haystack

  • msvpwn通过二进制修补绕过Windows的身份验证。
  • usbripLinux上跟踪USB设备的CLI取证工具
  • python-dissect.executable一个Dissect模块,为PE、ELF和Macho-O等各种可执行格式实现解析器。
  • pe-sieve扫描给定进程。识别并转储各种潜在的恶意植入(替换/注入的PEs、外壳代码、钩子、内存补丁)。
  • vipermonkey用于分析恶意宏的VBA解析器和仿真引擎。
  • usnparser用于分析NTFS USN日志的Python脚本。
  • python-acquire快速将磁盘映像或实时系统中的取证工件收集到轻量级容器中。
  • upx终极可执行压缩程序。