grokevt

  • mft2csv提取$MFT记录信息并将其记录到csv文件中。
  • indxcarver从一块数据中雕刻INDX记录。
  • ntfs-file-extractor从NTFS中提取文件。
  • networkminer一种用于高级网络流量分析、嗅探器和包分析器的网络法医分析工具。
  • recuperabit用于法医文件系统重建的工具。
  • DFIRtriageWindows数字取证工具
  • haystack用于从进程内存堆分析内存结构取证中查找C结构的python框架。
  • foremost基于文件头、文件尾和内部数据结构恢复文件的控制台程序。