ipba2

thumbcacheviewer：提取Windows thumbcache数据库文件。
usbrip：Linux上跟踪USB设备的CLI取证工具
foremost：基于文件头、文件尾和内部数据结构恢复文件的控制台程序。
mftcarver：从数据块（例如内存转储）中雕刻$MFT记录。
unhide：A forensic tool to find processes hidden by rootkits, LKMs or by other techniques.
pmdump：一种工具，允许您将进程的内存内容转储到文件而不停止进程。
indxcarver：从一块数据中雕刻INDX记录。
bios_memimage：将RAM内容转储到磁盘的工具（也称为冷启动攻击）。