unhide

  • pextractor一种取证工具,可以从由连接程序或类似程序创建的可执行文件中提取所有文件。
  • pev用于PE32/PE32+文件分析的基于命令行的工具。
  • pmdump一种工具,允许您将进程的内存内容转储到文件而不停止进程。
  • python-dissect.oleDissect模块实现了用于对象链接和分析的解析器;嵌入(OLE)格式,通常由Windows操作系统上的文档编辑器使用。
  • wmi-forensics用于在WMI存储库中查找证据的脚本。
  • pngcheck通过检查CRC和解压缩图像数据来验证PNG、JNG和MNG文件的完整性。
  • mftcarver从数据块(例如内存转储)中雕刻$MFT记录。
  • python-dissect.esedb一个Dissect模块,实现了微软可扩展存储引擎数据库(ESEDB)的解析器,例如在Active Directory、Exchange和Windows Update中使用。