memimager

  • regreportWindows注册表取证分析工具。
  • shadowexplorer浏览Windows Vista/7/8/10卷影复制服务创建的卷影副本。
  • python-dissect.executable一个Dissect模块,为PE、ELF和Macho-O等各种可执行格式实现解析器。
  • fridump使用frida的通用内存转储程序。
  • guymager用于媒体采集的法医成像仪。
  • ntfs-log-tracker这个工具可以解析NTFS的$LogFile,$UsnJrnl。
  • chromensics谷歌Chrome取证工具。
  • chipsec用于分析PC平台安全性的框架,包括硬件、系统固件(bios/uefi)和平台组件。