foremost

  • shadowexplorer浏览Windows Vista/7/8/10卷影复制服务创建的卷影副本。
  • myrescue首先读取未损坏区域的硬盘恢复工具。
  • volatility3高级记忆取证框架
  • python-dissect.ntfs一个实现NTFS文件系统解析器的Dissect模块,由Windows操作系统使用。
  • python-flow.record录制库。
  • vipermonkey用于分析恶意宏的VBA解析器和仿真引擎。
  • iphoneanalyzer允许您在iOS设备中进行取证检查或恢复日期。
  • mftrcrd命令行$MFT记录解码器。