mac-robber

  • memdump将系统内存转储到stdout,跳过内存映射中的孔。
  • foremost基于文件头、文件尾和内部数据结构恢复文件的控制台程序。
  • pasco检查Internet Explorer缓存文件的内容以供法医检查
  • mftcarver从数据块(例如内存转储)中雕刻$MFT记录。
  • captipper恶意HTTP流量浏览器工具。
  • analyzemft从NTFS文件系统分析MFT文件。
  • regripper用作Windows注册表数据提取命令行或GUI工具的开源取证软件。
  • dcflddDCFL(国防部计算机取证实验室)DD替换为哈希