-investigations
      - incident-response
    phases:
      - data-collection
    platforms:
      - Hardware
    tags:
      - gui
      - commercial
      - write-blocker
      - physical-copy
      - scenario:disk_imaging
      - multithreaded
      - hardware-solution
      - hot-swap
      - raid-recovery
      - parallel-imaging
      - touch-control
      - lab-equipment
    related_concepts:
      - Digital Evidence Chain of Custody
    icon: 🖥️
    license: Proprietary
    accessType: commercial
  - name: GraphSense
    icon: 📊
    type: software
    description: >-
      Die Open-Source-Blockchain-Analyse-Plattform aus Österreich bietet eine
      datenschutzfreundliche Alternative zu US-Diensten. Attributions- freie
      Analyse respektiert Privatsphäre während Ermittlungen. Der
      Clustering-Algorithmus gruppiert Adressen zu Entities basierend auf
      Heuristiken. TagPacks ermöglichen kollaboratives Labeling bekannter
      Services. Die Apache-Cassandra-Architektur skaliert auf Milliarden
      Transaktionen. REST-API für Tool-Integration. Unterstützt Bitcoin,
      Ethereum, Litecoin mit wachsender Liste. Besonders wertvoll: Graphbasierte
      Visualisierung von Geldflüssen, Risiko-Scores ohne externe Abhängigkeiten,
      Self-Hosting für sensible Ermittlungen. Die akademische Herkunft (AIT)
      garantiert Transparenz. Docker-Deployment vereinfacht Installation. Die
      Attributions-Qualität erreicht noch nicht Chainalysis-Niveau, verbessert
      sich aber stetig. EU-Förderung sichert Weiterentwicklung. Perfekt für
      Organisationen die Blockchain-Forensik ohne US-Cloud-Abhängigkeit
      benötigen. Die Zukunft der souveränen Krypto-Ermittlungen.
    domains:
      - static-investigations
      - fraud-investigation
      - incident-response
    phases:
      - analysis
      - reporting
    platforms:
      - Web
    related_software:
      - Chainalysis
      - Maltego
      - Neo4j
    skillLevel: intermediate
    accessType: server-based
    url: https://graphsense.org/
    license: MIT
    knowledgebase: false
    tags:
      - web-interface
      - blockchain-analysis
      - opensource
      - visualization
      - anomaly-detection
      - correlation-engine
      - privacy-preserving
      - self-hosted
      - clustering-algorithm
      - tagpack-system
      - academic-backing
      - eu-compliant
    related_concepts:
      - Hash Functions & Digital Signatures
  - name: Gitea
    icon: 🍵
    type: software
    description: >-
      Das federleichte Git-Repository-System perfekt für Forensik-Teams die ihre
      Tools und Dokumentation versionieren. Go-basierte Architektur läuft
      ressourcenschonend auf Raspberry Pi bis Enterprise-Server. Die intuitive
      Web-UI macht Git zugänglich für weniger technische Teammitglieder.
      Besonders wertvoll für Forensik: Versionierung von YARA-Rules, IOC-Listen,
      Analysis-Scripts, Case-Dokumentation. Die eingebaute CI/CD-Pipeline
      (Actions) automatisiert Tool-Deployments und Qualitätschecks.
      Issue-Tracker organisiert Ermittlungs-Tasks. Wiki dokumentiert Prozeduren.
      Der Code-Review-Workflow sichert Vier-Augen-Prinzip.
      Pull-Request-Templates standardisieren Contributions. Die API integriert
      mit Forensik-Workflows. Mirror-Funktionen synchronisieren externe
      Repositories. Niedrige Systemanforderungen erlauben Hosting im eigenen
      Lab. Die Migration von GitHub/GitLab ist nahtlos. Perfekt für Teams die
      Kontrolle über ihre Forensik- Artefakte behalten wollen ohne
      Cloud-Abhängigkeit. Der Community- Fork von Gogs mit aktiverer
      Entwicklung.
    domains:
      - incident-response
      - malware-analysis
      - static-investigations
    phases:
      - reporting
    platforms:
      - Web
    domain-agnostic-software:
      - collaboration-general
    skillLevel: beginner
    accessType: server-based
    url: https://gitea.io/
    projectUrl: https://git.cc24.dev
    license: MIT
    statusUrl: https://status.mikoshi.de/api/badge/18/status
    tags:
      - web-interface
      - version-control
      - git-integration
      - collaboration
      - multi-user-support
      - automation-ready
      - ci-cd-actions
      - issue-tracking
      - wiki-system
      - code-review
      - api-driven
      - lightweight
    related_concepts:
      - Digital Evidence Chain of Custody
  - name: ICSpector
    type: software
    description: >-
      Microsofts Open-Source-Framework revolutioniert Industrial-Control-System-
      Forensik mit spezialisierten Tools für SCADA/PLC-Untersuchungen.
      Extrahiert Metadaten aus Siemens S7, Rockwell, Schneider Electric
      Controllern. Die Python-basierte Architektur parst proprietäre Protokolle
      und Dateiformate. Besonders wertvoll: Ladder-Logic-Extraktion zeigt
      manipulierte Programme, Configuration-Diff erkennt unauthorized Changes,
      Network-Capture-Analyse für ICS-Protokolle (Modbus, DNP3, IEC-104).
      Timeline-Rekonstruktion aus Historian-Daten. Die Plugin-Architektur
      erlaubt Erweiterung für neue Hersteller. Integration mit
      Wireshark-Dissectors. Unterstützt sowohl Live-Systeme als auch
      Offline-Images. Die Dokumentation erklärt ICS-Besonderheiten für
      IT-Forensiker. Besonders relevant nach Stuxnet und zunehmenden
      ICS-Angriffen. Die Community wächst mit kritischer
      Infrastruktur-Bedeutung. Füllt die Lücke zwischen IT- und OT-Forensik.
      Unverzichtbar für Kraftwerke, Wasserversorgung, Produktionsanlagen. Die
      Zukunft der Infrastruktur-Forensik beginnt hier.
    domains:
      - ics-forensics
      - incident-response
      - malware-analysis
    phases:
      - data-collection
      - examination
      - analysis
    skillLevel: advanced
    url: https://github.com/microsoft/ics-forensics-tools
    icon: 🏭
    platforms:
      - Windows
      - Linux
      - macOS
    accessType: download
    license: MIT
    knowledgebase: false
    tags:
      - cli
      - system-metadata
      - artifact-parser
      - cross-platform
      - scripting
      - opensource
      - plc-analysis
      - scada-forensics
      - ladder-logic
      - protocol-parser
      - configuration-analysis
      - ot-security
    related_concepts:
      - Digital Evidence Chain of Custody
    related_software:
      - Wireshark
  - name: Impacket
    icon: 🔨
    type: software
    description: >-
      Die Python-Bibliothek ist das Schweizer Taschenmesser für Windows-
      Netzwerk-Forensik und Living-off-the-Land. Über 50 Beispiel-Scripts
      demonstrieren mächtige Capabilities: smbexec.py für Remote-Execution,
      secretsdump.py extrahiert Hashes, wmiexec.py für WMI-basierte Forensik.
      Die Low-Level-Protokoll-Implementation ermöglicht granulare Kontrolle.
      Besonders wertvoll für Incident-Response: Remote-Registry-Zugriff ohne
      Agent, Kerberos-Ticket-Extraktion, NTLM-Relay-Detection. psexec.py als
      forensische Alternative zu SysInternals. Die DCSync-Funktionalität hilft
      bei Domain-Kompromittierungen. SMB/MSRPC-Parser für Traffic-Analyse.
      Integration in Forensik-Frameworks wie Volatility. Die aktive SecureAuth-
      Entwicklung hält mit Windows-Updates Schritt. Dokumentation erklärt
      Windows-Interna für Linux-Forensiker. Vorsicht: Viele Features sind
      dual-use - klare Policies nötig. Die ethische Nutzung unterscheidet
      Forensiker von Angreifern. Unverzichtbar für moderne Windows-Forensik ohne
      Microsoft-Tools.
    domains:
      - incident-response
      - network-forensics
      - malware-analysis
    phases:
      - data-collection
      - examination
    platforms:
      - Linux
      - Windows
      - macOS
    skillLevel: advanced
    accessType: download
    url: https://github.com/SecureAuthCorp/impacket
    license: Apache-2.0
    knowledgebase: false
    tags:
      - cli
      - remote-collection
      - scripting
      - scenario:persistence
      - protocol-decode
      - live-process-view
      - windows-protocols
      - credential-extraction
      - lateral-movement
      - registry-access
      - wmi-forensics
      - python-library
      - scenario:credential_theft
    related_concepts:
      - Digital Evidence Chain of Custody
  - name: Kismet
    icon: 📡
    type: software
    description: >-
      Der Wireless-Netzwerk-Detektor und Sniffer findet versteckte WLANs,
      Rogue-Access-Points und verdächtige Clients. Passives Monitoring ohne
      Aussenden von Probe-Requests macht es ideal für verdeckte Ermittlungen.
      Unterstützt 802.11a/b/g/n/ac und moderne Standards. Die GPS-Integration
      ermöglicht War-Driving mit präziser Standort-Zuordnung. Besonders
      wertvoll: Erkennung von Deauth-Attacks, Evil-Twin-APs, Client-Isolation-
      Bypasses. Die Plugin-Architektur erweitert für Bluetooth, Zigbee, andere
      Funkprotokolle. REST-API für Integration in SOC-Dashboards. Der
      Distributed-Mode koordiniert mehrere Sensoren. PCAP-Export für
      Wireshark-Analyse. Die Alert-Engine meldet Sicherheitsverletzungen. Web-UI
      visualisiert Netzwerk-Topologie. Besonders stark bei Firmen- WLAN-Audits
      und Incident-Response. Die Log-Correlation findet Zusammenhänge zwischen
      Events. Unterstützt Software-Defined-Radios für erweiterte
      Frequenzbereiche. Die Community-Entwicklung fokussiert auf
      Praktiker-Bedürfnisse. Standard-Tool für Wireless-Forensik weltweit.
    domains:
      - incident-response
      - network-forensics
    phases:
      - data-collection
      - examination
    platforms:
      - Linux
    related_software:
      - Aircrack-ng
      - WiFi Pineapple
      - Wireshark
    skillLevel: advanced
    accessType: download
    url: https://www.kismetwireless.net/
    license: GPL-2.0
    knowledgebase: false
    tags:
      - gui
      - pcap-capture
      - geolocation
      - live-acquisition
      - anomaly-detection
      - wireless-analysis
      - passive-monitoring
      - gps-mapping
      - multi-protocol
      - distributed-sensors
      - api-enabled
      - wardrive-capable
  - name: ArcGIS
    type: software
    description: >-
      Transformiert GPS-Daten, Mobilfunk-Logs und Fahrzeug-Telematik in
      aussagekräftige räumliche Analysen für Ermittlungen. Buffer-Analysen
      identifizieren Verdächtige in Tatort-Nähe, Hot-Spot-Detection findet
      Kriminalitätsschwerpunkte. Network-Analyst berechnet optimale
      Fluchtrouten, 3D-Szenen rekonstruieren Tatorte photorealistisch.
      Korreliert Geodaten mit Personen, Fahrzeugen und Kommunikationsmustern.
      Crime-Mapping-Erweiterungen speziell für Strafverfolgung entwickelt.
    url: https://www.esri.com/arcgis
    skillLevel: intermediate
    domains:
      - fraud-investigation
      - network-forensics
    phases:
      - reporting
    platforms:
      - Windows
      - macOS
    tags:
      - mapping
      - visualization
    icon: 🌍
    license: Proprietary
    accessType: commercial
  - name: Binary Ninja
    type: software
    description: >-
      Moderne Reverse-Engineering-Plattform kombiniert traditionelle Disassembly
      mit fortschrittlicher Program-Analysis durch innovative
      Multi-Level-IR-Architecture (Intermediate Representation).
      Cross-Architecture-Analysis durch einheitliche Abstraktion verschiedener
      Instruction-Sets und Calling-Conventions. Advanced-Type-Recovery
      rekonstruiert C-Structures und Function-Signatures automatisch durch
      Data-Flow-Analysis. Plugin-API (Python/C++) ermöglicht tiefe Customization
      und Integration in Custom-Workflows. Cloud-Collaboration synchronisiert
      Binary-Analysis zwischen verteilten Teams in Real-Time. Modern-GUI mit
      Multiple-Workspaces, Split-Views und Customizable-Layouts übertrifft
      Legacy-Tools in Usability und Workflow-Efficiency. Debugger-Integration
      für Dynamic-Analysis-Correlation.
    url: https://binary.ninja
    skillLevel: advanced
    domains:
      - malware-analysis
      - static-investigations
    phases:
      - analysis
    platforms:
      - Windows
      - macOS
      - Linux
    tags:
      - reverse-engineering
      - decompiler
    icon: 🛠️
    license: Proprietary
    accessType: commercial
  - name: CapLoader
    type: software
    description: >-
      Das Windows-Tool revolutioniert die Analyse großer PCAP-Sammlungen durch 
      intelligente Indexierung und Flow-Rekonstruktion. Lädt Multi-GB-Captures 
      in Sekunden und ermöglicht blitzschnelle Filterung nach Protokollen, 
      Timeframes oder Keyword-Patterns. Besonders wertvoll: Automatische 
      Flow-Reassembly rekonstruiert komplette TCP-Sessions, HTTP-Objects-
      Extraktion speichert übertragene Dateien, Credential-Harvesting findet 
      Klartext-Passwörter in Streams. Die Timeline-Ansicht visualisiert 
      Traffic-Patterns über Zeit. Batch-Export zu NetworkMiner oder Wireshark 
      für Detailanalyse. Performance-optimiert für Forensiker die täglich  mit
      großen Packet-Captures arbeiten. Integration mit NetWitness und  anderen
      Enterprise-NSM-Lösungen. Der Workflow beschleunigt Incident- Response
      erheblich durch Vorsortierung relevanter Flows.
    skillLevel: intermediate
    url: https://www.netresec.com/?page=CapLoader
    icon: 📡
    domains:
      - network-forensics
    phases:
      - examination
      - analysis
    tags:
      - pcap-analysis
      - flow-extraction
      - timeline-view
      - credential-extraction
      - file-reconstruction
      - batch-processing
    platforms:
      - Windows
    accessType: commercial
    license: Proprietary
    knowledgebase: false
  - name: Collabora Online
    type: software
    description: >-
      Ermöglicht sichere Echtzeit-Dokumentenbearbeitung für verteilte
      Ermittlungsteams ohne Cloud-Abhängigkeit. Erstellt gerichtsfeste Berichte
      mit vollständiger Versionskontrolle und Änderungshistorie. Unterstützt
      alle gängigen Office-Formate, integriert nahtlos in
      Nextcloud-Infrastrukturen. Verschlüsselte Kommunikation und granulare
      Berechtigungen schützen sensible Ermittlungsdaten. Offline-Fähigkeiten für
      abgeschottete Laborumgebungen.
    url: https://www.collaboraonline.com
    skillLevel: beginner
    domains:
      - collaboration-general
    phases:
      - reporting
    platforms:
      - Linux
      - Windows
    tags:
      - office
      - collaboration
    icon: 📝
    license: MPL-2.0 OR AGPL-3.0
    accessType: download
  - name: ShadowExplorer
    type: software
    description: >-
      Macht Windows Volume Shadow Copy Snapshots auch in Home-Editionen für
      forensische Analyse zugänglich. Ermöglicht komfortables Durchstöbern und
      Wiederherstellen früherer Dateiversionen ohne komplexe
      Kommandozeilen-Tools. Rekonstruiert gelöschte oder überschriebene Dateien
      aus automatischen Systemsicherungen. Besonders wertvoll für
      Zeitpunkt-basierte Analysen und Nachweis von Datenmanipulationen. Schlanke
      GUI für schnelle Triage klassischer Datenträgerforensik.
    url: https://www.shadowexplorer.com/
    skillLevel: novice
    domains:
      - static-investigations
      - incident-response
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - gui
      - shadow-copy
      - snapshot-browsing
      - file-recovery
      - previous-versions
      - scenario:file_recovery
      - point-in-time-restore
    related_concepts:
      - Digital Evidence Chain of Custody
    related_software:
      - OSFMount
      - PhotoRec
    icon: 🗂️
    license: Freeware
    accessType: download
  - name: Sonic Visualiser
    type: software
    description: >-
      Analysiert Audio-Dateien bis auf Sample-Ebene für Authentizitätsprüfung
      und Manipulationserkennung in forensischen Ermittlungen.
      Spektrogramm-Visualisierung und FFT-basierte Analysen decken versteckte
      Bearbeitungen auf. Vamp-Plugin-Ökosystem erweitert Analysefähigkeiten um
      Beat-Detection und Pitch-Tracking. Annotation-Ebenen dokumentieren
      Findings mit präzisen Zeitstempeln für Gerichtspräsentationen.
      Export-Funktionen integrieren Ergebnisse in forensische Analyse-Pipelines.
    url: https://www.sonicvisualiser.org/
    skillLevel: intermediate
    domains:
      - static-investigations
      - fraud-investigation
    phases:
      - examination
      - analysis
      - reporting
    platforms:
      - Windows
      - Linux
      - macOS
    tags:
      - gui
      - audio-forensics
      - spectrogram
      - plugin-support
      - annotation
      - csv-export
    icon: 🎵
    license: GPL-2.0
    accessType: download
  - name: Dissect
    type: software
    description: >-
      Python-Framework abstrahiert Windows- und Linux-Speicherabbilder in
      virtuelle Dateisystem-Objekte ohne vorherige Profil-Definition oder
      OS-spezifische Konfiguration. Modularer Hypervisor-Layer ermöglicht
      simultane Multi-Image-Analyse für großflächige Incident-Response-Scenarios
      mit einheitlicher API. Zero-Copy-Architektur beschleunigt Memory-Queries
      auf Multi-GB-Images durch direkten Memory-Mapping ohne Intermediate-Files.
      Plugin-System dekodiert Windows-Strukturen: PTEs, Handle-Tables,
      APC-Queues und Kernel-Objects automatisch. Besonders effizient bei
      Batch-Processing mehrerer Memory-Dumps parallel durch
      Threading-Optimierung und Resource-Sharing zwischen Analyse-Instanzen.
    url: https://github.com/fox-it/dissect
    skillLevel: advanced
    domains:
      - incident-response
      - malware-analysis
      - static-investigations
    phases:
      - examination
      - analysis
    platforms:
      - Windows
      - Linux
      - macOS
    tags:
      - cli
      - memory-analysis
      - plugin-support
      - python-library
      - zero-copy
      - profile-less
    related_concepts:
      - Regular Expressions (Regex)
    related_software:
      - Volatility 3
      - Rekall
    icon: 🧩
    license: Apache-2.0
    accessType: download
  - name: Docker Explorer
    icon: 🐳
    type: software
    description: >-
      Googles Forensik-Toolkit zerlegt Offline-Docker-Volumes und
      Overlay-Dateisysteme ohne laufenden Daemon. Es extrahiert
      Container-Config, Image-Layer, ENV-Variablen, Mounted-Secrets und schreibt
      Timeline-fähige Metadata-JSONs. Unterstützt btrfs, overlay2 und zfs
      Storage-Driver sowie Docker Desktop (macOS/Windows). Perfekt, um bösartige
      Images nach Supply-Chain-Attacken zu enttarnen oder flüchtige Container
      nach einem Incident nachträglich zu analysieren.
    skillLevel: intermediate
    url: https://github.com/google/docker-explorer
    domains:
      - cloud-forensics
      - incident-response
      - static-investigations
    phases:
      - data-collection
      - examination
      - analysis
    platforms:
      - Linux
      - macOS
      - Windows
    accessType: download
    license: Apache-2.0
    knowledgebase: false
    tags:
      - cli
      - container-forensics
      - docker
      - timeline
      - json-export
      - supply-chain
    related_software:
      - Velociraptor
      - osquery
  - name: Ghiro
    icon: 🖼️
    type: software
    description: >-
      Die Web-basierte Bild­forensik-Plattform automatisiert EXIF-Analyse,
      Hash-Matching, Error-Level-Evaluation (ELA) und Steganografie-Erkennung
      für große Dateibatches. Unterstützt Gesichts- und NSFW-Detection sowie
      GPS-Reverse-Geocoding für Bewegungsprofile. Reports sind gerichtsfest
      versioniert, REST-API und Celery-Worker skalieren auf Millionen Bilder –
      ideal für CSAM-Ermittlungen oder Fake-News-Prüfung.
    skillLevel: intermediate
    url: https://getghiro.org/
    domains:
      - static-investigations
      - fraud-investigation
      - mobile-forensics
    phases:
      - examination
      - analysis
      - reporting
    platforms:
      - Web
      - Linux
    accessType: server-based
    license: GPL-2.0
    knowledgebase: false
    tags:
      - web-interface
      - image-forensics
      - exif-analysis
      - steganography
      - nsfw-detection
      - batch-processing
    related_concepts:
      - Hash Functions & Digital Signatures
    related_software:
      - ExifTool
      - PhotoRec
  - name: Sherloq
    type: software
    description: >-
      Python-basiertes Image-Forensics-Toolkit kombiniert klassische
      Steganography-Detection-Techniken mit modernen Computer-Vision-Algorithmen
      für Manipulation-Analysis. LSB-Steganography-Detection, Palette-Analysis,
      DCT-Coefficient-Examination und Statistical-Tests identifizieren
      Hidden-Data in Images. Error-Level-Analysis (ELA) und
      Noise-Pattern-Examination zeigen Compression-Artifacts und Edit-Traces in
      JPEG-Files. Heatmap-Visualizations und Histogram-Differential-Analysis
      markieren Manipulation-Hotspots automatisch.
      Metadata-Inconsistency-Detection vergleicht EXIF-Data mit Image-Content
      für Authenticity-Verification. Plugin-Architecture integriert externe
      Tools: zsteg, binwalk, exiftool für Comprehensive-Image-Analysis-Pipeline.
      Essential-Complement zu Hex-Editors und Reverse-Engineering-Tools für
      Multimedia-Forensics.
    url: https://github.com/GuidoBartoli/sherloq
    skillLevel: intermediate
    domains:
      - malware-analysis
      - static-investigations
    phases:
      - examination
      - analysis
    platforms:
      - Windows
      - Linux
      - macOS
    tags:
      - gui
      - image-forensics
      - steganography
      - lsb-extraction
      - histogram-analysis
      - plugin-support
    related_concepts:
      - Regular Expressions (Regex)
    related_software:
      - Ghiro
      - CyberChef
    icon: 🔍
    license: MIT
    accessType: download
  - name: Cortex
    type: software
    description: >-
      Automatisiert Observable-Intelligence durch über 100 integrierte
      Analysedienste von VirusTotal bis Shodan für beschleunigte Ermittlungen.
      Ein File-Hash triggert parallel AV-Scans, Sandbox-Detonation und
      YARA-Matching in Sekunden statt manueller Stundenarbeit. Responder-Actions
      ermöglichen automatische Incident-Response wie IP-Blockierung oder
      Host-Quarantäne. Plugin-Architektur erweitert für interne
      Threat-Intelligence-Quellen. Docker-Deployment skaliert Worker je nach
      Analyselast.
    url: https://strangebee.com/cortex
    skillLevel: intermediate
    domains:
      - incident-response
      - malware-analysis
    phases:
      - analysis
    platforms:
      - Linux
    tags:
      - automation
      - threat-intel
    icon: 🧩
    license: AGPL v3
    accessType: download
  - name: Elasticsearch
    type: software
    description: >-
      Durchsucht Petabytes forensischer Logs in Echtzeit durch verteilte
      Lucene-basierte Volltextsuche für moderne SOC-Infrastrukturen. JSON-native
      Architektur verarbeitet strukturierte und unstrukturierte Ermittlungsdaten
      gleichzeitig. Aggregations-Framework erstellt komplexe Timeline-Analysen,
      Geo-Queries korrelieren Events geografisch. Machine-Learning-Features
      erkennen Anomalien automatisch. Horizontal skalierbar von Single-Node bis
      Multi-Datacenter-Clustern. Basis für ELK-Stack und SIEM-Systeme.
    url: https://www.elastic.co/elasticsearch
    skillLevel: intermediate
    domains:
      - incident-response
      - network-forensics
    phases:
      - analysis
    platforms:
      - Linux
      - Windows
    tags:
      - search
      - big-data
    icon: 🔍
    license: Elastic-2.0 OR SSPL-1.0
    accessType: download
  - name: Elliptic
    type: software
    description: >-
      Die kommerzielle Blockchain-Analytics-Plattform konkurriert mit
      Chainalysis  durch erweiterte Compliance-Features und RegTech-Integration.
      Clustering- Algorithmen identifizieren Services durch
      Transaction-Pattern-Analysis:  Exchanges, Darknet-Markets, Mixers,
      Ransomware-Wallets. Die Compliance- Suite bietet Real-Time-Screening gegen
      OFAC/EU-Sanctions-Listen.  Besonders stark: DeFi-Protocol-Analysis
      dekodiert Smart-Contract- Interactions, Cross-Chain-Tracking folgt Funds
      über Bridges,  Investigation-Tools für Complex-Money-Laundering-Schemes.
      API-Integration  ermöglicht Automated-AML-Workflows. Die Typology-Library
      kategorisiert  Verdachtsmuster nach FATF-Standards. Court-Ready-Reports
      mit Blockchain- Evidence-Chain. Training-Programme zertifizieren
      Investigators.  Unterstützt Bitcoin, Ethereum, und 15+ andere Blockchains.
      Enterprise- Deployment für Banken, Exchanges und Strafverfolgung. Der
      europäische  Fokus macht es zur Alternative für EU-basierte
      Organisationen.
    skillLevel: intermediate
    url: https://www.elliptic.co
    icon: ₿
    domains:
      - fraud-investigation
    phases:
      - analysis
    tags:
      - blockchain-analysis
      - compliance-screening
      - sanctions-checking
      - defi-analysis
      - cross-chain-tracking
      - aml-workflows
      - court-reporting
    platforms:
      - Web
    accessType: cloud
    license: Subscription
    knowledgebase: false
  - name: FACT
    type: software
    description: >-
      BSI-Framework automatisiert IoT-Firmware-Bulk-Analyse durch intelligente
      Extraktion von Dateisystemen, Crypto-Keys und Backdoor-Detection.
      Vergleicht Firmware-Versionen, identifiziert CVE-Matches und erstellt
      Vulnerability-Reports für Router, Smart-Devices und Embedded-Systems.
    skillLevel: advanced
    url: https://github.com/fkie-cad/FACT_core
    icon: 🔧
    domains:
      - ics-forensics
      - malware-analysis
    phases:
      - analysis
    tags:
      - firmware
      - automation
    platforms:
      - Linux
    accessType: download
    license: GPL v3
    knowledgebase: false
  - name: FOCA
    type: software
    description: >-
      OSINT-Tool extrahiert Metadaten aus öffentlichen Dokumenten für
      Infrastructure-Reconnaissance. Sammelt Mitarbeiter-Namen,
      Software-Versionen, interne Netzwerkpfade und erstellt Angriffsvektoren
      aus PDF/Office-Dateien. Perfekt für Social-Engineering-Vorbereitung und
      Target-Profiling.
    skillLevel: beginner
    url: https://github.com/ElevenPaths/FOCA
    icon: 🗂️
    domains:
      - static-investigations
      - fraud-investigation
    phases:
      - examination
    tags:
      - metadata
      - osint
    platforms:
      - Windows
    accessType: download
    license: GPL v3
    knowledgebase: false
  - name: Firmware Analysis Toolkit
    type: software
    description: >-
      Attifys Python-Framework automatisiert die komplexe Firmware-Emulation 
      für Dynamic-Analysis von IoT-Geräten. Basiert auf Firmadyne-Research  aber
      erweitert um praktische Exploitation-Tools. Automatischer Workflow: 
      Binwalk-Extraction → Filesystem-Reconstruction → QEMU-Emulation → 
      Network-Service-Discovery → Vulnerability-Scanning. Besonders wertvoll: 
      Web-Interface-Crawler findet Admin-Panels automatisch, 
      Default-Credential-Testing, SQL-Injection-Fuzzing der Management-
      Interfaces. Die ARM/MIPS-Emulation ermöglicht Interactive-Debugging  mit
      GDB. Network-Simulation stellt Internet-Connectivity bereit. 
      Metasploit-Integration für Automated-Exploitation. Vulnerability- Database
      korreliert Findings mit CVEs. Docker-Setup vereinfacht  komplexe
      Dependencies. Die Academic-Herkunft garantiert  Research-Quality aber
      User-Experience ist basic. Perfekt für  Security-Researcher die
      IoT-Firmware auf Scale analysieren müssen.  Ergänzt statische Tools um
      Dynamic-Analysis-Capabilities.
    skillLevel: advanced
    url: https://github.com/attify/firmware-analysis-toolkit
    icon: 📦
    domains:
      - ics-forensics
      - malware-analysis
    phases:
      - analysis
    tags:
      - emulation
      - firmware
    platforms:
      - Linux
    accessType: download
    license: MIT
    knowledgebase: false
  - name: GCHQ Tools
    type: software
    description: >-
      Sammlung forensischer Werkzeuge der britischen GCHQ mit CyberChef als
      Kernstück für Datenmanipulation und Dekodierung. Entschlüsselt Base64,
      XOR-Verschlüsselung und andere Obfuskierungstechniken, extrahiert
      versteckte Strings aus Binärdateien. Analysiert Entropie-Muster für
      Verschlüsselungserkennung. Browser-basierte Bedienung ohne Installation,
      Rezept-System für komplexe Verarbeitungsketten. Unverzichtbar für
      Malware-Deobfuskation und schnelle Triage verdächtiger Artefakte.
    url: https://gchq.github.io/CyberChef
    skillLevel: beginner
    domains:
      - domain-agnostic-software
    phases:
      - analysis
    platforms:
      - Web
    tags:
      - encoding
      - crypto
      - parsing
    icon: 🥄
    license: Apache 2.0
    accessType: download
  - name: Gephi
    type: software
    description: >-
      Open-Source Graph-Visualization und Network-Analysis-Tool spezialisiert
      auf Large-Scale-Dataset-Processing durch Force-Atlas-Layout-Algorithmen
      und Community-Detection-Methods. Importiert Financial-Transaction-Data aus
      CSV/GEXF-Formats, identifiziert Money-Laundering-Patterns,
      Shell-Company-Networks und Fraud-Rings durch Statistical-Network-Analysis.
      Modularity-Algorithmen segmentieren große Netzwerke automatisch in
      Communities, Betweenness-Centrality identifiziert Key-Players und
      Bottlenecks. Besonders effektiv bei Datasets mit 100k+ Nodes für
      Financial-Crime-Investigations und Social-Network-Analysis.
      Dynamic-Network-Analysis für Time-Series-Data, Export-Capabilities für
      Report-Generation und Courtroom-Presentations. Plugin-Ecosystem erweitert
      Analysis-Capabilities für Domain-Specific-Use-Cases.
    url: https://gephi.org
    skillLevel: intermediate
    domains:
      - fraud-investigation
      - network-forensics
    phases:
      - analysis
    platforms:
      - Windows
      - macOS
      - Linux
    tags:
      - graph-analysis
      - visualization
    icon: 🕸️
    license: GPL-3.0 OR CDDL-1.0
    accessType: download
  - name: Google Earth Pro
    type: software
    description: >-
      Forensische Geo-Intelligence-Plattform mit historischen Satellitenbildern
      ab 1984 für Timeline-Analysen. Visualisiert GPS-Tracks, misst
      Tatort-Distanzen präzise und erstellt 3D-Rekonstruktionen. KML-Import
      ermöglicht Movement-Pattern-Analysis für Alibis und Bewegungsprofile.
    skillLevel: beginner
    url: https://www.google.com/earth/versions/#earth-pro
    icon: 🌐
    domains:
      - fraud-investigation
    phases:
      - reporting
    tags:
      - satellite
      - osint
    platforms:
      - Windows
      - macOS
    accessType: download
    license: Freeware
    knowledgebase: false
  - name: GrayKey
    type: software
    description: >-
      Grayshift Technologies entwickelt die kontroverse iOS-Forensik-Lösung  für
      Strafverfolgung - eine dedizierte Hardware-Box die iPhones durch 
      Zero-Day-Exploits entsperrt. Die Lightning-Kabel-Verbindung umgeht  Apples
      USB-Restricted-Mode und Secure-Enclave-Schutz. Zwei Varianten: 
      GrayKey-On-Premises für lokale Nutzung, GrayKey-Connected mit Cloud-
      Updates für neueste Exploits. Unterstützt iOS 7-17 mit wechselnder 
      Geräte-Coverage je nach verfügbaren Exploits. Die Brute-Force-Engine 
      knackt 4-6 stellige PINs in Stunden bis Tagen. Besonders wertvoll: 
      Partial-Extraction auch bei verschlüsselten Geräten, AFU/BFU-State-
      Analysis, Keychain-Decryption. Der Preis (30.000€+) und ethische  Bedenken
      limitieren auf Strafverfolgung. Regelmäßige Exploits werden  durch
      iOS-Updates zunichte gemacht - ein Katz-und-Maus-Spiel zwischen  Apple und
      Grayshift. Standard-Tool in US-Polizei-Departments trotz  rechtlicher und
      ethischer Kontroversen um Überwachungstechnologie.
    skillLevel: advanced
    url: https://grayshift.com/graykey
    icon: 🔑
    domains:
      - mobile-forensics
    phases:
      - data-collection
    tags:
      - ios-unlocking
      - zero-day-exploits
      - hardware-solution
      - brute-force
      - keychain-extraction
      - law-enforcement
    platforms:
      - iOS
    accessType: hardware
    license: Proprietary
    knowledgebase: false
  - name: IDA Pro
    type: software
    description: >-
      Industry-Standard Reverse-Engineering-Platform seit über 30 Jahren mit
      Disassembler für 50+ Prozessor-Architekturen von x86/x64 über ARM, MIPS
      bis zu exotischen DSPs und Custom-Silicon. Hex-Rays Decompiler wandelt
      Assembly-Code in lesbaren C-Pseudocode um mit Variable-Recovery und
      Type-Reconstruction. Interactive Cross-References visualisieren
      Code-Beziehungen und Call-Graphs für komplexe Binary-Analysis.
      FLIRT-Signature-Datenbank identifiziert Standard-Bibliotheken und
      Known-Functions automatisch für Noise-Reduction. IDAPython ermöglicht
      tiefgreifende Automatisierung komplexer Analysen durch vollständige
      API-Access. Collaborative-Features für Multi-Analyst-Teams, besonders
      stark bei Advanced-Malware-Dekonstruktion und
      Zero-Day-Vulnerability-Research.
    url: https://hex-rays.com/ida-pro
    skillLevel: advanced
    domains:
      - malware-analysis
      - static-investigations
    phases:
      - analysis
    platforms:
      - Windows
      - macOS
      - Linux
    tags:
      - disassembler
      - decompiler
    icon: 🖥️
    license: Proprietary
    accessType: commercial
  - name: Kibana
    type: software
    description: >-
      Verwandelt forensische Rohdaten in aussagekräftige Dashboards und
      Echtzeit-Analysen für Incident-Response-Teams. Timeline-Visualisierungen
      korrelieren Events über verschiedene Systeme, Geo-Maps zeigen
      Angriffs-Ursprünge. Heat-Maps identifizieren Aktivitätsmuster automatisch.
      Drag-and-Drop-Interface erstellt komplexe Queries ohne
      Programmierkenntnisse. Canvas erstellt Infografiken für
      Management-Reports, Machine-Learning-Integration erkennt Anomalien.
      Dashboard-Sharing für SOC-Teams.
    url: https://www.elastic.co/kibana
    skillLevel: beginner
    domains:
      - incident-response
    phases:
      - analysis
      - reporting
    platforms:
      - Linux
      - Windows
    tags:
      - dashboards
      - analytics
    icon: 📊
    license: "Elastic\_License\_/\_SSPL"
    accessType: download
  - name: LiME
    type: software
    description: >-
      Linux Memory Extractor ermöglicht forensisch saubere RAM-Akquisition auf 
      Linux-Systemen durch dynamisch ladbares Kernel-Modul. Besonders wertvoll: 
      Zero-Contamination durch minimalen Footprint, Network-Streaming überträgt 
      RAM direkt an Remote-Analyst ohne lokale Storage, Format-Options (Raw, 
      Padded, ELF) für verschiedene Analysis-Tools. Die Cross-Compilation 
      unterstützt embedded Systems und IoT-Geräte. Android-Portierung
      ermöglicht  Mobile-Memory-Forensics. Automatische Kernel-Symbol-Resolution
      für  Volatility-Profile-Generation. Die Installation erfordert
      Kernel-Headers  aber der Build-Prozess ist gut dokumentiert.
      TCP-Dump-Integration für  simultane Netzwerk-Capture. Besonders wichtig
      für Container-Forensik und  Cloud-Incidents wo traditionelle Tools
      versagen. Der Standard für  Linux-Memory-Acquisition in professionellen
      DFIR-Teams. Ergänzt  Windows-Tools wie WinPmem für heterogene Umgebungen.
    skillLevel: advanced
    url: https://github.com/504ensicsLabs/LiME
    icon: 🧠
    domains:
      - incident-response
      - mobile-forensics
    phases:
      - data-collection
    tags:
      - memory
      - acquisition
      - scenario:memory_dump
      - memory-analysis
      - ram-acquisition
      - kernel-module
    platforms:
      - Linux
      - Android
    accessType: download
    license: GPL v2
    knowledgebase: false
  - name: Loki
    type: software
    description: >-
      Florian Roths Portable-IOC-Scanner bringt Enterprise-Level-Threat-Hunting 
      auf jeden Windows-Endpoint ohne Agent-Installation. Die Python-basierte 
      Engine scannt File-Hashes gegen NSRL-Whitelist und Custom-IOC-Sets, 
      YARA-Rules gegen Memory und Dateisystem, Registry-Keys nach Malware-
      Persistence, Running-Processes nach bekannten Threats. Besonders
      wertvoll:  Network-Share-Scanning durchsucht ganze Domänen,
      False-Positive-Reduction  durch Whitelist-Management, Detailed-Logging für
      Compliance-Audits.  Configuration-Files steuern Scan-Intensität vs.
      Performance.  Integration mit MISP für IOC-Updates. Die Executable-Version
      läuft  ohne Python-Installation. Härtungs-Checks validieren Sicherheits-
      Konfigurationen. Sigma-Rule-Support für Log-Analysis. Community- IOCs
      halten Threat-Database aktuell. Perfekt für Rapid-Response  wenn
      vollständige EDR-Lösungen fehlen. Standard-Tool in vielen 
      CERT-Incident-Response-Kits. Der Einstieg in professionelles 
      Threat-Hunting ohne Budget-Hürden.
    skillLevel: intermediate
    url: https://github.com/Neo23x0/Loki
    icon: 🔎
    domains:
      - incident-response
    phases:
      - examination
    tags:
      - ioc
      - yara
    platforms:
      - Windows
      - Linux
    accessType: download
    license: GPL v3
    knowledgebase: false
  - name: Maltego
    type: software
    description: >-
      OSINT-Link-Analysis-Platform transformiert manuelle Recherchen in
      automatisierte visuelle Netzwerk-Investigations durch umfangreiche
      Transform-Engine-Ecosystem. Korreliert automatisch Domains, IP-Adressen,
      Email-Addresses, Social-Media-Accounts und Phone-Numbers für
      Attribution-Analysis. Machine-Learning-Enhanced-Clustering identifiziert
      BEC-Fraud-Networks, Botnet-Infrastructure und
      Multi-Stage-Attack-Campaigns. Transform-Hub erweitert Datenquellen um 100+
      Commercial- und Open-Source-Intelligence-Feeds. Maltego CE bietet
      Community-Edition mit Basic-Transforms kostenlos, Commercial-Versions
      integrieren Premium-Data-Sources. Automated-Reconnaissance-Workflows für
      Threat-Actor-Profiling und Infrastructure-Mapping reduzieren manuelle
      Investigation-Time erheblich.
    url: https://www.maltego.com
    skillLevel: intermediate
    domains:
      - fraud-investigation
      - network-forensics
    phases:
      - analysis
    platforms:
      - Windows
      - macOS
      - Linux
    tags:
      - osint
      - link-analysis
    icon: 🌐
    license: Proprietary
  - name: OnlyOffice
    type: software
    description: >-
      Kollaborative Bürosuite mit vollständiger Microsoft-Kompatibilität für
      forensische Berichtserstellung ohne Vendor-Lock-in. Echtzeit-Co-Editing
      ermöglicht simultane Reporterstellung durch mehrere Ermittler,
      Versionshistorie dokumentiert alle Änderungen für Audit-Trails.
      SSO-Integration und granulare Berechtigungen sichern
      Multi-User-Forensik-Workflows. Self-Hosting-Option für maximale
      Datenkontrolle bei sensiblen Ermittlungen.
    url: https://www.onlyoffice.com
    skillLevel: beginner
    domains:
      - collaboration-general
    phases:
      - reporting
    platforms:
      - Windows
      - Linux
      - macOS
    tags:
      - office
      - collaboration
    icon: 📄
    license: AGPL-3.0 OR Apache-2.0
    accessType: download
  - name: OpenCTI
    type: software
    description: >-
      Cyber-Threat-Intelligence-Plattform orchestriert strukturierte IOC-Analyse
      durch STIX-kompatible Knowledge-Graphs. Automatische Enrichment-Pipeline
      korreliert scheinbar unabhängige Indicators zu Attack-Campaigns.
      Confidence-Scoring gewichtet Intelligence-Qualität für präzise
      Threat-Attribution.
    skillLevel: intermediate
    url: https://filigran.io/platforms/opencti
    icon: 🗂️
    domains:
      - incident-response
    phases:
      - analysis
    tags:
      - threat-intel
      - graph
    platforms:
      - Linux
    accessType: download
    license: AGPL v3
    knowledgebase: false
  - name: Oxygen Forensic Suite
    type: software
    description: >-
      Mobile-Forensik-Alternative mit Deep-Extraction-Capabilities für
      Android-Systeme und spezialisierte Decryption-Engines für verschlüsselte
      Messenger. Telegram-Secret-Chat-Dekryptierung durch proprietäre Methoden
      und Live-Memory-Dumps von aktiven Geräten ohne Reboot-Requirement.
      Analysiert über 50 Cloud-Services mit Direct-API-Access ohne
      Premium-Pricing-Modell oder zusätzliche Lizenzkosten. Besonders stark bei
      chinesischen Smartphones (Xiaomi, Huawei, OnePlus) mit proprietären
      Security-Mechanismen und Custom-Android-Versionen.
      Mobile-Triage-Capability für Vor-Ort-Screening, regelmäßige Updates für
      neue App-Versionen und Android-Security-Patches innerhalb von 48 Stunden.
    url: https://www.oxygenforensics.com
    skillLevel: advanced
    domains:
      - mobile-forensics
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - mobile
      - cloud
      - decryption
    icon: 📱
    license: Proprietary
  - name: Radare2
    type: software
    description: >-
      Open-Source modulares Reverse-Engineering-Framework vereint Disassembler,
      Debugger, Hex-Editor und Binary-Analysis-Tools in mächtiger
      Command-Line-Suite für Scriptable-Workflows. r2pipe-Integration bindet
      Framework nahtlos in Python/Go/JavaScript-Scripts für
      Automated-Analysis-Pipelines. Visual-Mode bietet interaktive Pseudo-GUI im
      Terminal mit Navigation und Editing-Capabilities. Unterstützt 20+
      CPU-Architekturen von x86 über ARM bis WebAssembly für Firmware-Analysis,
      Embedded-Systems und CTF-Challenges. Scripting-Engine automatisiert
      komplexe Multi-Step-Analysen, Plugin-System erweitert Funktionalität.
      Active-Community-Development garantiert kontinuierliche Updates für neue
      Architekturen und File-Formats. Besonders stark bei Embedded-Forensics und
      IoT-Security-Analysis.
    url: https://rada.re/n/radare2.html
    skillLevel: advanced
    domains:
      - malware-analysis
    phases:
      - analysis
    platforms:
      - Windows
      - Linux
      - macOS
    tags:
      - reverse-engineering
      - scripting
    icon: 🗡️
    license: LGPL v3
    accessType: download
  - name: Rekall
    type: software
    description: >-
      Memory-Analysis-Framework mit Cloud-Scale-Capabilities und innovativer
      Live-Memory-Analysis über HTTP-Endpoints für Remote-Forensics.
      AFF4-Streaming-Support ermöglicht Untersuchung von Memory-Dumps ohne
      lokale Storage durch On-Demand-Block-Loading. Jupyter-Notebook-Integration
      schafft interaktive Speicher-Forensik-Umgebung für Collaboration zwischen
      Analysten und Dokumentation. Web-UI demokratisiert Memory-Forensics für
      nicht-technische Ermittler durch Point-and-Click-Interface. Besonders
      stark bei verteilten Ermittlungen und Cloud-Infrastructure-Analysis mit
      horizontaler Skalierung. Python-API ermöglicht Custom-Plugin-Development,
      obwohl Google Development 2018 zugunsten anderer Projekte einstellte.
    url: https://github.com/google/rekall
    skillLevel: advanced
    domains:
      - incident-response
    phases:
      - analysis
    platforms:
      - Windows
      - Linux
      - macOS
    tags:
      - memory
      - python
    icon: 🧬
    license: Apache 2.0
    accessType: download
  - name: Suricata
    type: software
    description: >-
      Multi-Threading-IDS-Engine analysiert 100Gbit-Traffic durch
      GPU-Acceleration und 
        Hyperscan-Pattern-Matching für Real-Time-Threat-Detection. Lua-Scripts erstellen 
        Custom-IOC-Detection-Logic, HTTP-Keyword-Matching extrahiert C2-Communication-Patterns. 
        TLS-Certificate-Fingerprinting identifiziert Malware-Infrastructure, File-Extraction 
        aus Network-Streams ermöglicht Payload-Analysis. JSON-Logs integrieren in ELK-Stack-Pipelines.
    url: https://suricata.io
    skillLevel: intermediate
    domains:
      - network-forensics
    phases:
      - analysis
    platforms:
      - Linux
      - Windows
    tags:
      - ids
      - nsm
    icon: 🛡️
    license: GPL v2
    accessType: download
  - name: VirusTotal
    type: software
    description: >-
      Google's Malware-Intelligence-Aggregation-Platform kombiniert 70+
      Antivirus-Engine-Erkennungen für sofortige Multi-Vendor-Threat-Assessment
      von Files, URLs, IP-Addresses und Domains. Retro-Hunt-Service durchsucht
      historische Malware-Database mit YARA-Rules für ähnliche Samples durch
      Fuzzy-Hashing und Behavioral-Signatures. Interactive-Graph-View
      visualisiert Malware-Family-Relationships, C2-Infrastructure-Connections
      und Campaign-Attribution durch Metadata-Correlation. Livehunt-Service
      alertiert in Real-Time bei neuen YARA-Rule-Matches für proaktive
      Threat-Hunting und IOC-Development. Community-Intelligence erweitert
      Automated-Detection durch Analyst-Comments, Crowdsourced-Verdicts und
      Threat-Actor-Attribution-Data für Enhanced-Context.
    url: https://www.virustotal.com
    skillLevel: beginner
    domains:
      - malware-analysis
    phases:
      - examination
    platforms:
      - Web
    tags:
      - sandbox
      - av-scan
    icon: 🦠
    license: Freemium
    knowledgebase: true
  - name: WinHex
    type: software
    description: >-
      Vielseitiger Hex-Editor mit forensischen Superkräften für Disk-Cloning,
      RAM-Editing und File-Recovery durch Signature-Scanning.
      NTFS-Alternate-Data-Streams-Support, MFT-Browser und Registry-Viewer
      parsen Strukturen direkt. Template-Engine automatisiert
      Datenstruktur-Parsing für komplexe Analysen.
    skillLevel: intermediate
    url: https://x-ways.net/winhex
    icon: 🗜️
    domains:
      - static-investigations
    phases:
      - examination
    tags:
      - hex-editor
      - carving
    platforms:
      - Windows
    accessType: commercial
    license: Proprietary
    knowledgebase: false
  - name: WinPmem
    type: software
    description: >-
      Velociraptor-Memory-Imager mit flexiblem Driver-System für
      Windows-RAM-Akquisition. Drei Modi: Kernel-Driver für Maximum-Access,
      WinAPI für Modern-Windows, Live-Service für Remote-Collection.
      ELF64-Output mit Metadaten für Volatility-Auto-Detection,
      Pagefile-Integration erweitert Memory-Space.
    skillLevel: advanced
    url: https://winpmem.velocidex.com
    icon: 💾
    domains:
      - incident-response
    phases:
      - data-collection
    tags:
      - memory
      - acquisition
      - scenario:memory_dump
      - memory-analysis
      - ram-acquisition
      - forensic-imaging
    platforms:
      - Windows
    accessType: download
    license: GPL v2
    knowledgebase: false
  - name: Zeek
    type: software
    description: >-
      Protocol-Analysis-Framework dekodiert Network-Traffic in strukturierte
      Logs für 
        forensische Timeline-Reconstruction: Connection-Tracking, HTTP-Transactions, DNS-Queries, 
        TLS-Handshakes. Scripting-Language erstellt Custom-Protocol-Decoder und 
        Behavioral-Anomaly-Detection, File-Analysis erkennt Malware-Transfers automatisch. 
        Cluster-Deployment skaliert auf Multi-10Gbit-Links mit Load-Balancing.
    url: https://zeek.org
    skillLevel: advanced
    domains:
      - network-forensics
    phases:
      - analysis
    platforms:
      - Linux
      - macOS
    tags:
      - nsm
      - scripting
    icon: 📈
    license: BSD
    accessType: download
  - name: osquery
    type: software
    description: >-
      SQL-basiertes Endpoint-Telemetry-System exposiert OS-State als querybare
      Tables: 
        laufende Prozesse, Registry-Keys, Scheduled-Tasks, Network-Connections. Fleet-Manager 
        orchestriert Hunting-Queries über tausende Endpoints parallel, Event-Framework 
        monitored Real-Time-Changes für Persistence-Detection. Custom-Tables erweitern 
        für Application-Logs und Cloud-Instance-Metadata-Correlation.
    url: https://osquery.io
    skillLevel: intermediate
    domains:
      - incident-response
    phases:
      - examination
    platforms:
      - Linux
      - Windows
      - macOS
    tags:
      - endpoint
      - sql
    icon: 🗄️
    license: Apache 2.0
    accessType: download
  - name: tcpdump
    type: software
    description: >-
      Fundamentaler Packet-Sniffer mit BPF-Filter-Syntax für chirurgisch präzise
      Packet-Selektion seit 1987. Memory-effiziente Capture bei
      High-Speed-Interfaces, Ring-Buffer-Mode rotiert automatisch. libpcap-Basis
      macht Captures kompatibel zu allen Analysis-Tools. Verfügbar auf jedem
      Unix-System.
    skillLevel: intermediate
    url: https://www.tcpdump.org
    icon: 🐙
    domains:
      - network-forensics
    phases:
      - data-collection
    tags:
      - pcap
      - cli
    platforms:
      - Linux
      - macOS
      - BSD
    accessType: download
    license: BSD
    knowledgebase: false
  - name: x64dbg
    type: software
    description: >-
      Kostenloser Windows-Debugger mit moderner 64-Bit-Architektur und aktivem
      Plugin-Ecosystem. Anti-Anti-Debug-Plugins umgehen Evasion-Techniken,
      Script-Engine automatisiert repetitive Tasks. Memory-Map-Viewer,
      Conditional-Breakpoints und Multi-Threading-Support für moderne
      Malware-Dynamic-Analysis.
    skillLevel: advanced
    url: https://x64dbg.com
    icon: 🐛
    domains:
      - malware-analysis
    phases:
      - analysis
    tags:
      - debugger
      - reverse-engineering
    platforms:
      - Windows
    accessType: download
    license: GPL v3
    knowledgebase: false
  - name: grep
    type: software
    description: >-
      Filtert forensische Logs und Speicher-Dumps durch leistungsstarke reguläre
      Ausdrücke für präzise Beweissuche. GNU-Implementierung unterstützt drei
      Regex-Dialekte und Farb-Highlighting für schnelle Mustererkennung.
      Zero-Copy-Block-Pufferung ermöglicht Höchstgeschwindigkeit auch in
      riesigen Dateien. Pipe-Kompatibilität macht grep zum Grundbaustein
      unzähliger DFIR-Einzeiler für Artefakt-Parsing und Netzwerk-Flow-Analyse.
      Verfügbar auf jeder Unix-Plattform ohne Installation.
    url: https://www.gnu.org/software/grep/
    skillLevel: beginner
    domains:
      - incident-response
      - static-investigations
    phases:
      - examination
      - analysis
    platforms:
      - Linux
      - macOS
      - Windows
    tags:
      - cli
      - regular-expressions
      - piping
      - filtering
    related_concepts:
      - Regular Expressions (Regex)
    icon: 🔍
    license: "GPL\_v3"
    accessType: download
  - name: md5sum / sha256sum
    type: software
    description: >-
      Berechnet kryptografische Prüfsummen für Integritätsprüfung forensischer
      Images und Artefakte mit minimaler Systembelastung. Verifiziert
      Chain-of-Custody durch Hash-Vergleiche vor und nach Analysen.
      Stream-Filter-Fähigkeit ermöglicht simultane Hash-Berechnung während
      Disk-Imaging. Auf nahezu jeder Unix-Plattform vorinstalliert, daher
      überall verfügbar für spontane Verifizierungen. Erzeugt standardkonforme
      Prüfsummen für gerichtliche Verwertbarkeit.
    url: https://www.gnu.org/software/coreutils/
    skillLevel: beginner
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
    phases:
      - examination
      - analysis
    platforms:
      - Linux
      - macOS
      - Windows
    tags:
      - cli
      - hashing
      - integrity
    related_concepts:
      - Hash Functions & Digital Signatures
    icon: 🔢
    license: GPL-3.0
  - name: hashdeep
    type: software
    description: >-
      Erstellt rekursive Hash-Sammlungen für umfangreiche Datenträger-Audits mit
      mehreren Hash-Algorithmen parallel. Baseline-Auditing erkennt automatisch
      neue oder veränderte Dateien bei wiederkehrenden Untersuchungen.
      Multithread-Architektur beschleunigt Hash-Berechnung großer Dateimengen
      erheblich. Ausgabe in NIST-NSRL oder CSV-Formaten für
      Datenbank-Integration. Batch-Export ermöglicht automatisierte
      Deduplizierung und Known-Good-Filterung in Enterprise-Umgebungen.
    url: https://github.com/jessek/hashdeep
    skillLevel: intermediate
    domains:
      - static-investigations
      - cloud-forensics
    phases:
      - examination
      - analysis
    platforms:
      - Linux
      - macOS
      - Windows
    tags:
      - hashing
      - auditing
      - multihash
    icon: 🏷️
    license: Public Domain
    accessType: download
  - name: ssdeep
    type: software
    description: >-
      Berechnet Fuzzy-Hashes für Ähnlichkeitsanalysen zwischen Malware-Varianten
      und Dokumentvorlagen ohne exakte Übereinstimmung. Context Triggered
      Piecewise Hashing erkennt auch teilweise veränderte Dateien zuverlässig.
      Ausgabe-Hashes integrieren sich in YARA-Regeln und
      Threat-Intelligence-Datenbanken. Unverzichtbar für
      Malware-Familie-Zuordnung und Kampagnen-Tracking. Ergänzt traditionelle
      kryptografische Hashes um Ähnlichkeitsdimension.
    url: https://ssdeep-project.github.io/ssdeep/
    skillLevel: intermediate
    domains:
      - malware-analysis
      - incident-response
    phases:
      - analysis
    platforms:
      - Linux
      - macOS
      - Windows
    tags:
      - fuzzy-hashing
      - similarity
    icon: 🔍
    license: "GPL\_v2"
    accessType: download
  - name: hashcat
    type: software
    description: >-
      Knackt Passwort-Hashes durch GPU-beschleunigte Brute-Force-Angriffe für
      Credential-Recovery in Ermittlungen. Unterstützt über 300 Hash-Formate von
      bcrypt bis Kerberos mit flexiblen Angriffsmodi. OpenCL-Backend nutzt CPUs,
      GPUs und FPGAs parallel für maximale Performance. Dictionary-, Mask- und
      Hybrid-Attacken decken verschiedene Passwort-Strategien ab. Unverzichtbar
      für Credential-Audits und Incident-Response bei Passwort-Diebstahl.
    url: https://hashcat.net/hashcat/
    skillLevel: advanced
    domains:
      - incident-response
      - fraud-investigation
    phases:
      - analysis
    platforms:
      - Linux
      - Windows
      - macOS
    tags:
      - password-recovery
      - gpu-acceleration
      - cracking
      - scenario:credential_theft
    icon: ⚡
    license: MIT
    accessType: download
  - name: Linkurious
    type: software
    description: >-
      Visualisiert komplexe Beziehungsnetzwerke in Betrugs- und
      Geldwäsche-Ermittlungen durch intuitive Graph-Analyse-Oberfläche.
      Überlagert Neo4j-Datenbanken mit leistungsstarken Filtern und
      Geo-Ansichten für versteckte Verbindungen. Zeitachsen-Analysen zeigen
      Entwicklung krimineller Netzwerke über Zeit. Automatisierungsvorlagen
      beschleunigen wiederkehrende Untersuchungen. Erstellt aussagekräftige
      Beweisgrafiken für Gerichtspräsentationen. Speziell für Finanzermittlungen
      und Anti-Geldwäsche-Compliance entwickelt.
    url: https://linkurious.com/
    skillLevel: intermediate
    domains:
      - fraud-investigation
      - network-forensics
      - incident-response
    phases:
      - analysis
      - reporting
    platforms:
      - Web
      - Linux
    tags:
      - graph-visualisierung
      - link-analysis
      - aml
      - fraud
    icon: 🕸️
    license: Proprietary
    accessType: commercial
  - name: Android Studio
    type: software
    description: >-
      Analysiert Android-APK-Dateien und erstellt forensische
      Re-Packaging-Umgebungen für Mobile-Malware-Untersuchungen. Integrierter
      Geräte-Emulator ermöglicht sichere Malware-Detonation ohne
      Hardware-Gefährdung. Gradle-Build-System rekompiliert modifizierte Apps
      für Behavioral-Analysis. Profiler und Debugging-Tools tracken verdächtige
      Aktivitäten in Echtzeit. Layout-Inspector analysiert
      UI-Manipulation-Techniken. ADB-Integration für direkte Geräte-Forensik und
      App-Extraktion.
    url: https://developer.android.com/studio
    skillLevel: intermediate
    domains:
      - mobile-forensics
      - malware-analysis
    phases:
      - examination
      - analysis
    platforms:
      - Windows
      - macOS
      - Linux
    tags:
      - ide
      - android
      - emulator
      - debugging
    icon: 📱
    license: Freeware
    accessType: download
  - name: ADB
    type: software
    description: >-
      Kommuniziert mit Android-Geräten für forensische Datenextraktion über USB
      oder Netzwerk ohne Root-Zugriff. Erstellt logische Backups von App-Daten,
      installiert forensische Analysewerkzeuge, erfasst Live-Logcats für
      Incident-Response. Port-Weiterleitung ermöglicht sichere Remote-Analyse.
      File-Transfer-Funktionen extrahieren Beweise direkt vom Gerät.
      Shell-Access für erweiterte Forensik-Kommandos. Unverzichtbar für
      Mobile-Incident-Response und App-Entwicklungs-Forensik.
    url: https://developer.android.com/tools/adb
    skillLevel: intermediate
    domains:
      - mobile-forensics
      - incident-response
    phases:
      - data-collection
      - examination
    platforms:
      - Windows
      - macOS
      - Linux
    tags:
      - cli
      - mobile
      - device-management
      - extraction
    icon: 🔌
    license: Freeware
    accessType: download
  - name: dc3dd
    type: software
    description: >-
      Erstellt militärstandard-konforme Festplatten-Images mit detailliertem
      forensischen Logging für Strafverfolgung. Simultane Multi-Hash-Berechnung
      und segmentweise Verifizierung gewährleisten Beweisintegrität. Umfassendes
      Error-Logging dokumentiert jeden Sektor-Lesefehler für
      Chain-of-Custody-Compliance. Pattern-Fill-Funktionen für DoD-konforme
      sichere Löschung. Split-Archive-Unterstützung mit Resume-Fähigkeit für
      unterbrochene Long-Running-Images.
    url: https://sourceforge.net/projects/dc3dd/
    skillLevel: intermediate
    domains:
      - incident-response
      - static-investigations
    phases:
      - data-collection
    platforms:
      - Linux
      - Windows
    tags:
      - disk-imaging
      - hashing
      - wiping
      - logging
      - cli
    related_concepts:
      - Hash Functions & Digital Signatures
    icon: 💾
    license: "GPL\_v2"
    accessType: download
  - name: ddrescue
    type: software
    description: >-
      Rettet Daten von beschädigten Datenträgern durch intelligente
      Multi-Pass-Strategie für schwierige forensische Akquisitionen. Sichert
      zunächst alle lesbaren Bereiche, bevor problematische Sektoren mehrfach
      versucht werden. Map-File protokolliert jeden Leseversuch für
      Resume-Fähigkeit ohne erneute Medien-Belastung. Fill-Modus bereitet
      schwierige Bereiche für nachträgliche Dateisystem-Reparaturen vor.
      Unverzichtbar für defekte Beweismittel-Datenträger.
    url: https://www.gnu.org/software/ddrescue/
    skillLevel: intermediate
    domains:
      - static-investigations
      - fraud-investigation
    phases:
      - data-collection
    platforms:
      - Linux
      - macOS
      - Windows
    tags:
      - data-recovery
      - disk-imaging
      - map-file
      - cli
      - scenario:disk_imaging
    icon: 🛟
    license: "GPL\_v2+"
    accessType: download
  - name: REMnux
    type: software
    description: >-
      Ubuntu-basierte Malware-Analyse-Distribution vereint kuratierte
      Reverse-Engineering-Tools in sofort einsatzbereiter VM-Umgebung.
      Vorkonfigurierte Integration von Ghidra, Radare2, Volatility und
      Netzwerk-Analyse-Tools spart Stunden manueller Installation.
      Spezialisierte Malware-Detonation-Umgebung mit Netzwerk-Simulation und
      Traffic-Analyse. Regelmäßige Updates halten Tool-Sammlung aktuell.
      Docker-Integration für sichere Malware-Sandboxing. Paketverwaltung
      vereinfacht Tool-Erweiterung.
    url: https://remnux.org/
    skillLevel: intermediate
    domains:
      - malware-analysis
      - incident-response
      - network-forensics
    phases:
      - examination
      - analysis
    platforms:
      - Linux
    tags:
      - linux-distro
      - toolkit
      - reverse-engineering
      - virtualization
    icon: 🐧
    license: mixed-oss
    accessType: download
  - name: Android Backup Extractor
    type: software
    description: >-
      Entpackt und entschlüsselt Android-Backup-Archive aus ADB-Kommandos für
      forensische App-Daten-Analyse ohne Root-Zugriff. Integrierte AES-Routinen
      dekryptieren passwortgeschützte Backups automatisch. Extrahiert versteckte
      App-Sandboxes und Systemdaten aus .ab-Dateien. Java-basierte Architektur
      funktioniert plattformübergreifend. Batch-Processing für
      Multiple-Device-Analysen. Unverzichtbares Werkzeug für Mobile-Forensik bei
      eingeschränkten Extraktionsmöglichkeiten.
    url: https://github.com/nelenkov/android-backup-extractor
    skillLevel: intermediate
    domains:
      - mobile-forensics
      - static-investigations
    phases:
      - examination
      - analysis
    platforms:
      - Windows
      - Linux
      - macOS
    tags:
      - cli
      - backup
      - encryption
      - artifact-extraction
      - android
      - scenario:file_recovery
    icon: 📦
    license: Apache-2.0
    accessType: download
  - name: CAINE
    type: software
    description: >-
      Ubuntu-basierte Live-Forensik-Distribution bündelt über 150 Werkzeuge in
      schreibgeschützter Umgebung für kontaminationsfreie Ermittlungen.
      UnBlock-GUI ermöglicht gezieltes Aufheben der Write-Block-Funktion für
      einzelne Geräte. UEFI-Support und Kernel 6.8 gewährleisten moderne
      Hardware-Kompatibilität. Forensics-Menü organisiert Tools nach
      Untersuchungsphasen. Live-Boot ohne Installation schützt Host-System vor
      Kontamination.
    url: https://www.caine-live.net/
    skillLevel: beginner
    domains:
      - incident-response
      - static-investigations
      - network-forensics
      - mobile-forensics
    phases:
      - data-collection
      - examination
      - analysis
    platforms:
      - Linux
    tags:
      - live-distro
      - imaging
      - write-blocking
      - gui
      - cli
      - scenario:disk_imaging
    icon: 💿
    license: "LGPL\_2.1+"
    accessType: download
  - name: Aircrack-ng
    type: software
    description: >-
      Umfassende WLAN-Forensik-Suite analysiert 802.11-Verkehr und identifiziert
      Sicherheitsverletzungen in drahtlosen Netzwerken. Airodump-ng sammelt
      Pakete und deckt versteckte Netzwerke auf, Aireplay-ng injiziert
      Deauth-Frames für Handshake-Erfassung. WEP-Schlüssel-Rekonstruktion in
      Minuten, WPA2-PSK-Recovery mit Dictionary-Angriffen.
      Rogue-Access-Point-Erkennung und Client-Probing-Analyse für
      Bewegungsprofile. GPU-Beschleunigung via hashcat für moderne
      Verschlüsselungsstandards.
    url: https://www.aircrack-ng.org/
    skillLevel: advanced
    domains:
      - network-forensics
      - incident-response
    phases:
      - data-collection
      - analysis
    platforms:
      - Windows
      - Linux
      - macOS
      - BSD
    tags:
      - cli
      - wireless
      - packet-capture
      - injection
      - cracking
      - scenario:credential_theft
    icon: 📦
    license: "GPL\_v2\_(+\_BSD/OpenSSL\_components)"
    accessType: download
  - name: WiFi Pineapple
    type: software
    description: >-
      Spezialisierte Rogue-Access-Point-Hardware für WLAN-Penetrationstests und
      forensische Netzwerk-Analyse. PineAP-Suite führt automatische
      Reconnaissance durch, erfasst Handshakes und Enterprise-Credentials.
      Gezielte Client-Filterung und Cloud-C2-Fernsteuerung für diskrete
      Operationen. Browser-basierte GUI vereinfacht komplexe WLAN-Angriffe. Mark
      VII und Enterprise-Modelle für verschiedene Einsatzszenarien.
      Unverzichtbar für WLAN-Sicherheitsbewertungen und Incident-Response.
    url: https://shop.hak5.org/products/wifi-pineapple
    skillLevel: intermediate
    domains:
      - network-forensics
      - incident-response
    phases:
      - data-collection
      - analysis
    platforms:
      - Web
      - Hardware
    tags:
      - rogue-ap
      - wireless
      - man-in-the-middle
      - gui
      - web-interface
      - scenario:remote_access
    icon: 📡
    license: Proprietär
  - name: Network Protocols & Packet Analysis
    type: concept
    description: >-
      Fundamentale Kenntnisse der Netzwerkprotokolle von Layer 2-7 für
      Traffic-Forensik und Incident-Response. TCP/IP-Grundlagen,
      HTTP/HTTPS-Header-Analyse, DNS-Tunneling-Erkennung, und
      Protokoll-Anomalie-Detection. Session-Rekonstruktion aus PCAP-Dateien,
      Payload-Extraktion und C2-Kommunikations-Patterns. Verschlüsselte
      Protokolle wie TLS, SSH, VPN-Traffic-Charakteristika.
      OSI-Model-Verständnis essentiell für Netzwerk-Forensik und APT-Hunting.
    skillLevel: intermediate
    url: https://www.iana.org/protocols
    icon: 🌐
    domains:
      - incident-response
      - network-forensics
      - malware-analysis
      - cloud-forensics
    phases:
      - examination
      - analysis
    tags:
      - protocol-analysis
      - packet-inspection
      - session-reconstruction
      - c2-analysis
      - traffic-patterns
      - network-baseline
      - payload-extraction
      - anomaly-detection
    knowledgebase: true
  - name: File Systems & Storage Forensics
    type: concept
    description: >-
      Tiefgreifendes Verständnis von Dateisystem-Strukturen für forensische
      Datenrekonstruktion. NTFS-Metadaten ($MFT, $LogFile, $UsnJrnl),
      ext4-Journaling, APFS-Snapshots und HFS+-Forensik. Slack-Space-Analyse,
      Bad-Cluster-Hiding, Alternate-Data-Streams und versteckte Partitionen.
      Deleted-File-Recovery durch Inode-Strukturen, File-Carving-Prinzipien und
      Timestamp-Manipulation-Detection. Cloud-Storage-Forensik für OneDrive,
      Google Drive, Dropbox-Artefakte. Volume-Shadow-Copy-Analyse für
      Windows-Timeline-Rekonstruktion.
    skillLevel: intermediate
    url: https://forensicswiki.xyz/wiki/index.php?title=File_Systems
    icon: 💾
    domains:
      - static-investigations
      - incident-response
      - mobile-forensics
      - cloud-forensics
    phases:
      - examination
      - analysis
    tags:
      - filesystem-analysis
      - metadata-extraction
      - deleted-data-recovery
      - slack-space
      - journaling-analysis
      - timestamp-forensics
      - partition-analysis
      - cloud-storage
    knowledgebase: true
  - name: Timeline Analysis & Event Correlation
    type: concept
    description: >-
      Methodische Korrelation zeitbasierter Artefakte für
      Incident-Rekonstruktion und Beweisführung. Super-Timeline-Erstellung aus
      heterogenen Quellen, Zeitstempel-Normalisierung und Timezone-Handling.
      Pivot-Point-Identifikation, Activity-Gap-Analyse und
      Behavioral-Pattern-Erkennung. Correlation-Techniken zwischen
      System-Events, User-Activity und Network-Connections.
      Anti-Forensik-Detection durch Timeline-Inconsistencies.
      Automated-Timeline- Processing und Machine-Learning-basierte
      Anomalie-Erkennung für Enterprise-Scale-Investigations.
    skillLevel: advanced
    url: https://www.sans.org/white-papers/digital-forensics-timeline-analysis/
    icon: ⏰
    domains:
      - incident-response
      - static-investigations
      - network-forensics
      - cloud-forensics
    phases:
      - analysis
      - reporting
    tags:
      - timeline-correlation
      - event-sequencing
      - temporal-analysis
      - super-timeline
      - pivot-points
      - behavioral-patterns
      - anomaly-detection
      - anti-forensics-detection
    knowledgebase: true
  - name: Memory Forensics & Process Analysis
    type: concept
    description: >-
      Volatile-Memory-Strukturen und Process-Internals für
      Advanced-Malware-Detection. Virtual-Memory-Layout,
      Process-Injection-Techniken, DLL-Hollowing und Process-Ghosting-Erkennung.
      Kernel-Structures-Analysis, System-Call-Hooking und
      Rootkit-Detection-Methoden. Memory-Dump-Acquisition-Strategien,
      Address-Space-Reconstruction und Encrypted-Memory-Handling. 
      Cross-Platform-Memory-Forensik für Windows, Linux, macOS-Systeme.
      Live-Memory-Analysis vs. Dead-Memory-Investigation-Tradeoffs.
    skillLevel: advanced
    url: >-
      https://volatility-labs.blogspot.com/2012/10/movp-31-memory-forensics-taxonomy.html
    icon: 🧠
    domains:
      - incident-response
      - malware-analysis
      - static-investigations
    phases:
      - examination
      - analysis
    tags:
      - memory-structures
      - process-injection
      - rootkit-detection
      - kernel-analysis
      - address-space
      - live-analysis
      - malware-hiding
      - system-internals
    knowledgebase: true
  - name: hdiutil
    type: software
    description: >-
      macOS-nativer Disk-Image-Manager erstellt und mountet DMG, ISO,
      IMG-Dateien für forensische Analyse. Besonders wertvoll:
      Sparse-Image-Creation für Live-Collection, Checksum-Verifizierung mit
      CRC32/MD5, Read-Only-Mounting verhindert Beweis-Kontamination.
      Komprimierung und Verschlüsselung für sichere Evidence-Storage.
      Integration in Automator-Workflows für Batch-Processing. Der Standard für
      macOS-Imaging ohne externe Tools.
    skillLevel: intermediate
    url: https://ss64.com/osx/hdiutil.html
    icon: 💿
    domains:
      - incident-response
      - static-investigations
    phases:
      - data-collection
      - examination
    platforms:
      - macOS
    accessType: built-in
    license: Proprietary
    knowledgebase: false
    tags:
      - cli
      - disk-imaging
      - mounting
      - apfs
      - compression
      - encryption
      - checksum
      - sparse-images
    related_concepts:
      - Hash Functions & Digital Signatures
      - Digital Evidence Chain of Custody
    related_software:
      - dd
      - Fuji
  - name: asr
    type: software
    description: >-
      Apple Software Restore führt Block-Level-Restores von macOS-Images durch
      und ermöglicht forensisches Cloning ganzer Volumes. Besonders bei
      APFS-Container-Forensik wertvoll: Bit-genaue Duplikation inklusive
      Metadaten, Snapshot-Preservation und FileVault-Verschlüsselung.
      Network-Restore-Fähigkeiten für Remote-Imaging. Der Low-Level-Zugriff
      umgeht Dateisystem-Beschränkungen für saubere Akquisition.
    skillLevel: advanced
    url: https://ss64.com/osx/asr.html
    icon: 🔄
    domains:
      - incident-response
      - static-investigations
    phases:
      - data-collection
    platforms:
      - macOS
    accessType: built-in
    license: Proprietary
    knowledgebase: false
    tags:
      - cli
      - disk-imaging
      - cloning
      - apfs
      - filevault
      - network-restore
      - block-level
    related_concepts:
      - Digital Evidence Chain of Custody
    related_software:
      - hdiutil
      - dd
  - name: plutil
    type: software
    description: >-
      Property-List-Parser konvertiert zwischen XML, Binary und JSON-Formaten
      für macOS-Artefakt-Analyse. Extrahiert Konfigurationsdaten aus Apps,
      System-Preferences und versteckten Plist-Files. Besonders wertvoll:
      Binary-Plist-Dekodierung ohne Xcode, Syntax-Validation für korrupte Files,
      Batch-Conversion für Massen-Analyse. Command-Line-Integration in
      Forensik-Scripts. Unverzichtbar für macOS-Application-Forensik.
    skillLevel: beginner
    url: https://ss64.com/osx/plutil.html
    icon: 📋
    domains:
      - static-investigations
      - incident-response
    phases:
      - examination
      - analysis
    platforms:
      - macOS
    accessType: built-in
    license: Proprietary
    knowledgebase: false
    tags:
      - cli
      - plist-parser
      - xml-conversion
      - json-export
      - artifact-extraction
      - batch-processing
      - macos-artifacts
    related_concepts:
      - File Systems & Storage Forensics
    related_software:
      - ExifTool
  - name: spotlight_parser
    type: software
    description: >-
      Python-Framework analysiert macOS-Spotlight-Index für versteckte
      Dateimetadaten und Suchhistorie. Extrahiert gelöschte Referenzen,
      Volltext-Indizes und User-Search-Patterns aus .store-Datenbanken.
      Rekonstruiert File-Timeline auch nach Löschung, identifiziert externe
      Volume-Verbindungen. Besonders wertvoll für User-Activity-Tracking und
      Data-Exfiltration-Nachweis auf macOS-Systemen.
    skillLevel: intermediate
    url: https://github.com/ydkhatri/spotlight_parser
    icon: 🔍
    domains:
      - static-investigations
      - incident-response
    phases:
      - examination
      - analysis
    platforms:
      - macOS
      - Linux
      - Windows
    accessType: download
    license: MIT
    knowledgebase: false
    tags:
      - cli
      - spotlight-analysis
      - metadata-parser
      - deleted-file-recovery
      - search-history
      - python-tool
      - macos-artifacts
      - user-activity
    related_concepts:
      - File Systems & Storage Forensics
    related_software:
      - ALEAPP
      - iLEAPP
  - name: FSEventsParser
    type: software
    description: >-
      Dekodiert macOS-FSEvents-Logs für vollständige
      Dateisystem-Aktivitäts-Timeline ohne Lücken. Trackt Datei-Creation,
      Modification, Deletion und Movement auch bei gelöschten Files. Besonders
      wertvoll: Millisecond-Precision-Timestamps, Volume-übergreifende Tracking,
      Correlation mit anderen Artefakten. Python-basierte Parsing-Engine für
      Command-Line-Integration. Standard-Tool für macOS-Timeline-Forensik und
      Incident-Reconstruction.
    skillLevel: intermediate
    url: https://github.com/dlcowen/FSEventsParser
    icon: 📊
    domains:
      - static-investigations
      - incident-response
    phases:
      - examination
      - analysis
    platforms:
      - macOS
      - Linux
      - Windows
    accessType: download
    license: GPL-3.0
    knowledgebase: false
    tags:
      - cli
      - timeline-analysis
      - filesystem-monitoring
      - python-tool
      - macos-artifacts
      - deleted-file-recovery
      - high-precision
      - correlation-engine
    related_concepts:
      - Timeline Analysis & Event Correlation
      - File Systems & Storage Forensics
    related_software:
      - Plaso (log2timeline)
      - Timesketch
  - name: chainbreaker
    type: software
    description: >-
      Python-Tool extrahiert Passwörter, Zertifikate und Schlüssel aus
      macOS-Keychain-Dateien für Credential-Recovery. Dekryptiert sowohl Login-
      als auch System-Keychains mit User-Passwort oder Master-Key. Besonders
      wertvoll: WiFi-Passwort-Extraktion, Certificate-Chain-Analysis,
      Secure-Notes-Dekodierung. Batch-Processing für Enterprise-Deployments.
      Export in strukturierte Formate für weitere Analyse. Standard für
      macOS-Credential-Forensik.
    skillLevel: advanced
    url: https://github.com/n0fate/chainbreaker
    icon: ⛓️
    domains:
      - static-investigations
      - incident-response
    phases:
      - examination
      - analysis
    platforms:
      - macOS
      - Linux
      - Windows
    accessType: download
    license: GPL-3.0
    knowledgebase: false
    tags:
      - cli
      - credential-extraction
      - keychain-analysis
      - password-recovery
      - certificate-analysis
      - python-tool
      - macos-artifacts
      - wifi-passwords
    related_concepts:
      - Hash Functions & Digital Signatures
    related_software:
      - hashcat
  - name: UnifiedLogReader
    type: software
    description: >-
      Alpha-Stadium-Parser für macOS-Unified-Logging-System analysiert
      strukturierte Logd-Datenbanken für System-Event-Reconstruction. Extrahiert
      versteckte Debug-Messages, Kernel-Events und App-Crashes aus
      tracev3-Files. Besonders wertvoll bei Malware-Persistenz-Analysis und
      System-Tampering-Detection. Korreliert Events über Process-Boundaries
      hinweg. Experimentelle Software mit begrenzter Stability aber einzigartige
      Capabilities.
    skillLevel: expert
    url: https://github.com/ydkhatri/UnifiedLogReader
    icon: 📜
    domains:
      - incident-response
      - malware-analysis
    phases:
      - examination
      - analysis
    platforms:
      - macOS
      - Linux
      - Windows
    accessType: download
    license: MIT
    knowledgebase: false
    tags:
      - cli
      - log-parser
      - unified-logs
      - python-tool
      - macos-artifacts
      - system-events
      - kernel-analysis
      - experimental
    related_concepts:
      - Timeline Analysis & Event Correlation
    related_software:
      - Plaso (log2timeline)
      - Aftermath
  - name: xmount
    type: software
    description: >-
      Virtuelles Dateisystem mountet forensische Images als Block-Devices für
      Live-Analyse ohne Extraktion. Unterstützt EWF, AFF, RAW und DMG-Formate
      mit gleichzeitiger Konvertierung zwischen Formaten. Besonders wertvoll:
      Cache-System beschleunigt wiederholte Zugriffe, Write-Cache simuliert
      beschreibbare Images für Tests. FUSE-basierte Architektur für
      Linux/macOS-Integration. Perfekt für Timeline-Tools die direkten
      Disk-Zugriff benötigen.
    skillLevel: intermediate
    url: https://www.pinguin.lu/xmount
    icon: 🗄️
    domains:
      - static-investigations
      - incident-response
    phases:
      - examination
      - analysis
    platforms:
      - Linux
      - macOS
    accessType: download
    license: GPL-3.0
    knowledgebase: false
    tags:
      - cli
      - virtual-filesystem
      - image-mounting
      - format-conversion
      - fuse-based
      - cache-system
      - write-simulation
      - cross-format
    related_concepts:
      - File Systems & Storage Forensics
    related_software:
      - OSFMount
      - ewfmount
  - name: ewfmount
    type: software
    description: >-
      FUSE-Wrapper mountet Expert-Witness-Format-Images als reguläre Files für
      Standard-Tool-Zugriff. Teil der libewf-Suite ermöglicht Read-Only-Access
      auf E01/Ex01-Segmente ohne Vollextraktion. Besonders praktisch:
      Integration in Standard-Workflows, Performance-Optimierung für große
      Archives, Metadata-Preservation. Cross-Platform-Verfügbarkeit für
      heterogene Lab-Umgebungen. Alternative zu proprietären Mounting-Tools.
    skillLevel: beginner
    url: https://github.com/libyal/libewf/wiki/Mounting
    icon: 📁
    domains:
      - static-investigations
      - incident-response
    phases:
      - examination
    platforms:
      - Linux
      - macOS
    accessType: download
    license: LGPL-3.0
    knowledgebase: false
    tags:
      - cli
      - ewf-mounting
      - fuse-filesystem
      - read-only
      - segment-handling
      - cross-platform
      - libewf-suite
      - performance-optimized
    related_concepts:
      - Digital Evidence Chain of Custody
    related_software:
      - xmount
      - ewfacquire
  - name: iPhone Backup Extractor
    type: software
    description: >-
      Kommerzielle iOS-Backup-Analysis-Suite extrahiert Daten aus
      iTunes/Finder-Backups inklusive verschlüsselter Archives. Dekodiert
      App-Sandboxes, Keychain-Items und gelöschte SQLite-Records für umfassende
      iOS-Forensik. Besonders wertvoll: GUI für nicht-technische Ermittler,
      automatische App-Erkennung, Timeline-Export. Unterstützt iOS 3-17 mit
      regelmäßigen Updates. Premium-Features für Location-Data und
      Advanced-Recovery.
    skillLevel: beginner
    url: https://www.3utools.com/iphone-backup-extractor/
    icon: 📱
    domains:
      - mobile-forensics
      - static-investigations
    phases:
      - examination
      - analysis
    platforms:
      - Windows
      - macOS
    accessType: commercial
    license: Proprietary
    knowledgebase: false
    tags:
      - gui
      - ios-backup
      - commercial
      - keychain-extraction
      - app-analysis
      - timeline-export
      - encrypted-backup
      - sqlite-recovery
    related_concepts:
      - SQL
      - Hash Functions & Digital Signatures
    related_software:
      - iLEAPP
      - Cellebrite UFED
  - name: tmutil
    type: software
    description: >-
      Time-Machine-Utility steuert macOS-Backup-System und analysiert
      Snapshot-Strukturen für forensische Timeline-Reconstruction. Listet
      verfügbare Backups, vergleicht Versionen und extrahiert historische
      File-States. Besonders wertvoll: Point-in-Time-Recovery für Evidence,
      Metadata-Analyse von Backup-Changes, APFS-Snapshot-Integration.
      Thin-Backup-Analysis reduziert Storage-Overhead. Command-Line-Access für
      Scripting-Integration.
    skillLevel: intermediate
    url: https://ss64.com/osx/tmutil.html
    icon: ⏰
    domains:
      - static-investigations
      - incident-response
    phases:
      - examination
      - analysis
    platforms:
      - macOS
    accessType: built-in
    license: Proprietary
    knowledgebase: false
    tags:
      - cli
      - backup-analysis
      - snapshot-examination
      - apfs-snapshots
      - version-comparison
      - timeline-reconstruction
      - point-in-time-recovery
      - metadata-analysis
    related_concepts:
      - Timeline Analysis & Event Correlation
      - File Systems & Storage Forensics
    related_software:
      - ShadowExplorer
      - hdiutil
  - name: macOS Target Disk Mode Acquisition
    type: method
    description: >-
      Forensische Datensammlung über Target Disk Mode (TDM) durch Drücken der
      T-Taste beim Boot-Vorgang. Das Asservat verhält sich wie eine externe
      Festplatte über Firewire/Thunderbolt-Verbindung. Vollständiges Verfahren:
      1) Hardware-Schreibblocker anschließen, 2) T-Taste beim Boot drücken, 3)
      Ziel-Mac per Firewire/Thunderbolt verbinden, 4) Imaging mit dd/hdiutil
      durchführen. Limitierungen: nur erste Festplatte verfügbar,
      Firmware-Passwort blockiert TDM, Benutzerpasswort für
      FileVault-Entschlüsselung erforderlich.
    url: https://cloud.cc24.dev/f/32324
    skillLevel: intermediate
    domains:
      - incident-response
      - static-investigations
    phases:
      - data-collection
    platforms:
      - macOS
    tags:
      - live-acquisition
      - target-disk-mode
      - hardware-connection
      - write-blocker-required
      - firmware-limitation
      - password-dependent
      - scenario:disk_imaging
    related_concepts:
      - Digital Evidence Chain of Custody
    related_software:
      - dd
    icon: 🎯
  - name: macOS Auto-Mount Prevention
    type: method
    description: >-
      Verhinderung automatischen Mountens durch temporäres Deaktivieren des Disk
      Arbitrators. Verfahren: 1) 'sudo launchctl unload
      /System/Library/LaunchDaemons/com.apple.diskarbitrationd.plist' ausführen,
      2) Datenträger anschließen (kein diskutil verfügbar), 3) Imaging
      durchführen, 4) 'sudo launchctl load
      /System/Library/LaunchDaemons/com.apple.diskarbitrationd.plist' zur
      Reaktivierung. Alternative zu Hardware-Schreibblockern für forensisch
      saubere Anbindung.
    url: https://cloud.cc24.dev/f/32324
    skillLevel: intermediate
    domains:
      - incident-response
      - static-investigations
    phases:
      - data-collection
    platforms:
      - macOS
    tags:
      - write-blocker
      - disk-arbitrator
      - system-modification
      - contamination-prevention
      - sudo-required
      - manual-mounting
    related_concepts:
      - Digital Evidence Chain of Custody
    icon: 🚫
  - name: macOS Property List Analysis
    type: method
    description: >-
      Systematische Auswertung von Apple Property List Dateien (Plist) in XML-
      und Binärformat für Konfigurationsdaten und Systemeinstellungen.
      Konvertierung zwischen Formaten mit plutil-Tool, strukturierte Analyse des
      binären Objektaufbaus mit 8-Byte-Header, variabler Objekttabelle,
      Offset-Tabelle und 32-Byte-Trailer. Extraktion forensischer Artefakte aus
      Systemkonfigurationen, Anwendungseinstellungen und Benutzeraktivitäten.
    url: https://cloud.cc24.dev/f/32324
    skillLevel: intermediate
    domains:
      - static-investigations
      - incident-response
      - mobile-forensics
    phases:
      - examination
      - analysis
    platforms:
      - macOS
    tags:
      - plist-analysis
      - binary-decode
      - configuration-parsing
      - system-metadata
      - artifact-extraction
      - format-conversion
      - xml-parsing
    icon: 📋
    knowledgebase: true
  - name: macOS Spotlight Forensic Analysis
    type: method
    description: >-
      Tiefgehende Auswertung der Spotlight-Indexdatenbanken (.store-Dateien) für
      umfassende Dateimetadaten und Aktivitätsnachweise. Extraktion von
      Öffnungshäufigkeiten, letzten Zugriffsdaten und versteckten Metadaten die
      im normalen Dateisystem nicht verfügbar sind. Fundorte:
      /.Spotlight-V100/Store-V2/<UUID>/.store und
      ~/Library/Metadata/CoreSpotlight/. Analyse erfordert spezielle
      Python-Parser für proprietäres undokumentiertes Format.
    url: https://cloud.cc24.dev/f/32324
    skillLevel: advanced
    domains:
      - static-investigations
      - incident-response
    phases:
      - examination
      - analysis
    platforms:
      - macOS
    tags:
      - spotlight-analysis
      - metadata-extraction
      - timeline-analysis
      - file-activity
      - indexing-forensics
      - database-parsing
      - python-tools
    related_concepts:
      - Timeline Analysis & Event Correlation
    icon: 🔍
    knowledgebase: true
  - name: macOS FSEvents Analysis
    type: method
    description: >-
      Forensische Auswertung von FSEvents-Logs für historische
      Dateisystemänderungen seit macOS 10.7. Fundort: /.fseventsd/xxxxxxxxxx
      (gzip-komprimiert). Dateiname entspricht letzter Event-ID + 1.
      Dekomprimierung und Parsing für chronologische Rekonstruktion von
      Datei-/Ordner-Operationen. Besonderheit: alphabetische statt
      chronologische Speicherung erfordert spezielle Parser für zeitbasierte
      Analyse und Aktivitätsmuster-Erkennung.
    url: https://cloud.cc24.dev/f/32324
    skillLevel: intermediate
    domains:
      - static-investigations
      - incident-response
    phases:
      - examination
      - analysis
    platforms:
      - macOS
    tags:
      - fsevents-analysis
      - filesystem-monitoring
      - historical-analysis
      - gzip-decompression
      - timeline-reconstruction
      - file-operations
      - activity-tracking
    related_concepts:
      - Timeline Analysis & Event Correlation
      - File Systems & Storage Forensics
    icon: 📁
    knowledgebase: true
  - name: macOS Keychain Forensic Analysis
    type: method
    description: >-
      Extraktion und Entschlüsselung von Passwörtern aus macOS Keychain-Dateien
      (~/Library/Keychains/*) für Zugangsdaten-Recovery. Auf T2/M1-Systemen
      Hardware-Bindung durch HEK-Schlüssel, Entschlüsselung nur mit bekanntem
      Benutzerpasswort möglich. Neuere Versionen: Export-Funktion deaktiviert,
      Alternative über Safari-Password-Manager (CSV-Export) oder
      Python-Chainbreaker-Tools für Offline-Analyse.
    url: https://cloud.cc24.dev/f/32324
    skillLevel: advanced
    domains:
      - static-investigations
      - incident-response
      - fraud-investigation
    phases:
      - examination
      - analysis
    platforms:
      - macOS
    tags:
      - keychain-analysis
      - password-extraction
      - hardware-encryption
      - credential-recovery
      - t2-m1-limitations
      - python-tools
      - access-restriction
    related_concepts:
      - Hash Functions & Digital Signatures
    icon: 🔐
    knowledgebase: true
  - name: macOS Unified Log Analysis
    type: method
    description: >-
      Dekodierung und Analyse des Apple Unified Logging (AUL) ab macOS 10.12 für
      systemweite Event-Korrelation. Datenquellen: /var/db/diagnostics/Persist/
      (tracev3-Dateien), /var/db/diagnostics/Special/ und /var/db/uuidtext.
      Analyse mit 'log show', 'log collect', Predicate-Filter für gezielte
      Suchen. Offline-Analyse erfordert Übertragung der Verzeichnisse auf
      Analyse-Mac oder Virtualisierung des Zielsystems.
    url: https://cloud.cc24.dev/f/32324
    skillLevel: advanced
    domains:
      - incident-response
      - static-investigations
    phases:
      - examination
      - analysis
    platforms:
      - macOS
    tags:
      - unified-logging
      - tracev3-parsing
      - predicate-filters
      - subsystem-analysis
      - binary-log-format
      - timeline-creation
      - system-monitoring
    related_concepts:
      - Timeline Analysis & Event Correlation
    icon: 📊
    knowledgebase: true
  - name: macOS DMG Image Mounting
    type: method
    description: >-
      Forensisch sauberes Mounting von Mac Disk Images mit Write-Protection.
      Verfahren: 1) DMG-Datei als 'geschützt' markieren (Schloss-Icon), 2)
      'hdiutil attach -shadow' für Shadow-File-Erstellung, 3) 'mdutil -i on' für
      Spotlight-Indexierung ohne Original-Änderung. Alternative: RAW/E01-Images
      mit xmount zu DMG konvertieren. Ermöglicht native macOS-Tool-Nutzung und
      Spotlight-Durchsuchbarkeit bei forensischer Integrität.
    url: https://cloud.cc24.dev/f/32324
    skillLevel: intermediate
    domains:
      - static-investigations
      - incident-response
    phases:
      - examination
      - analysis
    platforms:
      - macOS
    tags:
      - dmg-mounting
      - write-protection
      - shadow-files
      - spotlight-indexing
      - image-conversion
      - forensic-imaging
      - read-only-access
    related_concepts:
      - Digital Evidence Chain of Custody
    related_software:
      - OSFMount
    icon: 💿
  - name: macOS Time Machine Backup Analysis
    type: method
    description: >-
      Forensische Auswertung von Time Machine Backups für historische
      Systemzustände. Bis macOS 10.x: HFS+-Sparse-Bundle mit Hardlinks, ab
      BigSur: APFS-Snapshots. Analyse-Befehle: 'tmutil listbackups', 'tmutil
      listlocalsnapshots', 'tmutil destinationinfo'. Backup-Struktur: stündlich
      (24h), täglich (1 Monat), wöchentlich (permanent). Auswertung der
      backup_manifest.plist für Snapshot-IDs und Timeline-Rekonstruktion.
    url: https://cloud.cc24.dev/f/32324
    skillLevel: intermediate
    domains:
      - static-investigations
      - incident-response
    phases:
      - examination
      - analysis
    platforms:
      - macOS
    tags:
      - time-machine-analysis
      - backup-forensics
      - sparse-bundle
      - apfs-snapshots
      - hardlink-analysis
      - historical-recovery
      - manifest-parsing
    related_concepts:
      - Timeline Analysis & Event Correlation
      - File Systems & Storage Forensics
    icon: ⏰
    knowledgebase: true
  - name: iOS Backup Forensic Analysis
    type: method
    description: >-
      Extraktion und Analyse von iTunes/iCloud-Backups für iOS-Geräte-Forensik.
      Fundorte: Windows: /Users/[User]/AppData/Roaming/Apple
      Computer/MobileSync/Backup/, macOS: ~/Library/Application
      Support/MobileSync/Backup/. UDID-basierte Ordnerstruktur (SHA1 aus
      Seriennummer/IMEI/MAC), GUID-benannte Dateien enthalten
      iOS-Dateisystem-Inhalte. Analyse von Info.plist, Manifest.plist,
      Status.plist für Backup-Metadaten.
    url: https://cloud.cc24.dev/f/32324
    skillLevel: intermediate
    domains:
      - mobile-forensics
      - static-investigations
    phases:
      - examination
      - analysis
    platforms:
      - macOS
    tags:
      - ios-backup-analysis
      - udid-decoding
      - manifest-parsing
      - app-data-recovery
      - backup-decryption
      - mobile-artifacts
      - itunes-backup
    related_concepts:
      - SQL
      - Digital Evidence Chain of Custody
    related_software:
      - Cellebrite UFED
    icon: 📱
    knowledgebase: true
  - name: macOS iCloud Artifact Analysis
    type: method
    description: >-
      Systematische Auswertung von iCloud-Synchronisations-Artefakten im lokalen
      Dateisystem. Fundorte: ~/Library/Application Support/iCloud/Accounts
      (iCloud-ID), ~/Library/Mobile Documents/ (synchronisierte Dateien),
      ~/Library/SyncedPreferences/ (App-Einstellungen), ~/Library/Application
      Support/CloudDocs/ (client.db/server.db). Extraktion der account.1-Datei
      und .DS_Store-Analyse für Cloud-Aktivitätsnachweise ohne direkten
      iCloud-Zugriff.
    url: https://cloud.cc24.dev/f/32324
    skillLevel: advanced
    domains:
      - cloud-forensics
      - static-investigations
    phases:
      - examination
      - analysis
    platforms:
      - macOS
    tags:
      - icloud-forensics
      - cloud-synchronization
      - mobile-documents
      - token-extraction
      - sync-analysis
      - cloud-artifacts
      - metadata-analysis
    related_concepts:
      - Hash Functions & Digital Signatures
    icon: ☁️
    knowledgebase: true
  - name: macOS Communication App Analysis
    type: method
    description: >-
      Forensische Untersuchung nativer macOS Kommunikations-Apps für
      Nachrichtenverlauf. Messages: chat.db-SQLite-Datenbank (Tabellen: chat,
      messages, handle, attachments), Attachments-Verzeichnis. Mail: Envelope
      Index-Datenbank, .emlx-Dateien, Accounts-SQLite. Kontakte:
      AddressBook-v22.abcddb, MailRecents-v4.abcdmr. FaceTime:
      Plist-Konfigurationen mit Anruflisten. Korrelation zwischen Apps und
      iOS-Synchronisation.
    url: https://cloud.cc24.dev/f/32324
    skillLevel: intermediate
    domains:
      - static-investigations
      - fraud-investigation
      - incident-response
    phases:
      - examination
      - analysis
    platforms:
      - macOS
    tags:
      - communication-analysis
      - chat-db-analysis
      - message-recovery
      - attachment-extraction
      - contact-analysis
      - ios-synchronization
      - sqlite-parsing
    related_concepts:
      - SQL
      - Timeline Analysis & Event Correlation
    icon: 💬
    knowledgebase: true
  - name: Windows Passwort-Umgehung via Utilman-Ersetzung
    type: method
    description: >-
      Boot mit Linux-Live-System (z.B. Kali Linux), Mount der
      Windows-Partition,  Backup von C:\Windows\System32\Utilman.exe erstellen,
      Utilman.exe durch  cmd.exe überschreiben, Windows-Neustart, Klick auf
      Erleichterte Bedienung  (Uhr-Symbol) öffnet CMD mit Systemrechten, "net
      user USERNAME NEUES_PASSWORT"  eingeben für Passwort-Reset. Nach Anmeldung
      Original-Utilman.exe  wiederherstellen. Funktioniert bei allen
      Windows-Versionen ohne BitLocker.
    url: https://cloud.cc24.dev/f/32333
    skillLevel: intermediate
    domains:
      - incident-response
      - static-investigations
    phases:
      - data-collection
    platforms:
      - Windows
    tags:
      - password-bypass
      - system-access
      - utilman-replacement
      - live-boot
      - administrator-rights
      - net-user-command
      - linux-tools
    related_concepts:
      - Digital Evidence Chain of Custody
    related_software:
      - Kali Linux
    icon: 🔓
  - name: RDP Cache Analyse
    type: method
    description: >-
      Systematische Extraktion von RDP-Cache-Dateien aus 
      C:\Users\XXX\AppData\Local\Microsoft\Terminal Server Client\Cache für 
      Lateral-Movement-Nachweis. 64x64-Bitmap-Fragmente mit speziellen Tools 
      extrahieren und zu Bildschirm-Screenshots rekonstruieren.
      Registry-Analyse  von MRU-Einträgen unter
      HKEY_CURRENT_USER\Software\Microsoft\Terminal  Server Client\Default für
      RDP-Server-Historie und UsernameHint-Extraktion  aus \Servers-Schlüssel.
      Korrelation mit Event-Logs für vollständige  RDP-Timeline.
    url: https://cloud.cc24.dev/f/32333
    skillLevel: advanced
    domains:
      - incident-response
      - network-forensics
      - malware-analysis
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - rdp-cache
      - lateral-movement
      - terminal-server
      - bitmap-analysis
      - mru-analysis
      - apt-investigation
      - network-intrusion
      - cache-forensics
    related_concepts:
      - Timeline Analysis & Event Correlation
    related_software:
      - RegRipper
      - Eric Zimmerman Tools
      - bmc-tools
    icon: 🖥️
    knowledgebase: true
  - name: Windows Event Log Forensische Analyse
    type: method
    description: >-
      Dekodierung binärer EVT/EVTX-Logs durch Korrelation mit Message-Table-
      Ressourcen in System-DLLs. Event-ID-Mapping über Registry-Einträge in 
      HKLM\System\CurrentControlSet\Services\EventLog für Template-Zuordnung. 
      Wichtige Event-IDs: 4624/4625 (Logon Success/Fail), 4778/4779 (RDP 
      Connect/Disconnect), 7034-7045 (Service-Events). Timeline-Erstellung  mit
      Plaso, XML-Export für strukturierte Analyse, Korrelation zwischen 
      Security.evtx, System.evtx und Application.evtx für vollständige 
      Systemaktivitäts-Rekonstruktion.
    url: https://cloud.cc24.dev/f/32333
    skillLevel: intermediate
    domains:
      - incident-response
      - static-investigations
      - network-forensics
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - event-logs
      - evt-analysis
      - evtx-analysis
      - timeline-analysis
      - logon-analysis
      - rdp-sessions
      - service-analysis
      - message-tables
      - xml-parsing
    related_concepts:
      - Timeline Analysis & Event Correlation
    related_software:
      - Plaso (log2timeline)
      - Eric Zimmerman Tools
      - Timesketch
    icon: 📊
    knowledgebase: true
  - name: USB-Gerät Analyse unter Windows
    type: method
    description: >-
      Registry-Extraktion aus SYSTEM\CurrentControlSet\Enum\USBSTOR für 
      Hersteller/Produkt/Version-Identifikation und Unique-Serial-Numbers  (ohne
      & im 2. Zeichen). First/Last-Connection-Zeiten aus Properties 
      0064/0066/0067-Registry-Werten. Setupapi.dev.log-Analyse für Initial-
      Installation-Timestamps. Volume-Serial-Number-Korrelation zwischen 
      ENDMgmt-Registry und LNK-Dateien für Device-File-Zuordnung. 
      MountedDevices-Registry für Laufwerksbuchstaben-Historie.
    url: https://cloud.cc24.dev/f/32333
    skillLevel: intermediate
    domains:
      - static-investigations
      - incident-response
      - fraud-investigation
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - usb-forensics
      - registry-analysis
      - pnp-logs
      - volume-serial
      - mounted-devices
      - setupapi-analysis
      - device-identification
      - connection-timeline
      - lnk-correlation
    related_concepts:
      - Timeline Analysis & Event Correlation
      - Digital Evidence Chain of Custody
    related_software:
      - RegRipper
      - Eric Zimmerman Tools
      - USBDeview
    icon: 🔌
    knowledgebase: true
  - name: Windows Registry Tiefenanalyse
    type: method
    description: >-
      REGF/CREG-Format-Parsing von Registry-Hives (SYSTEM, SOFTWARE, SAM, 
      SECURITY, NTUSER.DAT) für Systemkonfiguration und User-Activity. 
      LastWrite-Timestamp-Analyse für Key-Änderungszeiten (Nanosekunden seit 
      1601). Autorun-Location-Enumeration in Run/RunOnce-Schlüsseln für 
      Persistenz-Mechanismen. Network-Signatures für WLAN-Historie, MRU-Listen 
      für Recent-Activities, UserAssist-ROT13-Dekodierung für GUI-Starts, 
      ShellBags für Folder-Access, 64-Bit-Support über Wow6432Node-Analyse.
    url: https://cloud.cc24.dev/f/32333
    skillLevel: intermediate
    domains:
      - static-investigations
      - incident-response
      - malware-analysis
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - registry-analysis
      - hive-parsing
      - lastwrite-timestamps
      - autorun-detection
      - mru-analysis
      - userassist-decoding
      - shellbags-analysis
      - wow6432node
      - rot13-decoding
      - persistence-analysis
    related_concepts:
      - Timeline Analysis & Event Correlation
    related_software:
      - RegRipper
      - Eric Zimmerman Tools
      - Registry Explorer
    icon: 📜
    knowledgebase: true
  - name: Volume Shadow Copy Forensische Analyse
    type: method
    description: >-
      VSS-Snapshot-Auflistung mit "vssadmin list shadows /for=C:", Zugriff  via
      mklink-Verknüpfung: "mklink /d c:\vss-test 
      \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\". Imaging mit dd:  "dd
      if=\\.\HarddiskVolumeShadowCopy4 of=shadowcopy.dd". X-Ways-Integration 
      über Dateiüberblick erweitern → gründliche
      Dateisystem-Datenstruktur-Suche  → SC-Attribut-Filterung für
      Shadow-Copy-Dateien. Copy-on-Write-Prinzip:  nur Änderungen seit letztem
      Snapshot gespeichert. Gelöschte Dateien  bleiben in Snapshots erhalten.
    url: https://cloud.cc24.dev/f/32333
    skillLevel: intermediate
    domains:
      - static-investigations
      - incident-response
      - fraud-investigation
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - shadow-copy-analysis
      - vss-forensics
      - snapshot-recovery
      - vssadmin-commands
      - mklink-access
      - copy-on-write
      - historical-analysis
      - deleted-file-recovery
      - x-ways-integration
      - sc-filtering
    related_concepts:
      - Timeline Analysis & Event Correlation
      - File Systems & Storage Forensics
    related_software:
      - ShadowExplorer
      - X-Ways Forensics
      - dd
    icon: 📸
  - name: Windows Netzwerk-Forensik mit PowerShell
    type: method
    description: >-
      Live-System-Netzwerk-Sammlung: Get-NetAdapter für Interface-Liste, 
      Get-NetIPAddress für IP-Konfiguration, Get-NetTCPConnection für aktive 
      Verbindungen, Get-NetUDPEndpoint für UDP-Ports, Get-NetNeighbor für 
      ARP-Tabelle, Get-NetRoute für Routing-Informationen. 
      Get-NetAdapterStatistics für Traffic-Volumina,  Get-NetAdapterHardwareInfo
      für Hardware-Details. Batch-Sammlung mit  | Export-Csv für strukturierte
      Ausgabe. Korrelation mit Registry-Daten  unter NetworkList für historische
      Profile.
    url: https://cloud.cc24.dev/f/32333
    skillLevel: intermediate
    domains:
      - incident-response
      - network-forensics
    phases:
      - data-collection
      - examination
    platforms:
      - Windows
    tags:
      - powershell-forensics
      - network-analysis
      - live-analysis
      - netadapter-cmdlets
      - tcp-connections
      - routing-analysis
      - neighbor-discovery
      - traffic-statistics
      - cmdlet-scripting
    related_concepts:
      - Network Protocols & Packet Analysis
    related_software:
      - Wireshark
    icon: 🌐
  - name: UserAssist Forensische Analyse
    type: method
    description: >-
      ROT13-Dekodierung von NTUSER.DAT\Software\Microsoft\Windows\
      CurrentVersion\Explorer\UserAssist\{GUID}\Count für
      Desktop-GUI-Programme.  GUID-Kategorien: CEBFF5CD (Executable), F4E57C4B
      (Shortcut), 75048700  (Active Desktop-XP). Jeder Eintrag enthält
      Ausführungs-Count und  Last-Execution-Time. ROT13-Dekodierung: A→N, B→O
      etc. Automated-Tools  für Batch-Dekodierung verfügbar. Registry-Explorer
      zeigt Last-Write-Time  des UserAssist-Keys für Timeline-Korrelation.
    url: https://cloud.cc24.dev/f/32333
    skillLevel: intermediate
    domains:
      - static-investigations
      - incident-response
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - userassist-analysis
      - rot13-decoding
      - gui-tracking
      - execution-frequency
      - registry-analysis
      - desktop-programs
      - timeline-analysis
      - ntuser-dat
      - guid-analysis
    related_concepts:
      - Timeline Analysis & Event Correlation
    related_software:
      - RegRipper
      - Eric Zimmerman Tools
      - UserAssist GUI
    icon: 🖱️
  - name: Shell Bags Analyse
    type: method
    description: >-
      Ordnerzugriffs-Historie aus USRCLASS.DAT\Local Settings\Software\
      Microsoft\Windows\Shell\Bags (Explorer) und NTUSER.DAT\Software\
      Microsoft\Windows\Shell\BagMRU (Desktop). Jeder Bag enthält 
      Folder-Settings und Zugriffs-Timestamps. BagMRU zeigt chronologische 
      MRU-Liste mit letzten Ordner-Öffnungen. Nachweis gelöschter Verzeichnisse 
      durch Registry-Persistenz nach Folder-Deletion. Netzwerk-Share-Zugriffe 
      und USB-Pfade werden ebenfalls geloggt.
    url: https://cloud.cc24.dev/f/32333
    skillLevel: intermediate
    domains:
      - static-investigations
      - incident-response
      - fraud-investigation
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - shellbags-analysis
      - folder-access
      - network-shares
      - deleted-directories
      - usrclass-dat
      - ntuser-dat
      - explorer-forensics
      - access-timeline
      - data-exfiltration
    related_concepts:
      - Timeline Analysis & Event Correlation
      - File Systems & Storage Forensics
    related_software:
      - Eric Zimmerman Tools
      - RegRipper
      - ShellBags Explorer
    icon: 📁
  - name: LNK-Dateien Forensische Analyse
    type: method
    description: >-
      Shortcut-Analyse aus %USERPROFILE%\AppData\Roaming\Microsoft\Windows\
      Recent\ für File-Access-Historie. Jede LNK-Datei enthält: Target-Path, 
      Working-Directory, Creation/Modification/Access-Times der Zieldatei, 
      Volume-Serial-Number, Network-Share-Info, Host-Name. LNK-Creation-Time  =
      erste Datei-Öffnung, LNK-Modification-Time = letzte Öffnung. 
      Besonderheit: LNK-Dateien für Netzwerk-Dateien bleiben auch nach 
      Original-Löschung bestehen und zeigen Remote-Zugriffe.
    url: https://cloud.cc24.dev/f/32333
    skillLevel: beginner
    domains:
      - static-investigations
      - incident-response
      - fraud-investigation
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - lnk-analysis
      - shortcut-forensics
      - file-access-history
      - volume-information
      - network-shares
      - target-metadata
      - remote-files
      - mac-timestamps
      - serial-numbers
    related_concepts:
      - Timeline Analysis & Event Correlation
      - File Systems & Storage Forensics
    related_software:
      - Eric Zimmerman Tools
    icon: 🔗
  - name: Prefetch-Dateien Forensische Analyse
    type: method
    description: >-
      Programm-Execution-Nachweis durch C:\Windows\Prefetch\*.pf-Analyse. 
      Dateiformat: EXENAME-HASH.pf mit Last-Execution-Time (Modification-Date), 
      Run-Count, Referenced-Files/Directories. Creation-Time = erste
      Ausführung.  Kapazitäten: 128 Files (XP/7), 1024 Files (Win8+). Hash
      basiert auf  Executable-Path, nicht Content - Path-Änderung erzeugt neue
      PF-Datei.  Prefetch-Status: Registry
      HKLM\SYSTEM\CurrentControlSet\Control\ Session Manager\Memory
      Management\PrefetchParameters.
    url: https://cloud.cc24.dev/f/32333
    skillLevel: intermediate
    domains:
      - incident-response
      - malware-analysis
      - static-investigations
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - prefetch-analysis
      - program-execution
      - execution-frequency
      - last-execution-time
      - file-handles
      - malware-evidence
      - performance-cache
      - hash-calculation
      - capacity-limits
    related_concepts:
      - Timeline Analysis & Event Correlation
    related_software:
      - Eric Zimmerman Tools
    icon: ⚡
  - name: Jump Lists Forensische Analyse
    type: method
    description: >-
      Windows 7+ Taskbar-Recent-Items aus %USERPROFILE%\AppData\Roaming\
      Microsoft\Windows\Recent\AutomaticDestinations\*.automaticDestinations-ms. 
      AppID-basierte Dateinamen (z.B. 1bc392b3d42b9fb2.automaticDestinations-ms 
      für Notepad). Jede Datei enthält LNK-Streams für Recent-Documents. 
      Creation-Time = erste App-Nutzung, Modification-Time = letztes 
      Document-Opening. Internal-LNK-Parsing zeigt accessed Files mit 
      Timestamps und Paths.
    url: https://cloud.cc24.dev/f/32333
    skillLevel: intermediate
    domains:
      - static-investigations
      - incident-response
      - fraud-investigation
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - jump-lists
      - taskbar-forensics
      - automatic-destinations
      - appid-analysis
      - lnk-correlation
      - user-workflow
      - document-access
      - chronological-analysis
      - windows7-plus
    related_concepts:
      - Timeline Analysis & Event Correlation
    related_software:
      - Eric Zimmerman Tools
    icon: 📋
  - name: Thumbcache Analyse
    type: method
    description: >-
      Thumbnail-Extraktion aus %USERPROFILE%\AppData\Local\Microsoft\Windows\
      Explorer\thumbcache_*.db (Vista+) für Image-Viewing-Evidence. 
      ThumbnailCacheID-Korrelation mit Windows.edb SystemIndex_0A-Tabelle  für
      Original-Filename-Recovery. Thumbcache-Größen: 32, 96, 256, 1024  Pixel.
      XP: thumbs.db pro Verzeichnis mit direkten Dateinamen.  Netzwerk-Shares
      erzeugen weiterhin thumbs.db-Dateien auch unter Win10.  Thumbnails bleiben
      nach Original-File-Deletion erhalten.
    url: https://cloud.cc24.dev/f/32333
    skillLevel: intermediate
    domains:
      - static-investigations
      - fraud-investigation
      - mobile-forensics
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - thumbcache-analysis
      - thumbnail-forensics
      - image-viewing
      - thumbnailcacheid
      - windows-edb
      - systemindex-correlation
      - deleted-images
      - csam-investigation
      - content-awareness
      - thumbs-db
    related_concepts:
      - File Systems & Storage Forensics
    related_software:
      - Thumbcache Viewer
    icon: 🖼️
  - name: Windows Zone Identifier Analyse
    type: method
    description: >-
      NTFS-Alternate-Data-Stream-Analyse für Download-Attribution: 
      filename:Zone.Identifier mit ZoneId-Werten: 0=Local, 1=Intranet, 
      2=Trusted Sites, 3=Internet, 4=Restricted Sites. Browser-Downloads 
      erhalten automatisch Zone.Identifier-Markierung. Analyse mit  "dir /R"
      oder "more filename:Zone.Identifier". Streams-Tool zeigt  alle ADS eines
      Verzeichnisses. Registry-Policies können  Zone-Marking deaktivieren.
    url: https://cloud.cc24.dev/f/32333
    skillLevel: intermediate
    domains:
      - incident-response
      - malware-analysis
      - static-investigations
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - zone-identifier
      - alternate-data-streams
      - download-attribution
      - security-zones
      - ntfs-forensics
      - browser-markings
      - malware-sources
      - web-attacks
      - origin-tracking
    related_concepts:
      - File Systems & Storage Forensics
    related_software:
      - Strings
      - Streams
    icon: 🌐
  - name: Outlook Attachments Forensische Analyse
    type: method
    description: >-
      OLK-Cache-Analyse aus %USERPROFILE%\AppData\Local\Microsoft\Windows\
      INetCache\Content.Outlook\[Random-GUID]\ für temporäre Attachments. 
      Registry-Pfad-Ermittlung: HKCU\Software\Microsoft\Office\{VERSION}\
      Outlook\Security\OutlookSecureTempFolder. Versions-Mapping: 12.0=2007, 
      14.0=2010, 15.0=2013, 16.0=365. Opened/Deleted-Attachments bleiben  im
      Cache bis Outlook-Restart. Filename-Original-Names meist erhalten. 
      Integration mit PST-Analysis für E-Mail-Context-Correlation.
    url: https://cloud.cc24.dev/f/32333
    skillLevel: beginner
    domains:
      - static-investigations
      - incident-response
      - fraud-investigation
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - outlook-forensics
      - email-attachments
      - olk-cache
      - inetcache-analysis
      - registry-paths
      - temporary-files
      - attachment-timeline
      - pst-integration
      - email-investigation
    related_concepts:
      - Timeline Analysis & Event Correlation
    related_software:
      - libpff/pffexport
    icon: 📧
  - name: Office Files MRU Forensische Analyse
    type: method
    description: >-
      Microsoft Office Recent-Files aus NTUSER.DAT\Software\Microsoft\
      Office\{VERSION}\UserMRU\LiveID_####\FileMRU. Versions-Codes:  10.0=XP,
      11.0=2003, 12.0=2007, 14.0=2010, 15.0=365, 16.0=365.  LiveID-Integration
      zeigt Cloud-Account-Binding. MRU-Liste-Analyse  für chronologische
      Dokument-Zugriffe mit Last-Access-Timestamps.  Application-spezifische
      Unterschlüssel für Word, Excel, PowerPoint.  Integration mit
      Recent-Folders für vollständige Office-Usage-Timeline.
    url: https://cloud.cc24.dev/f/32333
    skillLevel: beginner
    domains:
      - static-investigations
      - incident-response
      - fraud-investigation
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - office-mru
      - recent-documents
      - registry-analysis
      - version-specific
      - liveid-integration
      - filemru-analysis
      - document-access
      - productivity-patterns
      - cloud-accounts
    related_concepts:
      - Timeline Analysis & Event Correlation
    related_software:
      - RegRipper
      - Eric Zimmerman Tools
    icon: 📄
  - name: Recent Dateien Registry-Analyse
    type: method
    description: >-
      RecentDocs-Analyse aus NTUSER.DAT\Software\Microsoft\Windows\
      CurrentVersion\Explorer\RecentDocs für 150 zuletzt geöffnete 
      Files/Folders. MRU-Binary-Liste zeigt chronologische Reihenfolge 
      (jüngste=0). Extension-Unterschlüssel (*.pdf, *.docx) für 
      Filetype-spezifische Historie. Folder-Unterschlüssel für 
      Directory-Access. LastWrite-Time des Keys = letzte Datei-Öffnung  dieser
      Extension. Binary-Data enthält Unicode-Filename-Strings.
    url: https://cloud.cc24.dev/f/32333
    skillLevel: beginner
    domains:
      - static-investigations
      - incident-response
      - fraud-investigation
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - recent-docs
      - registry-analysis
      - mru-lists
      - file-access-history
      - extension-tracking
      - folder-access
      - lastwrite-correlation
      - user-activity
      - chronological-analysis
    related_concepts:
      - Timeline Analysis & Event Correlation
    related_software:
      - RegRipper
      - Eric Zimmerman Tools
    icon: 📂
  - name: Windows Anmeldeverfahren Forensische Analyse
    type: method
    description: >-
      Authentication-Mechanismus-Analyse: NTLM Challenge-Response vs.  Kerberos
      Ticket-Granting für Domain-Environments. Event-Log-Analysis  für
      Logon-Types: 2=Interactive Console, 3=Network, 4=Batch,  5=Service,
      7=Unlock, 8=Network Cleartext, 9=New Credentials,  10=Remote Interactive
      (RDP), 11=Cached Interactive. Registry-Analysis  für
      Cached-Domain-Credentials unter SECURITY\Cache und Authentication-
      Packages in LSA. Smartcard/Biometric-Evidence in specialized Event-Logs.
    url: https://cloud.cc24.dev/f/32333
    skillLevel: advanced
    domains:
      - incident-response
      - static-investigations
      - network-forensics
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - authentication-analysis
      - logon-types
      - interactive-logon
      - smartcard-analysis
      - biometric-analysis
      - network-logon
      - ntlm-analysis
      - kerberos-analysis
      - cached-credentials
      - event-correlation
    related_concepts:
      - Timeline Analysis & Event Correlation
      - Network Protocols & Packet Analysis
    icon: 🔐
    knowledgebase: true
  - name: OpenSave MRU Forensische Analyse
    type: method
    description: >-
      Shell-Dialog-basierte File-History aus NTUSER.DAT\Software\Microsoft\
      Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU (XP) bzw. 
      OpenSavePIDlMRU (Win7+). "*"-Subkey = alle Dateien, Extension-Subkeys 
      (*.txt, *.jpg) = filetype-spezifisch. Binary-MRU-Data enthält  File-Paths
      und Shell-Item-IDs. LastWrite-Time = letzte Dialog-Usage  dieser
      Extension. Covers alle Anwendungen die Standard-Windows- File-Dialogs
      verwenden (nicht Browser-Downloads).
    url: https://cloud.cc24.dev/f/32333
    skillLevel: intermediate
    domains:
      - static-investigations
      - incident-response
      - fraud-investigation
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - opensave-mru
      - shell-dialogs
      - file-access-tracking
      - comdlg32-analysis
      - extension-specific
      - registry-timestamps
      - user-interaction
      - dialog-boxes
      - application-forensics
    related_concepts:
      - Timeline Analysis & Event Correlation
    related_software:
      - RegRipper
      - Eric Zimmerman Tools
    icon: 💾
  - name: Last-Visited MRU Forensische Analyse
    type: method
    description: >-
      Application-zu-Path-Korrelation aus NTUSER.DAT\Software\Microsoft\
      Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU (XP) bzw. 
      LastVisitedPidlMRU (Win7+). Binary-Data-Format: Executable-Name + 
      Opened-Path-String. Beispiel: notepad.exe → C:\Users\Rob\Desktop  zeigt
      von wo Notepad gestartet wurde. MRU-Reihenfolge = chronologische 
      App-Launches mit File-Dialog-Usage. Malware-Launch-Directory- Attribution
      für Portable-Executables oder Removable-Media-Starts.
    url: https://cloud.cc24.dev/f/32333
    skillLevel: intermediate
    domains:
      - incident-response
      - malware-analysis
      - static-investigations
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - lastvisited-mru
      - application-paths
      - executable-tracking
      - launch-directories
      - malware-origins
      - portable-apps
      - execution-timeline
      - path-correlation
      - startup-analysis
    related_concepts:
      - Timeline Analysis & Event Correlation
    related_software:
      - RegRipper
      - Eric Zimmerman Tools
    icon: 🗂️
  - name: IE History Laufwerkszugriffe Analyse
    type: method
    description: >-
      Non-Browser-File-Access via IE-History in index.dat (IE6-9) bzw. 
      WebCacheV*.dat (IE10+) unter %USERPROFILE%\AppData\Local\Microsoft\
      Windows\WebCache\. file:///-URL-Entries zeigen lokale Dateizugriffe  und
      UNC-Network-Share-Access auch ohne Browser-Usage. URL-Format: 
      file:///C:/path/file.ext oder file://server/share/file. 
      Timestamp-Analysis für File-Access-Timeline unabhängig von 
      Explorer-Recent-Lists. WebCacheView-Tool für structured Database-Export.
    url: https://cloud.cc24.dev/f/32333
    skillLevel: intermediate
    domains:
      - static-investigations
      - incident-response
      - network-forensics
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - ie-history
      - file-protocol
      - local-file-access
      - unc-shares
      - index-dat
      - webcache-analysis
      - non-browser-access
      - timeline-reconstruction
      - network-shares
      - remote-files
    related_concepts:
      - Timeline Analysis & Event Correlation
      - Network Protocols & Packet Analysis
    related_software:
      - WebCacheView
    icon: 🌐
  - name: bmc-tools
    type: software
    description: >-
      Extrahiert RDP-Bitmap-Cache-Fragmente aus Windows Terminal Server Client
      Cache für Remote-Desktop-Session-Rekonstruktion. Parst bcache*.bmc und
      cache*.bin Dateien durch Python-Framework mit automatischer
      Tile-Dekompression und Collage-Generation. Unterstützt alle RDP-Versionen
      und Qualitätsstufen (bcache2/22/24). Besonders wertvoll: versteckte
      Remote-Aktivitäten ohne Server-Logs rekonstruieren, KAPE-Integration für
      Batch-Processing, Export in Standard-Bildformate.
    skillLevel: intermediate
    url: https://github.com/ANSSI-FR/bmc-tools
    domains:
      - incident-response
      - network-forensics
      - static-investigations
    phases:
      - examination
      - analysis
    platforms:
      - Windows
      - Linux
      - macOS
    tags:
      - cli
      - rdp-analysis
      - bitmap-extraction
      - remote-session
      - python-tool
      - collage-generation
      - lateral-movement
      - cache-forensics
      - terminal-server
      - scenario:remote_access
    related_concepts:
      - Timeline Analysis & Event Correlation
    related_software:
      - RdpCacheStitcher
    icon: 🖥️
    license: GPL-3.0
    accessType: download
  - name: USBDeview
    type: software
    description: >-
      Analysiert USB-Geräte-Historie für Datenträger-Forensik und
      Incident-Response durch detaillierte Device-Information-Extraktion. Zeigt
      aktuell verbundene und früher genutzte USB-Devices mit Hersteller-Details,
      Seriennummern, Installation-Timestamps. Speed-Test-Feature für
      USB-Performance-Analyse, Remote-System-Unterstützung für
      Netzwerk-Forensik. Besonders wertvoll: USB-Autorun-Detection,
      Device-Management und Export in strukturierte Formate für
      Timeline-Korrelation.
    skillLevel: beginner
    url: https://www.nirsoft.net/utils/usb_devices_view.html
    domains:
      - static-investigations
      - incident-response
      - fraud-investigation
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - gui
      - usb-forensics
      - device-history
      - serial-numbers
      - installation-timeline
      - speed-testing
      - autorun-detection
      - remote-analysis
      - csv-export
      - scenario:file_recovery
    related_concepts:
      - Timeline Analysis & Event Correlation
      - Digital Evidence Chain of Custody
    related_software:
      - USBLogView
    icon: 🔌
    license: Freeware
    accessType: download
  - name: ShellBags Explorer
    type: software
    description: >-
      GUI-basierte Shellbags-Analyse für Windows-Folder-Access-Rekonstruktion
      durch Registry-Hive-Parsing von USRCLASS.DAT und NTUSER.DAT. Visualisiert
      Verzeichnisstrukturen mit First/Last-Interaction-Timestamps, zeigt
      gelöschte Ordner-Zugriffe und externe Device-Verbindungen. Besonders
      wertvoll: Timeline-Export für Korrelations-Analyse, Batch-Processing
      mehrerer Hives, detaillierte Shellbag-Properties für forensische
      Dokumentation.
    skillLevel: intermediate
    url: https://ericzimmerman.github.io/
    domains:
      - static-investigations
      - incident-response
      - fraud-investigation
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - gui
      - shellbags-analysis
      - folder-access
      - registry-analysis
      - timeline-creation
      - deleted-directories
      - external-devices
      - batch-processing
      - eric-zimmerman
      - scenario:file_recovery
    related_concepts:
      - Timeline Analysis & Event Correlation
      - File Systems & Storage Forensics
    related_software:
      - Eric Zimmerman Tools
      - Registry Explorer
    icon: 📁
    license: MIT
    accessType: download
  - name: UserAssist GUI
    type: software
    description: >-
      Dekodiert ROT13-verschlüsselte UserAssist-Registry-Einträge für
      GUI-Program-Execution- Tracking unter Windows. Zeigt Program-Pfade,
      Ausführungsanzahl und Last-Execution- Times für Desktop-Programme und
      Shortcuts. Besonders wertvoll: unterscheidet zwischen direkter
      .exe-Ausführung und Shortcut-Starts, exportiert Daten für
      Timeline-Analyse, erkennt Malware-Execution-Patterns automatisch.
    skillLevel: beginner
    url: https://blog.didierstevens.com/programs/userassist/
    domains:
      - static-investigations
      - incident-response
      - malware-analysis
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - gui
      - userassist-analysis
      - rot13-decoding
      - program-execution
      - registry-analysis
      - execution-frequency
      - shortcut-tracking
      - malware-detection
      - didier-stevens
      - scenario:persistence
    related_concepts:
      - Timeline Analysis & Event Correlation
    related_software:
      - Registry Explorer
      - Eric Zimmerman Tools
    icon: 🖱️
    license: Freeware
    accessType: download
  - name: Registry Explorer
    type: software
    description: >-
      Erweiterte Registry-Analyse-Plattform mit Multi-Hive-Support und
      forensischen Plugins für Windows-Artefakt-Extraktion. Lädt
      Transaction-Logs für Live-Registry- Reconstruction, zeigt gelöschte
      Keys/Values, bietet forensische Bookmarks für kritische
      Registry-Locations. Besonders wertvoll: Plugin-System für automatisierte
      Artefakt-Parsing, Locked-File-Handling, Search-Funktionen und
      Export-Capabilities für strukturierte Analyse-Workflows.
    skillLevel: intermediate
    url: https://ericzimmerman.github.io/
    domains:
      - static-investigations
      - incident-response
      - malware-analysis
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - gui
      - registry-analysis
      - multi-hive-support
      - plugin-system
      - transaction-logs
      - deleted-keys
      - forensic-bookmarks
      - locked-files
      - search-capabilities
      - eric-zimmerman
    related_concepts:
      - Timeline Analysis & Event Correlation
    related_software:
      - Eric Zimmerman Tools
      - RegRipper
    icon: 📜
    license: MIT
    accessType: download
  - name: Streams
    type: software
    description: >-
      Sysinternals-Tool detektiert NTFS-Alternate-Data-Streams für versteckte
      Malware- und Daten-Identifikation. Zeigt alle Streams pro
      Datei/Verzeichnis mit Größen- Informationen, unterstützt rekursive
      Verzeichnis-Scans. Besonders wertvoll: Malware-Hiding-Detection in ADS,
      Zone.Identifier-Analyse für Download-Attribution, Command-Line-Integration
      für Batch-Processing und Security-Audits.
    skillLevel: beginner
    url: https://learn.microsoft.com/en-us/sysinternals/downloads/streams
    domains:
      - incident-response
      - malware-analysis
      - static-investigations
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - cli
      - alternate-data-streams
      - ntfs-forensics
      - malware-detection
      - zone-identifier
      - hidden-data
      - sysinternals
      - security-audit
      - download-attribution
      - recursive-scan
    related_concepts:
      - File Systems & Storage Forensics
    related_software:
      - AlternateStreamView
    icon: 💾
    license: Microsoft
    accessType: download
  - name: WebCacheView
    type: software
    description: >-
      Analysiert Internet Explorer WebCache-Datenbanken (WebCacheV*.dat) für
      Browser- Forensik ab IE10/Edge. Extrahiert Historie, Downloads, Cookies
      und Cache-Einträge aus ESE-Database-Format. Besonders wertvoll: lokale
      Datei-Zugriffe über file:///- Protocol, InPrivate-Session-Detection,
      Timeline-Export für Korrelations-Analyse und strukturierte Datenausgabe
      für forensische Dokumentation.
    skillLevel: beginner
    url: https://www.nirsoft.net/utils/web_cache_view.html
    domains:
      - static-investigations
      - incident-response
      - fraud-investigation
    phases:
      - examination
      - analysis
    platforms:
      - Windows
    tags:
      - gui
      - web-cache-analysis
      - internet-explorer
      - edge-browser
      - ese-database
      - download-history
      - cookies-analysis
      - file-protocol
      - inprivate-detection
      - nirsoft
    related_concepts:
      - Timeline Analysis & Event Correlation
    related_software:
      - BrowsingHistoryView
      - IECacheView
    icon: 🌐
    license: Freeware
    accessType: download
  - name: libpff/pffexport
    type: software
    description: >-
      Open-Source-Bibliothek für PST/OST-Forensik mit detaillierter
      Personal-Folder- File-Analyse und Deleted-Item-Recovery. Exportiert
      E-Mails, Kontakte, Kalender aus Microsoft-Outlook-Dateien ohne
      Outlook-Installation. Besonders wertvoll: Low-Level-MAPI-Property-Zugriff,
      gefälschte E-Mail-Detection durch Metadaten- Analyse,
      Cross-Platform-Support und Integration in forensische Toolchains.
    skillLevel: advanced
    url: https://github.com/libyal/libpff
    domains:
      - static-investigations
      - fraud-investigation
      - incident-response
    phases:
      - examination
      - analysis
    platforms:
      - Windows
      - Linux
      - macOS
    tags:
      - cli
      - pst-analysis
      - ost-forensics
      - email-forensics
      - deleted-recovery
      - mapi-properties
      - outlook-forensics
      - cross-platform
      - libyal
      - falsification-detection
    related_concepts:
      - Timeline Analysis & Event Correlation
      - Digital Evidence Chain of Custody
    related_software:
      - Outlook Forensic Toolbox
    icon: 📧
    license: LGPL-3.0
    accessType: download
  - name: Linux Netzwerk-Konfiguration Analyse
    type: method
    description: >-
      Systematische Auswertung von /etc/network/interfaces (Debian/Ubuntu), 
      /etc/sysconfig/network (SUSE), /etc/NetworkManager (WLAN) für 
      Netzwerk-Timeline-Reconstruction. Static/Dynamic-IP-Analysis, 
      Gateway-Configuration, WLAN-SSID-History und Interface-Status-Tracking.
    url: https://cloud.cc24.dev/f/32342
    skillLevel: intermediate
    domains:
      - incident-response
      - network-forensics
    phases:
      - examination
      - analysis
    tags:
      - network-configuration
      - interface-analysis
      - wlan-analysis
      - ip-configuration
      - gateway-analysis
    related_concepts:
      - Network Protocols & Packet Analysis
  - name: Linux File Access Timestamp Analyse
    type: method
    description: >-
      Dateizugriffs-Rekonstruktion durch stat, ls -l, date -r für 
      Access/Modify/Change-Time-Analysis. Filesystem-Metadaten-Extraction, 
      Touch-Command-Detection, Root-Manipulation-Identification. Correlation 
      mit System-Logs für vollständige File-Activity-Timeline.
    url: https://cloud.cc24.dev/f/32342
    skillLevel: beginner
    domains:
      - static-investigations
      - incident-response
    phases:
      - examination
      - analysis
    tags:
      - file-timestamps
      - metadata-analysis
      - access-time
      - modification-time
      - filesystem-analysis
    related_concepts:
      - File Systems & Storage Forensics
      - Timeline Analysis & Event Correlation
  - name: Linux Package Management Forensik
    type: method
    description: >-
      APT/RPM-Paketmanager-Analyse für Software-Installation-Timeline und 
      Integrity-Verification. Repository-Source-Analysis, Package-History-
      Reconstruction, Dependency-Tracking, Malicious-Package-Detection durch 
      Signature-Verification und Update-Pattern-Analysis.
    url: https://cloud.cc24.dev/f/32342
    skillLevel: intermediate
    domains:
      - incident-response
      - malware-analysis
    phases:
      - examination
      - analysis
    tags:
      - package-analysis
      - software-timeline
      - installation-history
      - dependency-tracking
      - integrity-verification
    related_concepts:
      - Hash Functions & Digital Signatures
      - Timeline Analysis & Event Correlation
  - name: Linux Namespace Container-Forensik
    type: method
    description: >-
      Container-Isolation-Analysis durch Mount-, UTS-, IPC-, PID-, Network-, 
      User-Namespace-Examination. Unshare-Command-Analysis, Process-Container-
      Mapping, Resource-Limitation-Detection via /sys/fs/cgroup für 
      Container-Escape-Investigation und Privilege-Escalation-Detection.
    url: https://cloud.cc24.dev/f/32342
    skillLevel: expert
    domains:
      - incident-response
      - malware-analysis
    phases:
      - examination
      - analysis
    tags:
      - container-analysis
      - namespace-isolation
      - privilege-escalation
      - process-isolation
      - container-escape
      - cgroup-analysis
    related_concepts:
      - Memory Forensics & Process Analysis
  - name: Docker Container Forensische Analyse
    type: method
    description: >-
      Docker-Image/Container-Layer-Analysis für Containerized-Application-
      Forensics. Dockerfile-Reconstruction, Image-History-Analysis, 
      Container-Runtime-Investigation, Volume-Mount-Analysis und 
      Network-Bridge-Examination für Container-Security-Incident-Response.
    url: https://cloud.cc24.dev/f/32342
    skillLevel: advanced
    domains:
      - incident-response
      - cloud-forensics
      - malware-analysis
    phases:
      - examination
      - analysis
    tags:
      - container-forensics
      - docker-analysis
      - image-analysis
      - layer-analysis
      - volume-analysis
      - containerized-malware
    related_concepts:
      - Memory Forensics & Process Analysis
    related_software:
      - Docker Explorer
  - name: Linux System Monitoring Forensik
    type: method
    description: >-
      Live-System-Überwachung durch ps, top, htop für Process-Analysis und 
      Malware-Detection. SHA256-Hash-Verification von System-Binaries, 
      Update-Status-Verification, Hidden-Process-Detection und 
      Resource-Usage-Anomaly-Analysis für APT-Investigation.
    url: https://cloud.cc24.dev/f/32342
    skillLevel: intermediate
    domains:
      - incident-response
      - malware-analysis
    phases:
      - examination
      - analysis
    tags:
      - process-monitoring
      - hash-verification
      - malware-detection
      - system-integrity
      - anomaly-detection
      - apt-investigation
    related_concepts:
      - Hash Functions & Digital Signatures
      - Memory Forensics & Process Analysis
    related_software:
      - hashdeep
      - md5sum / sha256sum
  - name: DNS Filtering Analysis (Linux)
    type: method
    description: >-
      /etc/hosts-File-Analysis für DNS-Manipulation-Detection und 
      Domain-Blocking-Investigation. Static-DNS-Entry-Analysis, 
      Malware-DNS-Hijacking-Detection, Sinkhole-Configuration-Analysis für 
      Network-Traffic-Redirection-Investigation und Anti-Malware-Verification.
    url: https://cloud.cc24.dev/f/32342
    skillLevel: beginner
    domains:
      - incident-response
      - network-forensics
      - malware-analysis
    phases:
      - examination
      - analysis
    tags:
      - dns-analysis
      - hosts-file
      - domain-blocking
      - dns-hijacking
      - traffic-redirection
      - sinkhole-analysis
    related_concepts:
      - Network Protocols & Packet Analysis
  - name: Linux Route Filtering Forensik
    type: method
    description: >-
      Routing-Table-Analysis durch route-Command für Network-Traffic-Flow-
      Investigation. Static-Route-Configuration-Analysis, Gateway-Manipulation-
      Detection, Traffic-Filtering-Verification für Network-Isolation-Analysis 
      und Lateral-Movement-Investigation.
    url: https://cloud.cc24.dev/f/32342
    skillLevel: intermediate
    domains:
      - incident-response
      - network-forensics
    phases:
      - examination
      - analysis
    tags:
      - routing-analysis
      - traffic-filtering
      - gateway-analysis
      - network-isolation
      - lateral-movement
      - route-manipulation
    related_concepts:
      - Network Protocols & Packet Analysis
  - name: GnuPG Verschlüsselungs-Forensik
    type: method
    description: >-
      OpenPGP-Encryption-Analysis für verschlüsselte Kommunikation und 
      File-Protection-Investigation. Public/Private-Key-Analysis, 
      Signature-Verification, Encrypted-Message-Recovery-Techniques und 
      Key-Ring-Analysis für Cryptographic-Evidence-Processing.
    url: https://cloud.cc24.dev/f/32342
    skillLevel: advanced
    domains:
      - static-investigations
      - incident-response
    phases:
      - examination
      - analysis
    tags:
      - encryption-analysis
      - pgp-analysis
      - key-analysis
      - signature-verification
      - encrypted-communications
      - cryptographic-evidence
    related_concepts:
      - Hash Functions & Digital Signatures
  - name: X.509 Certificate Analysis
    type: method
    description: >-
      SSL/TLS-Certificate-Forensik für HTTPS-Communication-Analysis und 
      PKI-Investigation. Certificate-Chain-Verification, CA-Trust-Analysis, 
      Certificate-Metadata-Extraction, Expired/Revoked-Certificate-Detection 
      für Network-Security-Incident-Analysis.
    url: https://cloud.cc24.dev/f/32342
    skillLevel: intermediate
    domains:
      - incident-response
      - network-forensics
    phases:
      - examination
      - analysis
    tags:
      - certificate-analysis
      - ssl-tls-analysis
      - pki-analysis
      - trust-verification
      - network-security
      - https-analysis
    related_concepts:
      - Hash Functions & Digital Signatures
      - Network Protocols & Packet Analysis
  - name: USB Device Forensic Analysis (Linux)
    type: method
    description: >-
      USB-Hardware-Forensik durch usbauth-Framework für Device-Access-Control-
      Analysis. USB-Device-History-Reconstruction, Vendor/Product-ID-Analysis, 
      Port-Binding-Investigation und Device-Type-Classification für 
      Hardware-Based-Attack-Investigation und Data-Exfiltration-Analysis.
    url: https://cloud.cc24.dev/f/32342
    skillLevel: intermediate
    domains:
      - incident-response
      - static-investigations
    phases:
      - examination
      - analysis
    tags:
      - usb-forensics
      - hardware-analysis
      - device-history
      - access-control
      - data-exfiltration
      - hardware-attacks
    related_concepts:
      - Timeline Analysis & Event Correlation
  - name: Linux Live-Boot Forensik-Umgebung
    type: method
    description: >-
      Kontaminationsfreie Systemuntersuchung durch Boot von USB/DVD ohne 
      Festplatten-Zugriff. Forensics-Mode deaktiviert automatisches Mounting 
      und Netzwerk-Services. Ermöglicht saubere Evidence-Akquisition ohne 
      Host-System-Veränderungen. Alle Änderungen sind nach Ausschalten gelöscht.
    url: https://cloud.cc24.dev/f/32342
    skillLevel: beginner
    domains:
      - incident-response
      - static-investigations
    phases:
      - data-collection
      - examination
    tags:
      - live-acquisition
      - write-blocker
      - contamination-prevention
      - forensic-imaging
      - read-only-access
    related_concepts:
      - Digital Evidence Chain of Custody
    related_software:
      - Kali Linux
      - SIFT Workstation
      - CAINE
  - name: Linux Festplatten-Partitionierung
    type: method
    description: >-
      Systematische Datenträger-Aufteilung mit fdisk (MBR) oder gdisk (GPT)  für
      forensische Imaging-Workflows. Unterstützt DOS-, GPT-, SGI- und 
      Sun-Partitionierungen. Kombiniert mit mkfs für Dateisystem-Erstellung. 
      Essentiell für Evidence-Storage und Analyse-Partitionen.
    url: https://cloud.cc24.dev/f/32342
    skillLevel: intermediate
    domains:
      - incident-response
      - static-investigations
    phases:
      - data-collection
      - examination
    tags:
      - disk-partitioning
      - gpt-analysis
      - mbr-analysis
      - filesystem-creation
      - evidence-storage
    related_concepts:
      - File Systems & Storage Forensics
      - Digital Evidence Chain of Custody
    related_software:
      - dd
      - FTK Imager
  - name: Linux Benutzer- und Rechteverwaltung
    type: method
    description: >-
      Systematische Analyse von /etc/passwd, /etc/shadow und /etc/group für 
      User-Activity-Reconstruction. Zahlencodierung (chmod 755) und 
      Symbolic-Notation (rwxr-xr-x) für Dateiberechtigungen. Includes setuid, 
      setgid und sticky-bit Analyse für Privilege-Escalation-Detection.
    url: https://cloud.cc24.dev/f/32342
    skillLevel: intermediate
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
    phases:
      - examination
      - analysis
    tags:
      - user-analysis
      - permission-analysis
      - privilege-escalation
      - system-metadata
      - access-control
    related_concepts:
      - File Systems & Storage Forensics
      - Timeline Analysis & Event Correlation
    related_software:
      - grep
      - strings
  - name: Linux Log-Analyse Methodik
    type: method
    description: >-
      Strukturierte Auswertung von /var/log/* für
      Incident-Timeline-Reconstruction.  Unix-Time-Konvertierung,
      Kernel-Ring-Buffer-Analyse mit dmesg,  Authentication-Logs in
      auth.log/secure. Korrelation zwischen System-,  Kernel- und
      Application-Logs für vollständige Event-Sequencing.
    url: https://cloud.cc24.dev/f/32342
    skillLevel: intermediate
    domains:
      - incident-response
      - static-investigations
      - network-forensics
    phases:
      - examination
      - analysis
    tags:
      - log-analysis
      - timeline-analysis
      - unix-time
      - kernel-analysis
      - authentication-logs
      - syslog-analysis
    related_concepts:
      - Timeline Analysis & Event Correlation
    related_software:
      - grep
      - Plaso (log2timeline)
  - name: Linux Shell-Historie Forensik
    type: method
    description: >-
      Bash-History-Analyse aus ~/.bash_history für Command-Execution-Timeline. 
      Erkennung von Anti-Forensik-Techniken: geleerte History, Softlinks auf 
      /dev/null, manipulierte Timestamps. Korrelation mit Login-Logs für 
      vollständige User-Activity-Reconstruction ohne Zeitstempel.
    url: https://cloud.cc24.dev/f/32342
    skillLevel: intermediate
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
    phases:
      - examination
      - analysis
    tags:
      - command-history
      - user-activity
      - anti-forensics-detection
      - bash-analysis
      - timeline-reconstruction
      - indicator-of-compromise
    related_concepts:
      - Timeline Analysis & Event Correlation
    related_software:
      - grep
      - strings
  - name: Git Repository Forensik
    type: method
    description: >-
      Versionskontroll-System-Analyse für Source-Code-Forensik und 
      Entwickler-Activity-Tracking. Branch-Timeline-Reconstruction, 
      Commit-Hash-Verifizierung, Merge-Conflict-Analysis. Collaborative-
      Workflow-Investigation über Remote-Repositories und Pull-Requests.
    url: https://cloud.cc24.dev/f/32342
    skillLevel: advanced
    domains:
      - incident-response
      - static-investigations
      - malware-analysis
    phases:
      - examination
      - analysis
    tags:
      - version-control
      - source-code-analysis
      - developer-tracking
      - commit-analysis
      - collaboration-forensics
      - hash-verification
    related_concepts:
      - Hash Functions & Digital Signatures
      - Timeline Analysis & Event Correlation
    related_software:
      - Gitea
  - name: iptables Firewall-Forensik
    type: method
    description: >-
      Netzwerk-Traffic-Filtering-Analysis durch iptables-Rules-Reconstruction. 
      INPUT/OUTPUT/FORWARD-Chain-Analysis, ACCEPT/DROP/REJECT-Actions, 
      Port-based und IP-based Filtering. Regel-Persistence-Verification und 
      Anti-Evasion-Configuration für Incident-Response.
    url: https://cloud.cc24.dev/f/32342
    skillLevel: advanced
    domains:
      - incident-response
      - network-forensics
    phases:
      - examination
      - analysis
    tags:
      - firewall-analysis
      - network-filtering
      - traffic-analysis
      - rule-analysis
      - packet-filtering
      - network-security
    related_concepts:
      - Network Protocols & Packet Analysis
  - name: LUKS Disk-Encryption Analysis
    type: method
    description: >-
      Linux Unified Key Setup Verschlüsselungs-Forensik für encrypted 
      Partitions und Container. Cryptsetup-based Key-Slot-Analysis, 
      Metadata-Header-Examination, Passphrase-Recovery-Techniques.  Integration
      mit Filesystem-Mounting für decrypted Evidence-Access.
    url: https://cloud.cc24.dev/f/32342
    skillLevel: expert
    domains:
      - static-investigations
      - incident-response
    phases:
      - examination
      - analysis
    tags:
      - disk-encryption
      - key-analysis
      - encrypted-storage
      - partition-analysis
      - cryptographic-analysis
      - access-recovery
    related_concepts:
      - Hash Functions & Digital Signatures
      - File Systems & Storage Forensics
  - name: Linux Secure File Deletion Verification
    type: method
    description: >-
      Forensische Verifikation sicherer Löschvorgänge durch Overwrite-Pattern-
      Analysis. Unterscheidung zwischen rm (Filesystem-Entry-Deletion) und 
      shred (Multi-Pass-Overwriting). Recovery-Verification und Anti-Forensik-
      Detection bei unvollständigen Secure-Wipe-Operationen.
    url: https://cloud.cc24.dev/f/32342
    skillLevel: intermediate
    domains:
      - static-investigations
      - incident-response
    phases:
      - examination
      - analysis
    tags:
      - secure-deletion
      - data-recovery
      - overwrite-analysis
      - anti-forensics
      - file-system-analysis
      - data-sanitization
    related_concepts:
      - File Systems & Storage Forensics
    related_software:
      - PhotoRec
      - dd
  - name: Linux Process Memory Analysis
    type: method
    description: >-
      Live-System-Speicher-Untersuchung durch /proc-Filesystem-Analysis. 
      Process-State-Examination, Memory-Maps-Analysis, Open-Files-Detection  via
      /proc/PID/. Kernel-Module-Verification und Hidden-Process-Detection  für
      Rootkit-Analysis ohne Memory-Dump-Tools.
    url: https://cloud.cc24.dev/f/32342
    skillLevel: advanced
    domains:
      - incident-response
      - malware-analysis
    phases:
      - examination
      - analysis
    tags:
      - process-analysis
      - memory-analysis
      - proc-filesystem
      - rootkit-detection
      - live-analysis
      - kernel-analysis
    related_concepts:
      - Memory Forensics & Process Analysis
domains:
  - id: incident-response
    name: Incident Response & Breach-Untersuchung
  - id: static-investigations
    name: Datenträgerforensik & Ermittlungen
  - id: malware-analysis
    name: Malware-Analyse & Reverse Engineering
  - id: fraud-investigation
    name: Betrugs- & Finanzkriminalität
  - id: network-forensics
    name: Netzwerk-Forensik & Traffic-Analyse
  - id: mobile-forensics
    name: Mobile Geräte & App-Forensik
  - id: cloud-forensics
    name: Cloud & Virtuelle Umgebungen
  - id: ics-forensics
    name: Industrielle Kontrollsysteme (ICS/SCADA)
phases:
  - id: data-collection
    name: Datensammlung
    description: >-
      Sicherung digitaler Beweise durch Imaging, Remote Collection und
      Live-Akquisition
  - id: examination
    name: Auswertung
    description: >-
      Extraktion und initiale Analyse von Artefakten, Parsing von
      Datenstrukturen
  - id: analysis
    name: Analyse
    description: >-
      Tiefgehende Untersuchung, Korrelation von Beweisen und Rekonstruktion von
      Ereignissen
  - id: reporting
    name: Bericht & Präsentation
    description: Dokumentation der Findings, Visualisierung und gerichtsfeste Aufbereitung
domain-agnostic-software:
  - id: collaboration-general
    name: Übergreifend & Kollaboration
    description: Cross-Domain-Tools für Teamwork und Case-Management
  - id: specific-os
    name: Spezialisierte Betriebssysteme
    description: Forensik-optimierte Linux-Distributionen und Live-Systeme
scenarios:
  - id: scenario:disk_imaging
    icon: 💽
    friendly_name: Datenträger sichern
  - id: scenario:memory_dump
    icon: 🧠
    friendly_name: RAM-Speicher analysieren
  - id: scenario:file_recovery
    icon: 🗑️
    friendly_name: Gelöschte Dateien wiederherstellen
  - id: scenario:browser_history
    icon: 🌍
    friendly_name: Browser-Verlauf untersuchen
  - id: scenario:credential_theft
    icon: 🔑
    friendly_name: Gestohlene Zugangsdaten finden
  - id: scenario:remote_access
    icon: 📡
    friendly_name: Fernzugriffe nachweisen
  - id: scenario:persistence
    icon: ♻️
    friendly_name: Persistenz-Mechanismen aufdecken
  - id: scenario:windows-registry
    icon: 📜
    friendly_name: Windows Registry analysieren
skill_levels: {}