parse-evtx

  • afflib一种可扩展的开放式格式,用于存储磁盘图像和相关的取证信息。
  • usnparser用于分析NTFS USN日志的Python脚本。
  • hashdeep高级校验和哈希工具。
  • vinetto用于检查thumbs.db文件的取证工具
  • mftrcrd命令行$MFT记录解码器。
  • python-dissect.sql一个Dissect模块,实现SQLite数据库文件格式的解析器,通常由应用程序用于存储配置数据。
  • air一个GUI前端到DD/DC3DD,设计用于轻松创建法医图像。
  • zipdump压缩转储实用程序。