dff

interrogate：一个概念验证工具，用于识别二进制材料中的加密密钥（不考虑目标操作系统），首先用于内存转储分析和法医使用。
unhide：A forensic tool to find processes hidden by rootkits, LKMs or by other techniques.
air：一个GUI前端到DD/DC3DD，设计用于轻松创建法医图像。
xplico：互联网流量解码器。网络法医分析工具（NFAT）。
mxtract：内存提取和分析器。
chkrootkit：检查系统上的rootkit
safecopy：从损坏的介质中提取数据的磁盘数据恢复工具。
bios_memimage：将RAM内容转储到磁盘的工具（也称为冷启动攻击）。