sleuthkit

  • dmg2img转换(压缩)苹果磁盘图像。
  • grokevt为读取Windows NT/2K/XP/2K事件日志文件而生成的脚本集合。
  • vinetto用于检查thumbs.db文件的取证工具
  • pextractor一种取证工具,可以从由连接程序或类似程序创建的可执行文件中提取所有文件。
  • myrescue首先读取未损坏区域的硬盘恢复工具。
  • regview打开原始Windows NT 5注册表文件(Windows 2000或更高版本)。
  • atstaketools这是各种@post工具的存档,有助于执行漏洞扫描和分析、信息收集、密码审核和取证。
  • rifiuti2重写rifiuti,这是Foundstone People用来分析Windows回收站信息2文件的一个很好的工具。