air

lfle：通过试探性地查找记录结构，从映像中恢复事件日志条目。
aeskeyfind：在RAM中查找AES密钥的工具
mftcarver：从数据块（例如内存转储）中雕刻$MFT记录。
wmi-forensics：用于在WMI存储库中查找证据的脚本。
ntfs-file-extractor：从NTFS中提取文件。
stringsifter：机器学习工具，根据字符串与恶意软件分析的相关性自动排列字符串。
unhide：A forensic tool to find processes hidden by rootkits, LKMs or by other techniques.
captipper：恶意HTTP流量浏览器工具。