evtkit

  • imagemounter命令行实用程序和python包,以简化法医磁盘映像的(卸载)安装。
  • python-dissect.executable一个Dissect模块,为PE、ELF和Macho-O等各种可执行格式实现解析器。
  • bmap-tools使用块映射文件中的信息复制大量稀疏文件的工具。
  • log-file-parserNTFS上$LogFile的解析器。
  • air一个GUI前端到DD/DC3DD,设计用于轻松创建法医图像。
  • volatility高级内存取证框架
  • chntpw脱机NT密码编辑器-重置Windows NT SAM用户数据库文件中的密码
  • trid一种实用程序,用于从二进制签名中识别文件类型。