emldump

  • regrippy用于从Windows注册表配置单元读取和提取有用的取证数据的框架。
  • thumbcacheviewer提取Windows thumbcache数据库文件。
  • magicrescue在阻止设备上查找和恢复已删除的文件
  • dftimewolf协调法医收集、处理和数据导出的框架。
  • mimipenguin从当前Linux用户转储登录密码的工具。
  • extundelete用于通过解析日志从ext2、ext3或ext4分区恢复已删除文件的实用工具
  • afflib一种可扩展的开放式格式,用于存储磁盘图像和相关的取证信息。
  • python-dissect.btrfs一个为btrfs文件系统实现解析器的Dissect模块。