chromensics

  • pmdump一种工具,允许您将进程的内存内容转储到文件而不停止进程。
  • indxparse用于检查NTFS项目的工具套件。
  • ntfs-log-tracker这个工具可以解析NTFS的$LogFile,$UsnJrnl。
  • scrounge-ntfs用于NTFS文件系统的数据恢复程序
  • regipy用于分析脱机注册表配置单元的库。
  • memfetch转储任何用户空间进程内存而不影响其执行。
  • mdbtools用于查看数据和从Microsoft Access数据库文件导出架构的实用程序。
  • pcapfex包捕获取证提取器。