pdfid

testdisk：检查和恢复分区+photorec，基于签名的恢复工具
rifiuti2：重写rifiuti，这是Foundstone People用来分析Windows回收站信息2文件的一个很好的工具。
canari：马耳他的转型框架
rkhunter：检查机器是否存在rootkit和其他不需要的工具。
usbrip：Linux上跟踪USB设备的CLI取证工具
fs-nyarl：一个网络接管和法医分析工具-对高级Pentest任务非常有用，以获得乐趣和利润。
unhide：A forensic tool to find processes hidden by rootkits, LKMs or by other techniques.
python-dissect.eventlog：一个实现Windows EVT、EVTX和WEVT日志文件格式解析器的Dissect模块。