ms-sys

chromefreak：谷歌Chrome的跨平台取证框架
donut：从内存中加载.NET程序集时生成x86、x64或AMD64+x86 P.I.外壳代码。
libfvde：用于访问FileVault驱动器加密（FVDE）加密卷的库和工具。
hyperion-crypter：32位可移植可执行文件的运行时加密程序。
plasma-disasm：用于x86/ARM/MIPS的交互式反汇编程序。它可以生成带有彩色语法的缩进伪代码。
unhide：A forensic tool to find processes hidden by rootkits, LKMs or by other techniques.
python-oletools：分析Microsoft OLE2文件的工具。
mdbtools：用于查看数据和从Microsoft Access数据库文件导出架构的实用程序。