dumpzilla

  • memdump将系统内存转储到stdout,跳过内存映射中的孔。
  • volatility高级内存取证框架
  • fridump使用frida的通用内存转储程序。
  • tekdefense-automaterIP URL和MD5 OSInt分析
  • scrounge-ntfs用于NTFS文件系统的数据恢复程序
  • vinetto用于检查thumbs.db文件的取证工具
  • recentfilecache-parserRecentFileCache的Python解析器。Windows上的bcf。
  • mftcarver从数据块(例如内存转储)中雕刻$MFT记录。