oletools

  • mftcarver从数据块(例如内存转储)中雕刻$MFT记录。
  • hollows-hunter扫描所有正在运行的进程。识别并转储各种潜在的恶意植入(替换/注入的PEs、外壳代码、钩子、内存补丁)。
  • grokevt为读取Windows NT/2K/XP/2K事件日志文件而生成的脚本集合。
  • regipy用于分析脱机注册表配置单元的库。
  • indxparse用于检查NTFS项目的工具套件。
  • stenographer一种包捕获解决方案,其目的是快速地将所有包假脱机到磁盘上,然后提供对这些包的子集的简单、快速的访问。
  • memdump将系统内存转储到stdout,跳过内存映射中的孔。
  • pdfresurrect旨在分析PDF文档的工具。