pmdump

  • extractusnjrnl用于从NTFS卷提取$UsnJrnl的工具。
  • python2-rekall记忆取证框架。
  • truehunter使用快速和内存高效的方法检测TrueCrypt容器。
  • foremost基于文件头、文件尾和内部数据结构恢复文件的控制台程序。
  • tell-me-your-secrets在任何机器上从120多个不同的签名中查找秘密。
  • indxparse用于检查NTFS项目的工具套件。
  • pdfid扫描文件以查找特定的PDF关键字。
  • sleuthkit文件系统和媒体管理取证分析工具