hashdeep

  • haystack用于从进程内存堆分析内存结构取证中查找C结构的python框架。
  • LaZagne用于检索存储在本地计算机上的帐户密码的开源程序。
  • python-dissect.fat一个实现FAT和exFAT文件系统解析器的Dissect模块,通常用于基于闪存的存储设备和UEFI分区。
  • swap-digger一种工具,用于在开发后或取证过程中自动执行Linux交换分析。
  • secure2csv在NTFS上以$Secure格式解码安全描述符。
  • dff带有命令行和图形界面的取证框架。
  • mftref2name在NTFS上,将文件索引号解析为名称,反之亦然。一个简单的工具,只需将MFT参考号转换为文件名和路径,或者反过来。
  • powermft强大的命令行$MFT记录编辑器。