parse-evtx

  • networkminer一种用于高级网络流量分析、嗅探器和包分析器的网络法医分析工具。
  • rekall记忆取证框架。
  • usnjrnl2csvNTFS上$UsnJrnl的解析器。
  • pmdump一种工具,允许您将进程的内存内容转储到文件而不停止进程。
  • chromefreak谷歌Chrome的跨平台取证框架
  • indx2csvINDX记录的高级解析器。
  • testdisk检查和恢复分区+photorec,基于签名的恢复工具
  • dfir-ntfs用于数字取证的NTFS解析器&;事件响应。