galleta

  • bios_memimage将RAM内容转储到磁盘的工具(也称为冷启动攻击)。
  • python-dissect.volume一个Dissect模块,为不同的磁盘卷和分区系统(例如LVM2、GPT和MBR)实现解析器。
  • fridump使用frida的通用内存转储程序。
  • python-dissect.eventlog一个实现Windows EVT、EVTX和WEVT日志文件格式解析器的Dissect模块。
  • captipper恶意HTTP流量浏览器工具。
  • mft2csv提取$MFT记录信息并将其记录到csv文件中。
  • dff带有命令行和图形界面的取证框架。
  • regripper用作Windows注册表数据提取命令行或GUI工具的开源取证软件。