parse-evtx

  • indxcarver从一块数据中雕刻INDX记录。
  • mft2csv提取$MFT记录信息并将其记录到csv文件中。
  • malheur自动分析恶意软件行为的工具。
  • python2-rekall记忆取证框架。
  • recuperabit用于法医文件系统重建的工具。
  • python-dissect.eventlog一个实现Windows EVT、EVTX和WEVT日志文件格式解析器的Dissect模块。
  • autopsy一个用于侦探工具包的GUI。
  • wmi-forensics用于在WMI存储库中查找证据的脚本。