memdump

networkminer：一种用于高级网络流量分析、嗅探器和包分析器的网络法医分析工具。
truehunter：使用快速和内存高效的方法检测TrueCrypt容器。
replayproxy：用于重放在PCAP文件中捕获的基于Web的攻击（以及一般HTTP流量）的法医工具。
python-dissect.fat：一个实现FAT和exFAT文件系统解析器的Dissect模块，通常用于基于闪存的存储设备和UEFI分区。
python-dissect.fve：Dissect模块实现了用于全卷加密实现的解析器，目前是微软的Bitlocker磁盘加密（BDE）和Linux统一密钥设置（LUKS1和LUKS2）。
memfetch：转储任何用户空间进程内存而不影响其执行。
wmi-forensics：用于在WMI存储库中查找证据的脚本。
python-acquire：快速将磁盘映像或实时系统中的取证工件收集到轻量级容器中。