networkminer

magicrescue：在阻止设备上查找和恢复已删除的文件
tcpick：TCP流嗅探器和连接跟踪器
dripcap：含咖啡因的包分析器。
hexinject：一种非常通用的包注入器和嗅探器，为原始网络访问提供命令行框架。
Wireshark：Wireshark是一个非常棒的开源多平台网络协议分析器。它允许您检查来自实时网络或磁盘上的捕获文件的数据。您可以以交互方式浏览捕获数据，深入了解所需的数据包详细信息。
tchunt-ng：显示存储在文件系统上的加密文件。
mftref2name：在NTFS上，将文件索引号解析为名称，反之亦然。一个简单的工具，只需将MFT参考号转换为文件名和路径，或者反过来。
xplico：互联网流量解码器。网络法医分析工具（NFAT）。