air

  • bios_memimage将RAM内容转储到磁盘的工具(也称为冷启动攻击)。
  • regview打开原始Windows NT 5注册表文件(Windows 2000或更高版本)。
  • usnjrnl2csvNTFS上$UsnJrnl的解析器。
  • wmi-forensics用于在WMI存储库中查找证据的脚本。
  • tekdefense-automaterIP URL和MD5 OSInt分析
  • pdfbook-analyzer用于Facebook内存取证的实用程序。
  • recoverjpeg从损坏的设备中恢复JPEG。
  • rifiuti2重写rifiuti,这是Foundstone People用来分析Windows回收站信息2文件的一个很好的工具。