pmdump

  • ntdsxtractActive Directory法医框架。
  • mftrcrd命令行$MFT记录解码器。
  • truehunter使用快速和内存高效的方法检测TrueCrypt容器。
  • python-dissect.eventlog一个实现Windows EVT、EVTX和WEVT日志文件格式解析器的Dissect模块。
  • mft2csv提取$MFT记录信息并将其记录到csv文件中。
  • wyd从个人文件中获取关键字。IT安全/法医工具。
  • regipy用于分析脱机注册表配置单元的库。
  • analyzemft从NTFS文件系统分析MFT文件。