volatility

  • chkrootkit检查系统上的rootkit
  • windows-prefetch-parser解析Windows预取文件。
  • dff带有命令行和图形界面的取证框架。
  • pextractor一种取证工具,可以从由连接程序或类似程序创建的可执行文件中提取所有文件。
  • casefile小弟弟到马耳他没有转换,但结合了图表和链接分析,检查手动添加数据到思维地图的信息之间的链接
  • python-dissect.thumbcache一个实现windows缩略图缓存解析器的Dissect模块。
  • python-dissect.jffs一个实现JFFS2文件系统解析器的Dissect模块,通常由路由器操作系统使用。
  • galleta为了法医的目的检查IE的cookie文件的内容