emldump

  • pev用于PE32/PE32+文件分析的基于命令行的工具。
  • extractusnjrnl用于从NTFS卷提取$UsnJrnl的工具。
  • lfle通过试探性地查找记录结构,从映像中恢复事件日志条目。
  • tell-me-your-secrets在任何机器上从120多个不同的签名中查找秘密。
  • iphoneanalyzer允许您在iOS设备中进行取证检查或恢复日期。
  • python-rekall记忆取证框架。
  • chipsec用于分析PC平台安全性的框架,包括硬件、系统固件(bios/uefi)和平台组件。
  • shadowexplorer浏览Windows Vista/7/8/10卷影复制服务创建的卷影副本。