chromefreak

  • foremost基于文件头、文件尾和内部数据结构恢复文件的控制台程序。
  • evtkit修复获取的.evt-Windows事件日志文件(取证)。
  • mftcarver从数据块(例如内存转储)中雕刻$MFT记录。
  • mft2csv提取$MFT记录信息并将其记录到csv文件中。
  • ldsviewLDIF格式LDAP目录转储的脱机搜索工具。
  • windows-prefetch-parser解析Windows预取文件。
  • pextractor一种取证工具,可以从由连接程序或类似程序创建的可执行文件中提取所有文件。
  • shadowexplorer浏览Windows Vista/7/8/10卷影复制服务创建的卷影副本。