memfetch

  • pasco检查Internet Explorer缓存文件的内容以供法医检查
  • lfle通过试探性地查找记录结构,从映像中恢复事件日志条目。
  • dumpzilla火狐的法医工具。
  • scalpel节俭、高性能的文件雕刻机
  • ntfs-log-tracker这个工具可以解析NTFS的$LogFile,$UsnJrnl。
  • volatility高级内存取证框架
  • nfex一种用于从网络中实时提取文件或从离线tcpdump pcap保存文件中进行后捕获的工具。
  • analyzemft从NTFS文件系统分析MFT文件。