autopsy

jpegdump：分析jpeg图像的工具读取二进制文件并分析其中的jpeg标记。
haystack：用于从进程内存堆分析内存结构取证中查找C结构的python框架。
safecopy：从损坏的介质中提取数据的磁盘数据恢复工具。
volafox：Mac OS X内存分析工具包。
tchunt-ng：显示存储在文件系统上的加密文件。
fridump：使用frida的通用内存转储程序。
usnjrnl2csv：NTFS上$UsnJrnl的解析器。
unhide：A forensic tool to find processes hidden by rootkits, LKMs or by other techniques.