foremost

  • evtkit修复获取的.evt-Windows事件日志文件(取证)。
  • pcapfex包捕获取证提取器。
  • python-dissect.esedb一个Dissect模块,实现了微软可扩展存储引擎数据库(ESEDB)的解析器,例如在Active Directory、Exchange和Windows Update中使用。
  • perl-image-exiftool支持原始文件的exif信息的读写器
  • DFIRtriageWindows数字取证工具
  • python-dissect.hypervisor一个Dissect模块,为各种管理程序磁盘、备份和配置文件实现解析器。
  • ms-sys编写win9x-.Linux下的主引导记录(MBR)-RTM!
  • volatility-extra波动性插件由社区开发和维护。