ntdsxtract

  • bios_memimage将RAM内容转储到磁盘的工具(也称为冷启动攻击)。
  • libfvde用于访问FileVault驱动器加密(FVDE)加密卷的库和工具。
  • dfir-ntfs用于数字取证的NTFS解析器&;事件响应。
  • haystack用于从进程内存堆分析内存结构取证中查找C结构的python框架。
  • mac-robber一种数字调查工具,从已装入的文件系统中分配的文件中收集数据。
  • mftrcrd命令行$MFT记录解码器。
  • usnparser用于分析NTFS USN日志的Python脚本。
  • foremost基于文件头、文件尾和内部数据结构恢复文件的控制台程序。