evtkit

  • python-acquire快速将磁盘映像或实时系统中的取证工件收集到轻量级容器中。
  • malheur自动分析恶意软件行为的工具。
  • mftcarver从数据块(例如内存转储)中雕刻$MFT记录。
  • emldump分析mime文件。
  • usnparser用于分析NTFS USN日志的Python脚本。
  • dftimewolf协调法医收集、处理和数据导出的框架。
  • pasco检查Internet Explorer缓存文件的内容以供法医检查
  • python-dissect.fat一个实现FAT和exFAT文件系统解析器的Dissect模块,通常用于基于闪存的存储设备和UEFI分区。