memfetch

  • grokevt为读取Windows NT/2K/XP/2K事件日志文件而生成的脚本集合。
  • air一个GUI前端到DD/DC3DD,设计用于轻松创建法医图像。
  • python-dissect.fat一个实现FAT和exFAT文件系统解析器的Dissect模块,通常用于基于闪存的存储设备和UEFI分区。
  • extractusnjrnl用于从NTFS卷提取$UsnJrnl的工具。
  • lfle通过试探性地查找记录结构,从映像中恢复事件日志条目。
  • pngcheck通过检查CRC和解压缩图像数据来验证PNG、JNG和MNG文件的完整性。
  • make-pdf这个工具将把javascript嵌入到一个PDF文档中。
  • pcapxray一种网络取证工具-将离线数据包捕获可视化为网络图,包括设备标识、突出重要通信和文件提取。