magicrescue

  • extractusnjrnl用于从NTFS卷提取$UsnJrnl的工具。
  • limeaide远程转储Linux客户机的RAM,并创建一个波动率配置文件,以便稍后在本地主机上进行分析。
  • perl-image-exiftool支持原始文件的exif信息的读写器
  • pmdump一种工具,允许您将进程的内存内容转储到文件而不停止进程。
  • dfir-ntfs用于数字取证的NTFS解析器&;事件响应。
  • DFIRtriageWindows数字取证工具
  • chipsec用于分析PC平台安全性的框架,包括硬件、系统固件(bios/uefi)和平台组件。
  • regrippy用于从Windows注册表配置单元读取和提取有用的取证数据的框架。