naft

  • wmi-forensics用于在WMI存储库中查找证据的脚本。
  • powermft强大的命令行$MFT记录编辑器。
  • shadowexplorer浏览Windows Vista/7/8/10卷影复制服务创建的卷影副本。
  • trid一种实用程序,用于从二进制签名中识别文件类型。
  • analyzemft从NTFS文件系统分析MFT文件。
  • indxcarver从一块数据中雕刻INDX记录。
  • tchunt-ng显示存储在文件系统上的加密文件。
  • python-dissect.vmfs一个实现VMFS文件系统解析器的Dissect模块,由VMware虚拟化软件使用。