ntdsxtract

  • analyzemft从NTFS文件系统分析MFT文件。
  • memdump将系统内存转储到stdout,跳过内存映射中的孔。
  • autopsy一个用于侦探工具包的GUI。
  • powermft强大的命令行$MFT记录编辑器。
  • aesfix在RAM中查找AES密钥的工具
  • pmdump一种工具,允许您将进程的内存内容转储到文件而不停止进程。
  • python-acquire快速将磁盘映像或实时系统中的取证工件收集到轻量级容器中。
  • recuperabit用于法医文件系统重建的工具。