emldump

  • thumbcacheviewer提取Windows thumbcache数据库文件。
  • atstaketools这是各种@post工具的存档,有助于执行漏洞扫描和分析、信息收集、密码审核和取证。
  • firefox-decrypt从Mozilla Firefox、Waterbox、Thunderbird和SeaMonkey配置文件中提取密码。
  • mftref2name在NTFS上,将文件索引号解析为名称,反之亦然。一个简单的工具,只需将MFT参考号转换为文件名和路径,或者反过来。
  • haystack用于从进程内存堆分析内存结构取证中查找C结构的python框架。
  • regrippy用于从Windows注册表配置单元读取和提取有用的取证数据的框架。
  • python-rekall记忆取证框架。
  • python-dissect.eventlog一个实现Windows EVT、EVTX和WEVT日志文件格式解析器的Dissect模块。