evtkit

  • reglookup用于读取和查询Windows NT注册表的命令行实用程序
  • bmap-tools使用块映射文件中的信息复制大量稀疏文件的工具。
  • syft一个CLI工具和go库,用于从容器映像和文件系统生成软件物料清单(SBOM)。
  • lfle通过试探性地查找记录结构,从映像中恢复事件日志条目。
  • guymager用于媒体采集的法医成像仪。
  • DFIRtriageWindows数字取证工具
  • volatility高级内存取证框架
  • truehunter使用快速和内存高效的方法检测TrueCrypt容器。