zipdump

  • memimager使用ntsystemdebugcontrol执行内存转储。
  • mft2csv提取$MFT记录信息并将其记录到csv文件中。
  • regipy用于分析脱机注册表配置单元的库。
  • atstaketools这是各种@post工具的存档,有助于执行漏洞扫描和分析、信息收集、密码审核和取证。
  • autopsy一个用于侦探工具包的GUI。
  • python-dissect.ffs一个实现FFS文件系统解析器的Dissect模块,通常由BSD操作系统使用。
  • regview打开原始Windows NT 5注册表文件(Windows 2000或更高版本)。
  • mftcarver从数据块(例如内存转储)中雕刻$MFT记录。