rekall

haystack：用于从进程内存堆分析内存结构取证中查找C结构的python框架。
indx2csv：INDX记录的高级解析器。
galleta：为了法医的目的检查IE的cookie文件的内容
libfvde：用于访问FileVault驱动器加密（FVDE）加密卷的库和工具。
mboxgrep：一种小型的非交互式实用程序，它扫描邮件文件夹中与正则表达式匹配的邮件。它与基本和扩展的POSIX正则表达式进行匹配，并读取和写入各种邮箱格式。
shadowexplorer：浏览Windows Vista/7/8/10卷影复制服务创建的卷影副本。
afflib：一种可扩展的开放式格式，用于存储磁盘图像和相关的取证信息。
scrounge-ntfs：用于NTFS文件系统的数据恢复程序