Tools

Cheatsheet

🛠️ LOKI – Kompletter Gerätescan

1. Vorbereitung

1. Lade dir LOKI von GitHub: https://github.com/Neo23x0/Loki

2. Entpacke ZIP und kopiere Ordner auf Zielsystem

3. (Optional) führe loki-upgrader.exe aus → aktualisiert Signaturen

2. Vollständiger Scan (empfohlen)

loki.exe --allhds --intense --csv --onlyrelevant --logfolder C:\loki_results

Parameter erklärt:

• --allhds: Alle lokalen Festplatten scannen

• --intense: Auch unbekannte Dateitypen und Erweiterungen prüfen

• --csv: Ausgabe für SIEM/Parsing

• --onlyrelevant: Nur Funde (keine Info-Meldungen)

• --logfolder: Ergebnisverzeichnis definieren

---

3. Nach dem Scan: Ergebnisse prüfen

1. Öffne loki_results\ → .csv und .log Dateien

2. Beachte rote (ALERT) oder gelbe (WARNING) Funde

3. Prüfe:

   • MD5/SHA256 → VirusTotal

   • Regelname → Google-Suche

   • Pfad, Prozessname, Filetype → plausibel?

Hinweis: Viele Funde sind „verdächtig“, aber keine Bestätigung – immer im Kontext bewerten.

---

🛠️ THOR Lite – Kompletter Gerätescan

1. Vorbereitung & Lizenz

1. Registrierung & Download: nextron-systems.com

2. Lizenzdatei (thor-lite.lic) in dasselbe Verzeichnis wie thor64-lite.exe legen

3. Signatur-Update ausführen:

thor-lite-util.exe update
thor-lite-util.exe upgrade

---

2. Vollständiger Scan (empfohlen)

thor64-lite.exe --allhds --utc --lookback 30 --cpulimit 30 --nolog --onlyrelevant

Parameter erklärt:

• --allhds: Alle Festplatten scannen (Windows)

• --utc: Timestamps in UTC → SIEM & Timeline

• --lookback 30: Fokus auf Dateien, die in letzten 30 Tagen geändert wurden

• --cpulimit 30: Ressourcenverbrauch begrenzen

• --nolog: Kein lokales Log (nutze stattdessen HTML/JSON)

• --onlyrelevant: Nur Funde, keine „sauberen“ Dateien

Für Linux/Mac nutze ./thor-lite-linux-64 --alldrives --utc ...

---

3. Nach dem Scan: Ergebnisse prüfen

1. Öffne das generierte HTML-Report im Ausführungsverzeichnis

2. Beachte vor allem:

   • Score > 70 → kritisch

   • YARA Match → spezifisch oder generisch?

   • Command & Control → ausgehende Verbindungen?

   • Pfad & Dateiname → ungewöhnlich, temporär, verschlüsselt?

3. JSON- und Text-Logs sind zusätzlich für SIEM/Parsing verwendbar

Tipp: Verwende Filter im HTML-Report („only alerts“, „only warnings“), um schneller zu Ergebnissen zu kommen.

🛠️ KAPE – Kompletter Gerätescan

1. Vorbereitung

• KAPE von https://www.kroll.com/kape oder offizielle Quellen herunterladen

• Entpacken und auf Zielsystem übertragen

• Eingabeaufforderung als Administrator starten

2. Empfohlener Scan-Befehl

kape.exe --tsource C: --target KapeTriage --tdest C:\triage --mdest C:\analyse --module !EZParser --tflush --debug

Erklärung der Parameter:

Parameter	Bedeutung
--tsource C:	Scannt Laufwerk C:
--target KapeTriage	Sammelt umfangreiche Systemartefakte
--tdest	Speicherort für gesammelte Artefakte
--mdest	Speicherort für Analyseergebnisse
--module !EZParser	Automatische Analyse typischer Artefakte
--tflush	Zielordner leeren vor Start
--debug	Zeigt laufende Vorgänge und Debug-Meldungen

3. Nach dem Scan: Ergebnisse prüfen

• Navigiere zu C:\analyse

• Öffne .csv-Dateien in EZViewer oder Timeline Explorer

• Achte auf:

  • Unbekannte oder seltene Ausführungen

  • Anzeichen für persistente Prozesse

  • Unerwartete Netzwerkverbindungen

Besonders wichtige Dateien:

• Prefetch → Programmausführung

• AmCache → Installationen

• ShimCache → Persistenz

• Network Info → Remote-Verbindungen

• WordWheelQuery → Suchbegriffe

• USBSTOR → Wechseldatenträger

Tipp: Kombiniere KAPE mit Zeittabellen (z. B. Plaso) für vertiefte Timeline-Analysen