server: # host: 0.0.0.0 # port: 8080 base-url: https://cc24.dev assets-path: /home/svc-start-cc24/app/glance-assets document: head: | branding: custom-footer: |

CC24.DEV - IT-Forensik der Zukunft


Contributions Welcome! Click here: Gitea-CC24

logo-url: https://cloud.cc24.dev/apps/theming/favicon/dashboard?v=4e09eb50 favicon-url: https://cloud.cc24.dev/apps/theming/favicon/dashboard?v=4e09eb50 theme: background-color: 240 8 9 primary-color: 43 50 70 contrast-multiplier: 1.1 pages: - name: "CC24" width: wide hide-desktop-navigation: false center-vertically: false columns: - size: small widgets: - type: html source: |

CC24.DEV

IT-Forensik Dashboard

Last updated: June 24, 2025


- type: clock hour-format: 24h - type: rss title: "CVE Feeds" feeds: - url: https://cvefeed.io/rssfeed/latest.xml title: Latest CVEs limit: 8 collapse-after: 6 - size: full widgets: - type: search search-engine: https://se.mikoshi.de/searxng/search?q={QUERY} new-tab: true autofocus: true placeholder: "SEARX-NG - bangs: !cve, !exploit, !gh, !yt" bangs: - title: YouTube shortcut: "!yt" url: https://www.youtube.com/results?search_query={QUERY} - title: CVE Database shortcut: "!cve" url: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword={QUERY} - title: ExploitDB shortcut: "!exploit" url: https://www.exploit-db.com/search?q={QUERY} - title: GitHub shortcut: "!gh" url: https://github.com/search?q={QUERY} - type: bookmarks groups: - title: "Hochschule Mittweida" color: 210 80 60 links: - title: Moodle url: https://learning.hs-mittweida.de/ icon: https://www.hs-mittweida.de/favicon.ico - title: Studentenportal url: https://www.intranet.hs-mittweida.de/sportal icon: https://www.hs-mittweida.de/favicon.ico - title: HSMW Homepage url: https://hs.mw icon: https://www.hs-mittweida.de/favicon.ico - title: Springer Link url: http://link.springer.com/ icon: https://link.springer.com/oscar-static/img/favicons/darwin/favicon-16x16-ed57f42bd2.png - title: "Direktlinks" color: 200 70 50 links: - title: CC24-Cloud/Daten_Studium1 url: https://cloud.cc24.dev/apps/files/folders/24201?dir=/Daten_StudiumI icon: https://cloud.cc24.dev/apps/theming/favicon/files?v=94ebd189 - title: CC24-Cloud/Bibliothek url: https://cloud.cc24.dev/f/26615 icon: https://cloud.cc24.dev/apps/theming/favicon/files?v=94ebd189 - title: SANS Reading Room url: https://www.sans.org/reading-room/ icon: si:pluralsight - title: Matrix-Chat url: https://element.cc24.dev/#/room/#deepdive:cc24.dev icon: si:matrix # CC24-Cloud - type: split-column widgets: - type: monitor cache: 1m title: "CC24-Cloud" sites: - title: Files & Office url: https://cloud.cc24.dev icon: https://cloud.cc24.dev/apps/theming/favicon/dashboard?v=4e09eb50 - type: html source: |

CC24-Cloud

Gemeinsam Arbeiten und Daten teilen, Bibliothek u.v.m. Ein Account, viele Möglichkeiten.

# Gitea - type: split-column widgets: - type: monitor cache: 1m title: "Gitea" sites: - title: CC24-Git url: https://git.cc24.dev icon: https://git.cc24.dev/assets/img/favicon.svg - type: html source: |

Gitea

Code teilen, Projekte entwickeln, gemeinsam arbeiten. Unterstützt SSO über CC24-NC.

# ByteStash - type: split-column widgets: - type: monitor cache: 1m title: "ByteStash" sites: - title: Code Snippets url: https://code.cc24.dev icon: https://code.cc24.dev/logo192.png - type: html source: |

ByteStash

Speichern und abrufen eurer Code-Snippets. Unterstützt SSO über CC24-NC.

# Matrix - type: split-column widgets: - type: monitor cache: 1m title: "Matrix Chat" sites: - title: Secure Messaging url: https://element.cc24.dev icon: https://element.cc24.dev/vector-icons/apple-touch-icon-76.d115188.png - type: html source: |

Matrix Chat

Ende-zu-Ende verschlüsselter Chat. Die sichere Discord-Alternative. Unterstützt SSO über CC24-NC.

# BitVault - type: split-column widgets: - type: monitor cache: 1m title: "BitVault" sites: - title: BitVault Pastebin url: https://bin.mikoshi.de/ icon: https://bin.mikoshi.de/static/favicon.ico - type: html source: |

BitVault

Passtebin zum unkomplizierten Teilen von Daten und Text. Unterstützt Ende-zu-Ende-Verschlüsselung.

# KaraKeep - type: split-column widgets: - type: monitor cache: 1m title: "KaraKeep" sites: - title: Bookmarks url: https://keep.cc24.dev icon: https://keep.cc24.dev/favicon.ico - type: html source: |

KaraKeep

Sammeln eurer Bookmarks mit Archivierungsfunktionen und KI. Bringt Struktur in eure Webrecherche. Unterstützt SSO über CC24-NC.

# MISP - type: split-column widgets: - type: monitor cache: 1m title: "CC24-MISP" sites: - title: Threat Intelligence url: https://misp.cc24.dev icon: https://misp.cc24.dev/img/favicon.png - type: html source: |

CC24-MISP

Malware Information Sharing Platform - Threat Intelligence. Ein Expertensystem für Forensiker. Arbeitet derzeit nur mit einem automatischen SSH-Honeypot.

- name: "News" width: wide columns: - size: full widgets: - type: rss title: "Heise Security News" style: horizontal-cards feeds: - url: https://www.heise.de/security/feed.xml title: Heise Security limit: 8 collapse-after: 6 - type: split-column widgets: - type: rss title: "Digital Forensics" style: vertical-list feeds: - url: https://digiforensics.blogspot.com/feeds/posts/default?alt=rss title: Digital Forensics Blog - url: https://forensic4cast.com/feed/ title: Forensic 4cast - url: https://dfir300.blogspot.com/feeds/posts/default?alt=rss title: DFIR_300 - url: https://digitalforensicsmagazine.com/blogs/?feed=rss2 title: Digital Forensics Magazine limit: 10 collapse-after: 8 - type: rss title: "BSI & German Security" style: vertical-list feeds: - url: https://www.bsi.bund.de/SiteGlobals/Functions/RSSFeed/RSSNewsfeed/RSSNewsfeed_Presse_Veranstaltungen.xml title: BSI News - url: https://wid.cert-bund.de/content/public/securityAdvisory/rss title: BSI Security Advisories limit: 8 collapse-after: 6 - type: rss title: "German Politics & Digital Policy" style: vertical-list feeds: - url: https://newsfeed.zeit.de/politik/index title: ZEIT Politik - url: https://www.spiegel.de/politik/index.rss title: Spiegel Politik - url: https://rss.focus.de/politik title: FOCUS Politik - url: https://netzpolitik.org/feed/ title: netzpolitik limit: 8 collapse-after: 6 - type: rss title: "Latest CVE Vulnerabilities" style: horizontal-cards feeds: - url: https://cvefeed.io/rssfeed/latest.xml title: Latest CVEs limit: 10 collapse-after: 8 - size: small widgets: - type: rss title: "Recent Threats & Incidents" style: vertical-list feeds: - url: https://commons.bcit.ca/forensics/feed/ title: BCIT Forensics limit: 8 collapse-after: 6 - type: bookmarks groups: - title: "Key Resources" color: 160 80 60 links: - title: BSI IT-Security url: https://www.bsi.bund.de/EN/Home/home_node.html icon: https://www.bsi.bund.de/SharedDocs/Images/DE/_config/bsi-logo.png - title: CERT-Bund url: https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Services-und-Angebote/CERT-Bund/cert-bund_node.html icon: https://www.bsi.bund.de/SharedDocs/Images/DE/_config/bsi-logo.png - name: "Linux Cheatsheet" width: wide columns: - size: small widgets: - type: bookmarks groups: - title: "Linux-Dateisystem" color: 150 80 60 links: - title: "/bin/ - Systembefehle" url: "#" - title: "/boot/ - Kernel & Bootloader" url: "#" - title: "/dev/ - Gerätedateien" url: "#" - title: "/etc/ - Konfigurationsdateien" url: "#" - title: "/home/ - Benutzerverzeichnisse" url: "#" - title: "/lib/ - Bibliotheken" url: "#" - title: "/media/ - Ext. Speichermedien" url: "#" - title: "/mnt/ - Temp. Einhängepunkte" url: "#" - title: "/opt/ - Optionale Pakete" url: "#" - title: "/proc/ - Prozessinformationen" url: "#" - title: "/root/ - Root-Verzeichnis" url: "#" - title: "/sbin/ - Admin-Programme" url: "#" - title: "/sys/ - Kernel-Informationen" url: "#" - title: "/tmp/ - Temporäre Dateien" url: "#" - title: "/usr/ - User-Programme" url: "#" - title: "/var/ - Variable Daten, Logs" url: "#" - type: bookmarks groups: - title: "Pfade & Shortcuts" color: 220 80 60 links: - title: "~ (Home-Verzeichnis)" url: "#" - title: ". (Aktuelles Verzeichnis)" url: "#" - title: ".. (Übergeordnetes Verzeichnis)" url: "#" - title: "- (Vorheriges Verzeichnis)" url: "#" - title: "/ (Root-Verzeichnis)" url: "#" - title: "$PATH (Systemvariable)" url: "#" - title: "Pfadtypen" color: 220 80 60 links: - title: "Absolute Pfade - /home/user/Documents" url: "#" - title: "Relative Pfade - ./Documents" url: "#" - size: full widgets: - type: html source: |

Linux Basics & Terminal Cheatsheet

Eine Übersicht wichtiger Linux-Befehle, Dateisystemstrukturen und Terminal-Shortcuts für die IT-Forensik

- type: split-column max-columns: 3 widgets: - type: html source: |

Terminal-Bedienung

Strg+C Aktuellen Prozess abbrechen
Strg+L Bildschirm leeren
Tab Autovervollständigung
Strg+Shift+C Text kopieren
Strg+Shift+V Text einfügen
Strg+R Befehlsverlauf durchsuchen
Strg+A Zum Zeilenanfang springen
Strg+E Zum Zeilenende springen
Strg+U Zeile vor Cursor löschen
Strg+K Zeile nach Cursor löschen
- type: html source: |

Navigation

pwd Aktuelles Verzeichnis anzeigen
cd [Verzeichnis] Verzeichnis wechseln
cd .. Ein Verzeichnis nach oben
cd ~ Zum Home-Verzeichnis
ls Verzeichnisinhalt auflisten
ls -l Detaillierte Auflistung
ls -a Auch versteckte Dateien zeigen
ls -h Größen menschenlesbar anzeigen
ls -R Rekursive Auflistung
- type: html source: |

Dateioperationen

cp [Quelle] [Ziel] Dateien/Verzeichnisse kopieren
cp -r Rekursives Kopieren
rm [Datei] Dateien löschen
rm -r Rekursives Löschen
rm -f Forciertes Löschen
mv [Quelle] [Ziel] Dateien verschieben/umbenennen
mkdir [Verzeichnis] Verzeichnis erstellen
touch [Datei] Leere Datei erstellen
chmod Zugriffsrechte ändern
chown Besitzer ändern
- type: split-column max-columns: 3 widgets: - type: html source: |

Suchen & Finden

find [Pfad] [Optionen] Dateien suchen
find . -name "*.txt" Alle .txt Dateien finden
find . -type d Nur Verzeichnisse finden
grep [Muster] [Datei] Text in Dateien suchen
grep -r Rekursive Suche
grep -i Groß-/Kleinschreibung ignorieren
locate [Datei] Schnelle Dateisuche (Datenbank)
which [Befehl] Pfad eines Befehls finden
- type: html source: |

Textverarbeitung

nano [Datei] Einfacher Texteditor
vim [Datei] Fortgeschrittener Texteditor
echo [Text] Text ausgeben
cat [Datei] Dateiinhalt anzeigen
less [Datei] Datei seitenweise anzeigen
head [Datei] Erste Zeilen anzeigen
tail [Datei] Letzte Zeilen anzeigen
tail -f Datei kontinuierlich überwachen
- type: html source: |

Operatoren

& Prozess im Hintergrund ausführen
&& Befehl nur wenn vorheriger erfolgreich
|| Befehl nur wenn vorheriger fehlgeschlagen
| Output als Input für nächsten Befehl
> Output in Datei umleiten (überschreiben)
>> Output an Datei anhängen
< Input aus Datei lesen
- type: split-column max-columns: 3 widgets: - type: html source: |

Paketverwaltung (apt)

apt update Paketlisten aktualisieren
apt upgrade Installierte Pakete aktualisieren
apt search [Paket] Nach Paketen suchen
apt install [Paket] Paket installieren
apt remove [Paket] Paket entfernen
apt autoremove Nicht mehr benötigte Pakete entfernen
apt list --installed Installierte Pakete auflisten
apt show [Paket] Paketinformationen anzeigen
- type: html source: |

Systeminformationen

uname -a Kernel-Version anzeigen
lsb_release -a Distributionsinformationen
df -h Festplattennutzung
free -h Arbeitsspeichernutzung
top Prozessübersicht
htop Erweiterte Prozessübersicht
ps aux Prozessliste
- type: html source: |

Netzwerk

ip a Netzwerkschnittstellen anzeigen
ping [Host] Verbindung testen
netstat -tuln Offene Ports anzeigen
ss Socket-Statistiken
curl [URL] HTTP-Anfragen senden
wget [URL] Dateien herunterladen
- size: small widgets: - type: html source: |

Linux-Dateisystem

/
├── bin/
├── boot/
├── dev/
├── etc/
├── home/
│ └── <userX>/
│ ├── Desktop/
│ ├── Documents/
│ ├── Downloads/
│ ├── Music/
│ ├── Pictures/
│ ├── .bash_history
│ ├── .cache/
│ ├── .config/
│ └── .local/
│ └── <userY>/
│ ├── Desktop/
│ └── .../
├── lib/
├── media/
├── mnt/
├── opt/
├── proc/
├── root/
├── sbin/
├── sys/
├── tmp/
├── usr/
└── var/
- type: html source: |

Forensische Bedeutung

/home/ - Hauptquelle für Benutzeraktivitäten, versteckte Dateien und persönliche Daten

/var/ - Enthält kritische Logdateien für die forensische Analyse

/etc/ - Zentral für die Analyse von Systemkonfigurationsänderungen

/tmp/ - Oft eine Goldgrube für temporäre Daten von Interesse

/root/ - Enthält kritische administrative Aktivitäten

/boot/ - Änderungen hier können auf Root-Kits hindeuten

/bin/ & /sbin/ - Modifikationen können auf Systemmanipulationen hinweisen

- type: bookmarks groups: - title: "Wichtige Befehle für die Forensik" color: 0 80 60 links: - title: "find - Dateien nach Kriterien suchen" url: "#" - title: "grep - Text in Dateien finden" url: "#" - title: "dd - Festplatten-Imaging" url: "#" - title: "ls -la - Alle Details von Dateien" url: "#" - title: "chmod/chown - Rechte analysieren" url: "#" - title: "cat/less - Dateiinhalte anzeigen" url: "#" - title: "tail -f - Logs überwachen" url: "#" - name: "Regex" width: wide columns: - size: full widgets: - type: html source: |

Forensic Regex Patterns Reference

A comprehensive collection of regex patterns for digital forensics and security analysis

- type: split-column max-columns: 3 widgets: # Network Addresses - type: html source: |

Network Addresses

IPv4

\b(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\b

IPv4 Private Ranges

\b(?:10\.(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){2}|172\.(?:1[6-9]|2[0-9]|3[01])\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.)|192\.168\.(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.)\b(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)

IPv4 with Port

\b(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?):[0-9]{1,5}\b

IPv6 (Simplified)

(?:[0-9a-fA-F]{1,4}:){7}[0-9a-fA-F]{1,4}

IPv6 (Full)

(?:(?:[0-9a-fA-F]{1,4}:){7}[0-9a-fA-F]{1,4}|(?:[0-9a-fA-F]{1,4}:){1,7}:|(?:[0-9a-fA-F]{1,4}:){1,6}:[0-9a-fA-F]{1,4}|::(?:[0-9a-fA-F]{1,4}:){0,5}[0-9a-fA-F]{1,4}|[0-9a-fA-F]{1,4}::(?:[0-9a-fA-F]{1,4}:){0,5}[0-9a-fA-F]{1,4}|(?:[0-9a-fA-F]{1,4}:){1,5}::(?:[0-9a-fA-F]{1,4}:)?[0-9a-fA-F]{1,4})

IPv6 Private/Local

(?:f[cd][0-9a-fA-F]{2}:|fe80:|::1)

MAC Address

(?:[0-9a-fA-F]{2}[:-]){5}[0-9a-fA-F]{2}

CIDR Notation

\b(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\/(?:3[0-2]|[12]?[0-9])\b
# Cryptocurrency Addresses - type: html source: |

Cryptocurrency Addresses

Bitcoin (P2PKH/P2SH)

\b[13][a-km-zA-HJ-NP-Z1-9]{25,34}\b

Bitcoin Bech32

\bbc1[a-z0-9]{39,59}\b

Ethereum

\b0x[a-fA-F0-9]{40}\b

Monero

\b4[0-9AB][0-9a-zA-Z]{93}\b

Litecoin

\b[LM3][a-km-zA-HJ-NP-Z1-9]{26,33}\b

Ripple

\br[a-zA-Z0-9]{24,34}\b

Dogecoin

\bD[5-9A-HJ-NP-U][a-km-zA-HJ-NP-Z1-9]{25,34}\b

Dash

\bX[a-km-zA-HJ-NP-Z1-9]{33}\b

Tether (USDT) on Ethereum

\b0x[a-fA-F0-9]{40}\b
# Web & Email - type: html source: |

Web & Email

URL (HTTP/HTTPS)

https?://[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}(?:/[^"\s]*)?

Domain Name

\b(?:[a-zA-Z0-9](?:[a-zA-Z0-9-]{0,61}[a-zA-Z0-9])?\.)+[a-zA-Z]{2,}\b

Email Address

[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}

FTP URL

ftp://[a-zA-Z0-9.-]+(?:/[^"\s]*)?
- type: split-column max-columns: 3 widgets: # Hash Values - type: html source: |

Hash Values

MD5

\b[a-fA-F0-9]{32}\b

SHA1

\b[a-fA-F0-9]{40}\b

SHA256

\b[a-fA-F0-9]{64}\b

SHA512

\b[a-fA-F0-9]{128}\b

Base64 String

[A-Za-z0-9+/]{4}*(?:[A-Za-z0-9+/]{2}==|[A-Za-z0-9+/]{3}=)?
# File Paths & Names - type: html source: |

File Paths & Names

Windows Path

[a-zA-Z]:\\(?:[^\\/:*?"<>|\r\n]+\\)*[^\\/:*?"<>|\r\n]*

Unix/Linux Path

(?:/[^/\0]+)+/?

UNC Path

\\\\[a-zA-Z0-9.-]+\\[^\\/:*?"<>|\r\n]+(?:\\[^\\/:*?"<>|\r\n]+)*

File Extension

\.[a-zA-Z0-9]{1,5}\b

Registry Key

HKEY_[A-Z_]+(?:\\[^\\]+)*
# Timestamps & Dates - type: html source: |

Timestamps & Dates

ISO 8601

\d{4}-\d{2}-\d{2}[T ]\d{2}:\d{2}:\d{2}(?:\.\d{3})?(?:Z|[+-]\d{2}:?\d{2})?

Unix Timestamp

\b1[0-9]{9}\b

Apache/CLF Log Date

\d{2}/[A-Za-z]{3}/\d{4}:\d{2}:\d{2}:\d{2} [+-]\d{4}

Windows Event Log Date

\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2}

Syslog Date

[A-Za-z]{3}\s+\d{1,2}\s+\d{2}:\d{2}:\d{2}
- type: split-column max-columns: 3 widgets: # Log Patterns - type: html source: |

Log Patterns

Apache Common Log

^(\S+) \S+ \S+ \[([^\]]+)\] "([^"]+)" (\d{3}) (\d+|-)

Apache Combined Log

^(\S+) \S+ \S+ \[([^\]]+)\] "([^"]+)" (\d{3}) (\d+|-) "([^"]*)" "([^"]*)"

Nginx Access Log

^(\S+) - (\S+) \[([^\]]+)\] "([^"]+)" (\d{3}) (\d+) "([^"]*)" "([^"]*)"

SSH Failed Login

Failed password for (?:invalid user )?(\S+) from (\S+) port (\d+)

Windows Security Event ID

EventID:\s*(\d+)

Windows Event XML

<Event[^>]*>.*?</Event>

IIS Log Entry

\d{4}-\d{2}-\d{2}\s+\d{2}:\d{2}:\d{2}\s+\S+\s+\S+\s+\S+\s+\d+\s+\S+\s+\S+\s+\S+\s+\d+\s+\d+\s+\d+\s+\d+\s+\S+\s+\S+

Exchange Message ID

<[A-Za-z0-9$_.-]+@[A-Za-z0-9.-]+>
# Identifiers & Keys - type: html source: |

Identifiers & Keys

UUID/GUID

[a-fA-F0-9]{8}-[a-fA-F0-9]{4}-[a-fA-F0-9]{4}-[a-fA-F0-9]{4}-[a-fA-F0-9]{12}

Credit Card (Basic)

\b(?:\d[ -]*?){13,19}\b

SSN (US)

\b\d{3}-\d{2}-\d{4}\b

JWT Token

eyJ[A-Za-z0-9_-]+\.eyJ[A-Za-z0-9_-]+\.[A-Za-z0-9_-]+
# System & Process - type: html source: |

System & Process

PID

\bPID\s*[:=]?\s*(\d+)\b

Process Name

(?:^|\s)([a-zA-Z0-9_-]+\.exe)\b

Memory Address

0x[0-9a-fA-F]{8,16}

Port Number

\b(?:6553[0-5]|655[0-2][0-9]|65[0-4][0-9]{2}|6[0-4][0-9]{3}|[1-5]?[0-9]{1,4})\b
- type: split-column max-columns: 3 widgets: # Database & SQL - type: html source: |

Database & SQL

SQL Injection Pattern

(?:'|")?(?:;|--|OR|AND|UNION|SELECT|INSERT|UPDATE|DELETE|DROP|EXEC)(?:\s|$)

Connection String

(?:Server|Data Source|User ID|Password|Database|Initial Catalog)=[^;]+

SQL Server Connection

(?:Data Source|Server)=(?:(?:tcp:)?[a-zA-Z0-9.-]+(?:\\[a-zA-Z0-9_]+)?(?:,\d+)?);

MongoDB Connection

mongodb(?:\+srv)?://(?:[^:]+:[^@]+@)?[a-zA-Z0-9.-]+(?::\d+)?(?:/[^?]+)?
# Malware Indicators - type: html source: |

Malware Indicators

Suspicious PowerShell

(?:-e[ncodedcommand]*\s+|iex|invoke-expression|downloadstring|downloadfile)

Base64 Encoded Executable

TVqQAAMAAAAEAAAA

Suspicious User Agent

(?:bot|crawler|spider|scraper|curl|wget|python|java)
# Cloud & Infrastructure - type: html source: |

Cloud & Infrastructure

AWS ARN

arn:aws:[a-z0-9-]+:[a-z0-9-]*:[0-9]{12}:[a-zA-Z0-9-_/:.]+

S3 Bucket URL

(?:s3://|https?://s3[.-])([a-z0-9.-]+)(?:/[^"\s]*)?

Azure Resource ID

/subscriptions/[a-f0-9-]{36}/resourceGroups/[^/]+/providers/[^/]+/[^/]+/[^/\s]+

Docker Container ID

\b[0-9a-f]{64}\b|\b[0-9a-f]{12}\b

Kubernetes Pod Name

[a-z0-9](?:[-a-z0-9]*[a-z0-9])?(?:-[a-z0-9]{5,10})?

VMware UUID

[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12}
- type: split-column max-columns: 3 widgets: # Authentication & Keys - type: html source: |

Authentication & Keys

PEM Private Key

-----BEGIN (?:RSA |EC )?PRIVATE KEY-----

SSH Public Key

ssh-(?:rsa|ed25519|ecdsa) [A-Za-z0-9+/]+={0,2}

OAuth2 Bearer Token

Bearer [A-Za-z0-9\-._~+/]+=*

GitHub Personal Access Token

ghp_[A-Za-z0-9]{36}

AWS Access Key

AKIA[0-9A-Z]{16}

AWS Secret Key (Context)

[A-Za-z0-9/+=]{40}

Azure Storage Key

[A-Za-z0-9+/]{86}==

Google API Key

AIza[0-9A-Za-z\-_]{35}

Slack Webhook

https://hooks\.slack\.com/services/T[A-Z0-9]{8}/B[A-Z0-9]{8}/[A-Za-z0-9]{24}

Telegram Bot Token

[0-9]{8,10}:[A-Za-z0-9_-]{35}
# Geographic & Tracking - type: html source: |

Geographic & Tracking

GPS Coordinates

[-+]?(?:[0-8]?[0-9]|90)\.[0-9]+,\s*[-+]?(?:1[0-7][0-9]|[0-9]?[0-9])\.[0-9]+

IMEI Number

\b(?:35[0-9]{13}|01[0-9]{13}|86[0-9]{13}|99[0-9]{13})\b

VIN (Vehicle)

\b[A-HJ-NPR-Z0-9]{17}\b

IBAN

[A-Z]{2}[0-9]{2}[A-Z0-9]{1,30}
# Social Media & Messaging - type: html source: |

Social Media & Messaging

Twitter/X Handle

@[A-Za-z0-9_]{1,15}\b

Telegram Username

@[a-zA-Z][a-zA-Z0-9_]{4,31}

Discord ID

<@!?[0-9]{17,19}>

Bitcoin Transaction ID

\b[a-fA-F0-9]{64}\b

TLS Certificate Fingerprint (SHA256)

SHA256:[A-F0-9]{2}(?::[A-F0-9]{2}){31}

X509 Certificate Subject

(?:CN|O|OU|C|ST|L)=[^,]+(?:,\s*(?:CN|O|OU|C|ST|L)=[^,]+)*

Kerberos Principal

[a-zA-Z0-9._-]+(?:/[a-zA-Z0-9._-]+)?@[A-Z0-9.-]+

LDAP DN

(?:CN|OU|DC|O)=[^,]+(?:,(?:CN|OU|DC|O)=[^,]+)*
- type: split-column max-columns: 3 widgets: # Mobile Forensics - type: html source: |

Mobile Forensics

Android Package Name

[a-z][a-z0-9_]*(?:\.[a-z0-9_]+)+

iOS Bundle ID

[a-zA-Z][a-zA-Z0-9-]*(?:\.[a-zA-Z0-9-]+)+

Android ADB Device

[0-9A-F]{8,16}

Mobile Country/Network Code

MCC:\s*\d{3}\s*MNC:\s*\d{2,3}
# Forensic Artifacts - type: html source: |

Forensic Artifacts

Windows SID

S-1-[0-59]-\d{1,10}(?:-\d{1,10})*

NTFS MFT Reference

\b\d{1,10}-\d{1,5}\b

USB Device ID

(?:VID|PID)_[0-9A-F]{4}

Windows GUID (Registry Format)

\{[A-F0-9]{8}-[A-F0-9]{4}-[A-F0-9]{4}-[A-F0-9]{4}-[A-F0-9]{12}\}

Process Command Line (Suspicious)

(?:cmd|powershell|wscript|cscript|mshta|rundll32)\.exe.*(?:http|ftp|\\\\|base64|encode)

Named Pipe

\\\\\\.\\pipe\\[a-zA-Z0-9_-]+

Memory Region

0x[0-9a-fA-F]+\s*-\s*0x[0-9a-fA-F]+
# Additional Patterns - type: html source: |

Additional Patterns

XML/HTML Tag

<([a-zA-Z][a-zA-Z0-9]*)\b[^>]*>.*?</\1>

JSON Object

\{(?:[^{}]|(?:\{[^{}]*\}))*\}

CVE ID

CVE-\d{4}-\d{4,}

MITRE ATT&CK ID

T\d{4}(?:\.\d{3})?

Tor Address

[a-z2-7]{16}\.onion\b

Magnet Link

magnet:\?xt=urn:[a-zA-Z0-9]+:[a-fA-F0-9]+

Git Commit Hash

\b[a-f0-9]{40}\b|\b[a-f0-9]{7,8}\b

Stack Trace Line

\s+at\s+[a-zA-Z0-9.$_]+\([^)]*\)

HTTP Method

\b(?:GET|POST|PUT|DELETE|HEAD|OPTIONS|PATCH|CONNECT|TRACE)\b

HTTP Response Status

HTTP/[0-9.]+\s+[1-5][0-9]{2}

DNS Query

\b(?:A|AAAA|CNAME|MX|NS|PTR|SOA|SRV|TXT)\s+(?:IN\s+)?[a-zA-Z0-9.-]+

PE File Magic

MZ.{58}PE\x00\x00

ELF File Magic

\x7fELF

Mutex Pattern (Malware)

(?:Global\\|Local\\)?[A-Z0-9]{8}-[A-Z0-9]{4}-[A-Z0-9]{4}-[A-Z0-9]{4}-[A-Z0-9]{12}

PowerShell Encoded Command

-[Ee](?:ncodedcommand|c)\s+[A-Za-z0-9+/=]+

YARA Rule Name

rule\s+[a-zA-Z_][a-zA-Z0-9_]*\s*(?::\s*[a-zA-Z_][a-zA-Z0-9_]*\s*)*\{

Windows Service Name

(?:SERVICE_NAME|DISPLAY_NAME):\s*([^\r\n]+)

Scheduled Task Name

TaskName:\s*\\([^\r\n]+)

MIME Type

[a-z]+/[a-z0-9.+-]+

Browser User-Agent (Suspicious Tools)

(?:sqlmap|nmap|nikto|havij|acunetix|nessus|metasploit|burp|owasp)

Python Script Shebang

#!/usr/bin/(?:env )?python[0-9.]*

Bash Script Shebang

#!/bin/(?:ba)?sh

Base64 Encoded PE Header

TVqQAAMAAAAEAAAA

Base64 Encoded MZ Header

TVo[A-Za-z0-9+/]

ZIP Archive Header

PK\x03\x04

RAR Archive Header

Rar!\x1a\x07

PDF Header

%PDF-[0-9.]+

Office Document (OOXML)

PK\x03\x04.{26}(?:word|xl|ppt)/
- type: html source: |

Usage Notes



Important Considerations