evtkit

malwaredetect：将文件的sha1 sum提交给virustotal以确定它是否是已知的恶意软件。
galleta：为了法医的目的检查IE的cookie文件的内容
bmc-tools：RDP位图缓存解析器。
python-dissect.regf：一个实现Windows注册表文件格式解析器的Dissect模块，用于在Windows操作系统上存储应用程序和操作系统配置。
chntpw：脱机NT密码编辑器-重置Windows NT SAM用户数据库文件中的密码
mftref2name：在NTFS上，将文件索引号解析为名称，反之亦然。一个简单的工具，只需将MFT参考号转换为文件名和路径，或者反过来。
pasco：检查Internet Explorer缓存文件的内容以供法医检查
pextractor：一种取证工具，可以从由连接程序或类似程序创建的可执行文件中提取所有文件。