ntdsxtract

pcapxray：一种网络取证工具-将离线数据包捕获可视化为网络图，包括设备标识、突出重要通信和文件提取。
galleta：为了法医的目的检查IE的cookie文件的内容
stenographer：一种包捕获解决方案，其目的是快速地将所有包假脱机到磁盘上，然后提供对这些包的子集的简单、快速的访问。
dcfldd：DCFL（国防部计算机取证实验室）DD替换为哈希
tell-me-your-secrets：在任何机器上从120多个不同的签名中查找秘密。
chainsaw：强大的“第一反应”功能，可在Windows事件日志中快速识别威胁。
python-dissect.esedb：一个Dissect模块，实现了微软可扩展存储引擎数据库（ESEDB）的解析器，例如在Active Directory、Exchange和Windows Update中使用。
magicrescue：在阻止设备上查找和恢复已删除的文件