oletools

  • proctal提供一个命令行接口和一个C库来操作Linux上正在运行的程序的地址空间。
  • shadowexplorer浏览Windows Vista/7/8/10卷影复制服务创建的卷影副本。
  • bgrep二进制GRP.
  • rp一个完整的CPP编写工具,旨在查找PE/ELF/Mach-O x86/X64二进制文件中的ROP序列。
  • recentfilecache-parserRecentFileCache的Python解析器。Windows上的bcf。
  • powermft强大的命令行$MFT记录编辑器。
  • sarumanELF反取证执行程序,用于将完整的动态可执行文件注入进程映像(使用线程注入)。
  • loki-scanner简单的IOC和事件响应扫描仪。