foremost

  • dshell网络法证分析框架。
  • pdfid扫描文件以查找特定的PDF关键字。
  • memimager使用ntsystemdebugcontrol执行内存转储。
  • jpegdump分析jpeg图像的工具读取二进制文件并分析其中的jpeg标记。
  • perl-image-exiftool支持原始文件的exif信息的读写器
  • grokevt为读取Windows NT/2K/XP/2K事件日志文件而生成的脚本集合。
  • python-dissect.archive一个Dissect模块,用于实现各种归档和备份格式的解析器。
  • volatility高级内存取证框架