parse-evtx

  • memdump将系统内存转储到stdout,跳过内存映射中的孔。
  • indxparse用于检查NTFS项目的工具套件。
  • magicrescue在阻止设备上查找和恢复已删除的文件
  • chainsaw强大的“第一反应”功能,可在Windows事件日志中快速识别威胁。
  • mp3nema一种工具,用于分析和捕获隐藏在MP3文件或流中帧之间的数据,否则称为“带外”数据。
  • libfvde用于访问FileVault驱动器加密(FVDE)加密卷的库和工具。
  • androick一个帮助Android取证分析的python工具。
  • networkminer一种用于高级网络流量分析、嗅探器和包分析器的网络法医分析工具。