autopsy

  • testdisk检查和恢复分区+photorec,基于签名的恢复工具
  • python-dissect.archive一个Dissect模块,用于实现各种归档和备份格式的解析器。
  • recuperabit用于法医文件系统重建的工具。
  • memimager使用ntsystemdebugcontrol执行内存转储。
  • lfle通过试探性地查找记录结构,从映像中恢复事件日志条目。
  • python-dissect.executable一个Dissect模块,为PE、ELF和Macho-O等各种可执行格式实现解析器。
  • trid一种实用程序,用于从二进制签名中识别文件类型。
  • galleta为了法医的目的检查IE的cookie文件的内容