recuperabit

  • evtkit修复获取的.evt-Windows事件日志文件(取证)。
  • grokevt为读取Windows NT/2K/XP/2K事件日志文件而生成的脚本集合。
  • chromensics谷歌Chrome取证工具。
  • python-dissect.fat一个实现FAT和exFAT文件系统解析器的Dissect模块,通常用于基于闪存的存储设备和UEFI分区。
  • bios_memimage将RAM内容转储到磁盘的工具(也称为冷启动攻击)。
  • chainsaw强大的“第一反应”功能,可在Windows事件日志中快速识别威胁。
  • powermft强大的命令行$MFT记录编辑器。
  • mp3nema一种工具,用于分析和捕获隐藏在MP3文件或流中帧之间的数据,否则称为“带外”数据。