magicrescue

  • exiv2exif、iptc和xmp元数据操作库和工具
  • lfle通过试探性地查找记录结构,从映像中恢复事件日志条目。
  • tchunt-ng显示存储在文件系统上的加密文件。
  • thumbcacheviewer提取Windows thumbcache数据库文件。
  • dmg2img转换(压缩)苹果磁盘图像。
  • limeaide远程转储Linux客户机的RAM,并创建一个波动率配置文件,以便稍后在本地主机上进行分析。
  • python-dissect.evidence一个Dissect模块,为各种法医证据文件容器实现解析器,目前包括AD1、ASDF和EWF。
  • python-dissect.btrfs一个为btrfs文件系统实现解析器的Dissect模块。