malwaredetect

  • python-dissect.thumbcache一个实现windows缩略图缓存解析器的Dissect模块。
  • memimager使用ntsystemdebugcontrol执行内存转储。
  • afflib一种可扩展的开放式格式,用于存储磁盘图像和相关的取证信息。
  • safecopy从损坏的介质中提取数据的磁盘数据恢复工具。
  • scrounge-ntfs用于NTFS文件系统的数据恢复程序
  • memfetch转储任何用户空间进程内存而不影响其执行。
  • pmdump一种工具,允许您将进程的内存内容转储到文件而不停止进程。
  • wmi-forensics用于在WMI存储库中查找证据的脚本。