exiv2

  • grokevt为读取Windows NT/2K/XP/2K事件日志文件而生成的脚本集合。
  • pasco检查Internet Explorer缓存文件的内容以供法医检查
  • capaFLARE团队的开源工具,用于识别可执行文件中的功能。
  • mftcarver从数据块(例如内存转储)中雕刻$MFT记录。
  • promiscdetect检查网络适配器是否在混乱模式下运行,这可能表明您的计算机上正在运行嗅探器。
  • testdisk检查和恢复分区+photorec,基于签名的恢复工具
  • malwareanalyser对恶意软件进行静态和动态分析的免费软件工具。
  • afflib一种可扩展的开放式格式,用于存储磁盘图像和相关的取证信息。