sleuthkit

  • usnjrnl2csvNTFS上$UsnJrnl的解析器。
  • pdblaster从大量可执行文件样本集中提取PDB文件路径。
  • mftcarver从数据块(例如内存转储)中雕刻$MFT记录。
  • analyzepesig分析PE文件的数字签名。
  • python-dissect.clfs一个Dissect模块,实现了Windows CLFS(通用日志文件系统)文件系统的解析器。
  • pdfbook-analyzer用于Facebook内存取证的实用程序。
  • dff带有命令行和图形界面的取证框架。
  • extundelete用于通过解析日志从ext2、ext3或ext4分区恢复已删除文件的实用工具