parse-evtx

  • rcrdcarver从一块数据中雕刻RCRD记录($LogFile)。。
  • volatility高级内存取证框架
  • testdisk检查和恢复分区+photorec,基于签名的恢复工具
  • fridump使用frida的通用内存转储程序。
  • hashdeep高级校验和哈希工具。
  • bmap-tools使用块映射文件中的信息复制大量稀疏文件的工具。
  • pasco检查Internet Explorer缓存文件的内容以供法医检查
  • magicrescue在阻止设备上查找和恢复已删除的文件