memdump

  • python-dissect.etl一个Dissect模块,实现了事件跟踪日志(ETL)文件的解析器,由Windows操作系统用于记录内核事件。
  • grokevt为读取Windows NT/2K/XP/2K事件日志文件而生成的脚本集合。
  • regrippy用于从Windows注册表配置单元读取和提取有用的取证数据的框架。
  • guymager用于媒体采集的法医成像仪。
  • aeskeyfind在RAM中查找AES密钥的工具
  • make-pdf这个工具将把javascript嵌入到一个PDF文档中。
  • hashdb块哈希工具包。
  • bulk-extractor批量电子邮件和URL提取工具。