sleuthkit

  • regripper用作Windows注册表数据提取命令行或GUI工具的开源取证软件。
  • rifiuti2重写rifiuti,这是Foundstone People用来分析Windows回收站信息2文件的一个很好的工具。
  • regipy用于分析脱机注册表配置单元的库。
  • memdump将系统内存转储到stdout,跳过内存映射中的孔。
  • pdfid扫描文件以查找特定的PDF关键字。
  • tchunt-ng显示存储在文件系统上的加密文件。
  • pdfbook-analyzer用于Facebook内存取证的实用程序。
  • python-dissect.etl一个Dissect模块,实现了事件跟踪日志(ETL)文件的解析器,由Windows操作系统用于记录内核事件。