truehunter

  • fridump使用frida的通用内存转储程序。
  • python-dissect.etl一个Dissect模块,实现了事件跟踪日志(ETL)文件的解析器,由Windows操作系统用于记录内核事件。
  • evtkit修复获取的.evt-Windows事件日志文件(取证)。
  • casefile小弟弟到马耳他没有转换,但结合了图表和链接分析,检查手动添加数据到思维地图的信息之间的链接
  • mboxgrep一种小型的非交互式实用程序,它扫描邮件文件夹中与正则表达式匹配的邮件。它与基本和扩展的POSIX正则表达式进行匹配,并读取和写入各种邮箱格式。
  • memimager使用ntsystemdebugcontrol执行内存转储。
  • regreportWindows注册表取证分析工具。
  • DFIRtriageWindows数字取证工具