galleta

  • bios_memimage将RAM内容转储到磁盘的工具(也称为冷启动攻击)。
  • libfvde用于访问FileVault驱动器加密(FVDE)加密卷的库和工具。
  • haystack用于从进程内存堆分析内存结构取证中查找C结构的python框架。
  • ntdsxtractActive Directory法医框架。
  • recuperabit用于法医文件系统重建的工具。
  • mft2csv提取$MFT记录信息并将其记录到csv文件中。
  • extundelete用于通过解析日志从ext2、ext3或ext4分区恢复已删除文件的实用工具
  • chntpw脱机NT密码编辑器-重置Windows NT SAM用户数据库文件中的密码