regview

  • memdump将系统内存转储到stdout,跳过内存映射中的孔。
  • libfvde用于访问FileVault驱动器加密(FVDE)加密卷的库和工具。
  • rcrdcarver从一块数据中雕刻RCRD记录($LogFile)。。
  • loki-scanner简单的IOC和事件响应扫描仪。
  • foremost基于文件头、文件尾和内部数据结构恢复文件的控制台程序。
  • lfle通过试探性地查找记录结构,从映像中恢复事件日志条目。
  • pdblaster从大量可执行文件样本集中提取PDB文件路径。
  • haystack用于从进程内存堆分析内存结构取证中查找C结构的python框架。