autopsy

  • parse-evtx分析Windows XML事件日志(EVTX)格式的工具。
  • python-dissect.hypervisor一个Dissect模块,为各种管理程序磁盘、备份和配置文件实现解析器。
  • pdblaster从大量可执行文件样本集中提取PDB文件路径。
  • wmi-forensics用于在WMI存储库中查找证据的脚本。
  • bios_memimage将RAM内容转储到磁盘的工具(也称为冷启动攻击)。
  • usbripLinux上跟踪USB设备的CLI取证工具
  • unhideA forensic tool to find processes hidden by rootkits, LKMs or by other techniques.
  • stegdetect一种自动检测图像中隐写内容的工具。