chkrootkit

  • pmdump一种工具,允许您将进程的内存内容转储到文件而不停止进程。
  • yeti一个平台,用于在一个单一的、统一的存储库中组织可观察到的、妥协的指标、ttp和关于威胁的知识。
  • pcapxray一种网络取证工具-将离线数据包捕获可视化为网络图,包括设备标识、突出重要通信和文件提取。
  • analyzemft从NTFS文件系统分析MFT文件。
  • python-dissect.thumbcache一个实现windows缩略图缓存解析器的Dissect模块。
  • evtkit修复获取的.evt-Windows事件日志文件(取证)。
  • androick一个帮助Android取证分析的python工具。
  • python-flow.record录制库。