air

  • pextractor一种取证工具,可以从由连接程序或类似程序创建的可执行文件中提取所有文件。
  • shadowexplorer浏览Windows Vista/7/8/10卷影复制服务创建的卷影副本。
  • regipy用于分析脱机注册表配置单元的库。
  • canari马耳他的转型框架
  • bios_memimage将RAM内容转储到磁盘的工具(也称为冷启动攻击)。
  • sleuthkit文件系统和媒体管理取证分析工具
  • rcrdcarver从一块数据中雕刻RCRD记录($LogFile)。。
  • magicrescue在阻止设备上查找和恢复已删除的文件