hashdeep

  • mobiusft一个用python/gtk编写的开源法医框架,用于管理案例和案例项,为开发扩展提供了一个抽象接口。
  • python2-rekall记忆取证框架。
  • ntfs-log-tracker这个工具可以解析NTFS的$LogFile,$UsnJrnl。
  • swap-digger一种工具,用于在开发后或取证过程中自动执行Linux交换分析。
  • extundelete用于通过解析日志从ext2、ext3或ext4分区恢复已删除文件的实用工具
  • python-dissect.btrfs一个为btrfs文件系统实现解析器的Dissect模块。
  • thumbcacheviewer提取Windows thumbcache数据库文件。
  • python-dissect.evidence一个Dissect模块,为各种法医证据文件容器实现解析器,目前包括AD1、ASDF和EWF。