evtkit

  • aeskeyfind在RAM中查找AES密钥的工具
  • python-dissect.btrfs一个为btrfs文件系统实现解析器的Dissect模块。
  • networkminer一种用于高级网络流量分析、嗅探器和包分析器的网络法医分析工具。
  • chkrootkit检查系统上的rootkit
  • recuperabit用于法医文件系统重建的工具。
  • ntfs-log-tracker这个工具可以解析NTFS的$LogFile,$UsnJrnl。
  • grokevt为读取Windows NT/2K/XP/2K事件日志文件而生成的脚本集合。
  • thumbcacheviewer提取Windows thumbcache数据库文件。