chkrootkit

  • memimager使用ntsystemdebugcontrol执行内存转储。
  • mftcarver从数据块(例如内存转储)中雕刻$MFT记录。
  • nohidy系统管理最好的朋友,多平台审计工具。
  • tfsec你的地形代码的安全扫描器。
  • extractusnjrnl用于从NTFS卷提取$UsnJrnl的工具。
  • dftimewolf协调法医收集、处理和数据导出的框架。
  • dff带有命令行和图形界面的取证框架。
  • tell-me-your-secrets在任何机器上从120多个不同的签名中查找秘密。