volatility

  • bios_memimage将RAM内容转储到磁盘的工具(也称为冷启动攻击)。
  • bulk-extractor批量电子邮件和URL提取工具。
  • truehunter使用快速和内存高效的方法检测TrueCrypt容器。
  • vipermonkey用于分析恶意宏的VBA解析器和仿真引擎。
  • grokevt为读取Windows NT/2K/XP/2K事件日志文件而生成的脚本集合。
  • rcrdcarver从一块数据中雕刻RCRD记录($LogFile)。。
  • dumpzilla火狐的法医工具。
  • rekall记忆取证框架。