python-rekall

shadowexplorer：浏览Windows Vista/7/8/10卷影复制服务创建的卷影副本。
rekall：记忆取证框架。
reglookup：用于读取和查询Windows NT注册表的命令行实用程序
stenographer：一种包捕获解决方案，其目的是快速地将所有包假脱机到磁盘上，然后提供对这些包的子集的简单、快速的访问。
pasco：检查Internet Explorer缓存文件的内容以供法医检查
afflib：一种可扩展的开放式格式，用于存储磁盘图像和相关的取证信息。
python-dissect.regf：一个实现Windows注册表文件格式解析器的Dissect模块，用于在Windows操作系统上存储应用程序和操作系统配置。
peepdf：一个python工具，用于浏览PDF文件，以确定该文件是否有害。