memfetch

  • reglookup用于读取和查询Windows NT注册表的命令行实用程序
  • python-dissect.eventlog一个实现Windows EVT、EVTX和WEVT日志文件格式解析器的Dissect模块。
  • autopsy一个用于侦探工具包的GUI。
  • periscope一个PE文件检查工具。
  • powermft强大的命令行$MFT记录编辑器。
  • indx2csvINDX记录的高级解析器。
  • rekall记忆取证框架。
  • bmap-tools使用块映射文件中的信息复制大量稀疏文件的工具。