foremost

  • pdfid扫描文件以查找特定的PDF关键字。
  • volatility高级内存取证框架
  • scrounge-ntfs用于NTFS文件系统的数据恢复程序
  • powermft强大的命令行$MFT记录编辑器。
  • memfetch转储任何用户空间进程内存而不影响其执行。
  • wmi-forensics用于在WMI存储库中查找证据的脚本。
  • mftcarver从数据块(例如内存转储)中雕刻$MFT记录。
  • parse-evtx分析Windows XML事件日志(EVTX)格式的工具。