dumpzilla

  • memimager使用ntsystemdebugcontrol执行内存转储。
  • python-dissect.util一个Dissect模块,为其他Dissect模块实现各种实用功能。
  • dff带有命令行和图形界面的取证框架。
  • chromensics谷歌Chrome取证工具。
  • wmi-forensics用于在WMI存储库中查找证据的脚本。
  • memfetch转储任何用户空间进程内存而不影响其执行。
  • extractusnjrnl用于从NTFS卷提取$UsnJrnl的工具。
  • memdump将系统内存转储到stdout,跳过内存映射中的孔。