air

memdump：将系统内存转储到stdout，跳过内存映射中的孔。
munin-hashchecker：用于Virustotal和其他服务的联机哈希检查程序
rkhunter：检查机器是否存在rootkit和其他不需要的工具。
afflib：一种可扩展的开放式格式，用于存储磁盘图像和相关的取证信息。
python-flow.record：录制库。
ldsview：LDIF格式LDAP目录转储的脱机搜索工具。
unhide：A forensic tool to find processes hidden by rootkits, LKMs or by other techniques.
myrescue：首先读取未损坏区域的硬盘恢复工具。