ntdsxtract

  • eindeutig检查Outlook Express DBX电子邮件存储库文件的内容(取证目的)
  • testdisk检查和恢复分区+photorec,基于签名的恢复工具
  • perl-image-exiftool支持原始文件的exif信息的读写器
  • loki-scanner简单的IOC和事件响应扫描仪。
  • python2-rekall记忆取证框架。
  • python-dissect.etl一个Dissect模块,实现了事件跟踪日志(ETL)文件的解析器,由Windows操作系统用于记录内核事件。
  • python-dissect.cim一个Dissect模块,为Windows操作系统中使用的Windows公共信息模型(CIM)数据库实现解析器。
  • windows-prefetch-parser解析Windows预取文件。