python-rekall

pev：用于PE32/PE32+文件分析的基于命令行的工具。
memfetch：转储任何用户空间进程内存而不影响其执行。
python-dissect.regf：一个实现Windows注册表文件格式解析器的Dissect模块，用于在Windows操作系统上存储应用程序和操作系统配置。
windows-prefetch-parser：解析Windows预取文件。
foremost：基于文件头、文件尾和内部数据结构恢复文件的控制台程序。
dc3dd：DD的一个补丁版本，包括一些对计算机取证有用的功能。
testdisk：检查和恢复分区+photorec，基于签名的恢复工具
iphoneanalyzer：允许您在iOS设备中进行取证检查或恢复日期。