rekall

pasco：检查Internet Explorer缓存文件的内容以供法医检查
LaZagne：用于检索存储在本地计算机上的帐户密码的开源程序。
grokevt：为读取Windows NT/2K/XP/2K事件日志文件而生成的脚本集合。
python-dissect.ntfs：一个实现NTFS文件系统解析器的Dissect模块，由Windows操作系统使用。
python-dissect.vmfs：一个实现VMFS文件系统解析器的Dissect模块，由VMware虚拟化软件使用。
python-dissect.esedb：一个Dissect模块，实现了微软可扩展存储引擎数据库（ESEDB）的解析器，例如在Active Directory、Exchange和Windows Update中使用。
python-dissect.ole：Dissect模块实现了用于对象链接和分析的解析器；嵌入（OLE）格式，通常由Windows操作系统上的文档编辑器使用。
unhide：A forensic tool to find processes hidden by rootkits, LKMs or by other techniques.