dumpzilla

lfle：通过试探性地查找记录结构，从映像中恢复事件日志条目。
python-dissect.eventlog：一个实现Windows EVT、EVTX和WEVT日志文件格式解析器的Dissect模块。
usbrip：Linux上跟踪USB设备的CLI取证工具
foremost：基于文件头、文件尾和内部数据结构恢复文件的控制台程序。
python-dissect.xfs：一个实现XFS文件系统解析器的Dissect模块，通常由RedHat Linux发行版使用。
regview：打开原始Windows NT 5注册表文件（Windows 2000或更高版本）。
unhide：A forensic tool to find processes hidden by rootkits, LKMs or by other techniques.
rcrdcarver：从一块数据中雕刻RCRD记录（$LogFile）。。