magicrescue

  • rekall记忆取证框架。
  • oletools用于分析Microsoft OLE2文件的工具。
  • pmdump一种工具,允许您将进程的内存内容转储到文件而不停止进程。
  • recentfilecache-parserRecentFileCache的Python解析器。Windows上的bcf。
  • air一个GUI前端到DD/DC3DD,设计用于轻松创建法医图像。
  • munin-hashchecker用于Virustotal和其他服务的联机哈希检查程序
  • memimager使用ntsystemdebugcontrol执行内存转储。
  • foremost基于文件头、文件尾和内部数据结构恢复文件的控制台程序。