autopsy

  • hashdb块哈希工具包。
  • indxcarver从一块数据中雕刻INDX记录。
  • pmdump一种工具,允许您将进程的内存内容转储到文件而不停止进程。
  • emldump分析mime文件。
  • volatility高级内存取证框架
  • haystack用于从进程内存堆分析内存结构取证中查找C结构的python框架。
  • evtkit修复获取的.evt-Windows事件日志文件(取证)。
  • dmg2img转换(压缩)苹果磁盘图像。