trid

  • testdisk检查和恢复分区+photorec,基于签名的恢复工具
  • memdump将系统内存转储到stdout,跳过内存映射中的孔。
  • dotpeek免费的.NET反编译程序和程序集浏览器。
  • aesfix在RAM中查找AES密钥的工具
  • hollows-hunter扫描所有正在运行的进程。识别并转储各种潜在的恶意植入(替换/注入的PEs、外壳代码、钩子、内存补丁)。
  • stringsifter机器学习工具,根据字符串与恶意软件分析的相关性自动排列字符串。
  • casefile小弟弟到马耳他没有转换,但结合了图表和链接分析,检查手动添加数据到思维地图的信息之间的链接
  • backdoor-factory用shellcode修补win32/64二进制文件。